Saliar.com - Neue Malware/Scam - Beitrag #1 - Post 535571 - Computer Hardware Forum - TweakPC -

redilS · 14.02.2008, 22:23

Ich durfte heute einen Rechner von einem nervigen Stück Malware befreien. Falls einem von euch das gleiche Schicksal droht, nachfolgend ein paar Tips dazu.

!!!
Besagte Malware wird bisher leider von keinem Virenscanner oder einem der einschlägigen Tools erkannt. Das Vorgehen der Software variiert meinen Beobachtungen nach von System zu System.
Update:
Mittlerweile erkennen wohl einige Virenscanner den ungebetenen Gast, haben aber wohl noch Probleme damit ihn aus dem System zu werfen.
!!!

Entweder bekommt der User immer wieder Popups vorgesetzt die ihn darüber informieren, dass das System infiziert wurde. Darin befindet sich netterweise gleich ein Link zu einem Anbieter, mit dessen Software sich das Problem angeblich beheben lässt.

Die zweite, mir bekannte Masche besteht darin, sporadisch generierte Fehlermeldungen auszuspucken. Startet man den Rechner neu, erscheint nach der Anmeldung die Fehlermeldung "Error loading registry key: HKLM_LOCAL_MACHINE". Bestätigt man diese Meldung wird auf dem Desktop eine Verknüpfung namens "Help & Service Center" (oder ähnlich) erstellt. Diese verweist ebenfalls auf die Website des Anbieters.

Alle Varianten des Programms verursachen in unbestimmten Abständen erhebliche CPU-Last.

Die Website des Anbieters (saliar.com) macht zwar einiges her, aber dass man diese Software nicht herunterladen soll, muss ich an dieser Stelle wohl nicht speziell hervorheben. Das Programm (Freeware) überprüft lediglich den Rechner - zum entfernen der Malware muss man sein Bares gegen die Vollversion "tauschen". Auch was die Software dann im Hintergrund treibt dürfte eher im Sinne des Entwicklers liegen.

Den Plagegeist finden

Bisher bekannte Stellen, an denen sich das Programm im System eingenistet haben könnte:

MSAGENT
Im Ordner \<WinDir>\msagent\intl befindet sich die Datei "fmcurl.dll".
-
Media Player (Danke an diesen User: Tung Sai » Blog Archive » odsca.dll malware update - day 5)
Im Ordner \Programme\Windows Media Player\Icons befindet sich die Datei "odsca.dll".
-
Microsoft .NET (Danke Uwschutech)
Im Ordner \<WinDir>\Microsoft.NET\Framework\v1.0.3705 befindet sich die Datei "tuillib.dll".

<WinDir> dienst als Platzhalter. Bei der Suche müsste ihr stattdessen den Ordner eurer Windows-Installation einsetzen (z.B. Windows oder WINNT).

Den Plagegeist loswerden

Entfernt jegliche Zugriffsberechtigungen, die der entsprechenden Datei (.dll) zugewiesen sind. (Beschreibung: hier)
-
Sucht in der Registry nach dem Dateinamen der zuvor bearbeiteten Datei (inclusive Dateiendung .dll), löscht alle dabei gefundenen Referenzen und startet anschliessend den Rechner neu.
-
Die Zugriffsberechtigungen der Datei erneut bearbeiten und lediglich eine Berechtigung für die Administratoren (Gruppe) oder einen einzelnen User hinzufügen. Nun sollte sich die Datei anstandslos löschen lassen.

Falls sich die Berechtigungen nicht setzen lassen sollten, dann hilft es u.U., den Besitz über die Datei neu zu übernehmen. (siehe Link bei Punkt 1)

Gruss,
redilS

14.02.2008, 22:23	#1 (permalink)
redilS Extrem Performer Registriert seit: 22.11.2004 Beiträge: 1.169	Saliar.com - Neue Malware/Scam Ich durfte heute einen Rechner von einem nervigen Stück Malware befreien. Falls einem von euch das gleiche Schicksal droht, nachfolgend ein paar Tips dazu. !!! Besagte Malware wird bisher leider von keinem Virenscanner oder einem der einschlägigen Tools erkannt. Das Vorgehen der Software variiert meinen Beobachtungen nach von System zu System. Update: Mittlerweile erkennen wohl einige Virenscanner den ungebetenen Gast, haben aber wohl noch Probleme damit ihn aus dem System zu werfen. !!! Entweder bekommt der User immer wieder Popups vorgesetzt die ihn darüber informieren, dass das System infiziert wurde. Darin befindet sich netterweise gleich ein Link zu einem Anbieter, mit dessen Software sich das Problem angeblich beheben lässt. Die zweite, mir bekannte Masche besteht darin, sporadisch generierte Fehlermeldungen auszuspucken. Startet man den Rechner neu, erscheint nach der Anmeldung die Fehlermeldung "Error loading registry key: HKLM_LOCAL_MACHINE". Bestätigt man diese Meldung wird auf dem Desktop eine Verknüpfung namens "Help & Service Center" (oder ähnlich) erstellt. Diese verweist ebenfalls auf die Website des Anbieters. Alle Varianten des Programms verursachen in unbestimmten Abständen erhebliche CPU-Last. Die Website des Anbieters (saliar.com) macht zwar einiges her, aber dass man diese Software nicht herunterladen soll, muss ich an dieser Stelle wohl nicht speziell hervorheben. Das Programm (Freeware) überprüft lediglich den Rechner - zum entfernen der Malware muss man sein Bares gegen die Vollversion "tauschen". Auch was die Software dann im Hintergrund treibt dürfte eher im Sinne des Entwicklers liegen. Den Plagegeist finden Bisher bekannte Stellen, an denen sich das Programm im System eingenistet haben könnte: MSAGENT Im Ordner \<WinDir>\msagent\intl befindet sich die Datei "fmcurl.dll". - Media Player (Danke an diesen User: Tung Sai » Blog Archive » odsca.dll malware update - day 5) Im Ordner \Programme\Windows Media Player\Icons befindet sich die Datei "odsca.dll". - Microsoft .NET (Danke Uwschutech) Im Ordner \<WinDir>\Microsoft.NET\Framework\v1.0.3705 befindet sich die Datei "tuillib.dll". <WinDir> dienst als Platzhalter. Bei der Suche müsste ihr stattdessen den Ordner eurer Windows-Installation einsetzen (z.B. Windows oder WINNT). Den Plagegeist loswerden Entfernt jegliche Zugriffsberechtigungen, die der entsprechenden Datei (.dll) zugewiesen sind. (Beschreibung: hier) - Sucht in der Registry nach dem Dateinamen der zuvor bearbeiteten Datei (inclusive Dateiendung .dll), löscht alle dabei gefundenen Referenzen und startet anschliessend den Rechner neu. - Die Zugriffsberechtigungen der Datei erneut bearbeiten und lediglich eine Berechtigung für die Administratoren (Gruppe) oder einen einzelnen User hinzufügen. Nun sollte sich die Datei anstandslos löschen lassen. Falls sich die Berechtigungen nicht setzen lassen sollten, dann hilft es u.U., den Besitz über die Datei neu zu übernehmen. (siehe Link bei Punkt 1) Gruss, redilS
	Geändert von redilS (04.04.2008 um 12:26 Uhr)