Saliar.com - Neue Malware/Scam
 

Ich durfte heute einen Rechner von einem nervigen Stück Malware befreien. Falls einem von euch das gleiche Schicksal droht, nachfolgend ein paar Tips dazu.

!!!
Besagte Malware wird bisher leider von keinem Virenscanner oder einem der einschlägigen Tools erkannt. Das Vorgehen der Software variiert meinen Beobachtungen nach von System zu System.
[COLOR=black][U]Update:[/U][/COLOR]
Mittlerweile erkennen wohl einige Virenscanner den ungebetenen Gast, haben aber wohl noch Probleme damit ihn aus dem System zu werfen.
!!!

Entweder bekommt der User immer wieder Popups vorgesetzt die ihn darüber informieren, dass das System infiziert wurde. Darin befindet sich netterweise gleich ein Link zu einem Anbieter, mit dessen Software sich das Problem angeblich beheben lässt.

Die zweite, mir bekannte Masche besteht darin, sporadisch generierte Fehlermeldungen auszuspucken. Startet man den Rechner neu, erscheint nach der Anmeldung die Fehlermeldung "Error loading registry key: HKLM_LOCAL_MACHINE". Bestätigt man diese Meldung wird auf dem Desktop eine Verknüpfung namens "Help & Service Center" (oder ähnlich) erstellt. Diese verweist ebenfalls auf die Website des Anbieters.

Alle Varianten des Programms verursachen in unbestimmten Abständen erhebliche CPU-Last.

Die Website des Anbieters (saliar.com) macht zwar einiges her, aber dass man diese Software nicht herunterladen soll, muss ich an dieser Stelle wohl nicht speziell hervorheben. Das Programm (Freeware) überprüft lediglich den Rechner - zum entfernen der Malware muss man sein Bares gegen die Vollversion "tauschen". Auch was die Software dann im Hintergrund treibt dürfte eher im Sinne des Entwicklers liegen.



[U]Den Plagegeist finden[/U]

Bisher bekannte Stellen, an denen sich das Programm im System eingenistet haben könnte:[LIST=1][*]MSAGENT
Im Ordner \<WinDir>\msagent\intl befindet sich die Datei "fmcurl.dll".
-[*]Media Player [SIZE=1][COLOR=royalblue](Danke an diesen User: [/COLOR][/SIZE][URL="http://www.tungsai.com/blog/?p=97"][SIZE=1][COLOR=royalblue]Tung Sai » Blog Archive » odsca.dll malware update - day 5[/COLOR][/SIZE][/URL][SIZE=1][COLOR=royalblue])[/COLOR][/SIZE]
Im Ordner \Programme\Windows Media Player\Icons befindet sich die Datei "odsca.dll".
-[*]Microsoft .NET [COLOR=royalblue][SIZE=1](Danke Uwschutech)[/SIZE][/COLOR]
Im Ordner \<WinDir>\Microsoft.NET\Framework\v1.0.3705 befindet sich die Datei "tuillib.dll".[/LIST]<WinDir> dienst als Platzhalter. Bei der Suche müsste ihr stattdessen den Ordner eurer Windows-Installation einsetzen (z.B. Windows oder WINNT).


[U]Den Plagegeist loswerden[/U][LIST=1][*]Entfernt jegliche Zugriffsberechtigungen, die der entsprechenden Datei (.dll) zugewiesen sind. (Beschreibung: [URL="http://ait.web.psi.ch/us/desktop/faq/ordner_berechtigungen.html"]hier[/URL])
-[*]Sucht in der Registry nach dem Dateinamen der zuvor bearbeiteten Datei (inclusive Dateiendung .dll), löscht alle dabei gefundenen Referenzen und startet anschliessend den Rechner neu.
-[*]Die Zugriffsberechtigungen der Datei erneut bearbeiten und lediglich eine Berechtigung für die Administratoren (Gruppe) oder einen einzelnen User hinzufügen. Nun sollte sich die Datei anstandslos löschen lassen.

Falls sich die Berechtigungen nicht setzen lassen sollten, dann hilft es u.U., den Besitz über die Datei neu zu übernehmen. (siehe Link bei Punkt 1)[/LIST]Gruss,
redilS

AW: Saliar.com - Neue Malware/Scam
 

Danke war sehr Hilfreich. Aber ich habe hier noch einen anderen Ort gefunden:

Ordner: \WINNT\Microsoft.NET\Framework\v1.0.3705\tuillib.dll

Die oben beschriebene Methode geht auch hier.

PS: Antivir erkennt mittlerweile das Problem kann es aber nicht beheben, liefert einem aber zumindest das Verzeichnis und die Positionen in der Reg.

AW: Saliar.com - Neue Malware/Scam
 

Dank Dir Uwschutech. Hab meinen Beitrag um deinen Hinweis ergänzt