Beiträge von Matsch2

Alles richtig, ich weiß halt nur nicht, was zutrifft. Vielleicht müßte man die Sicherung vorher nach der xpi-Datei durchsuchen.
Wenn die Art der Sicherung dies zuläßt.

Hab ich zunächst auch gedacht. Doch wie lange ist der Schädling schon drauf? Gewöhnlich hebt man Sicherungen nicht ewig auf. War die Malware schon im letzten Image drauf? Gerade Download Protect macht ja nicht vordergründig auf sich aufmerksam. Eine der Dateien trug das Datum 15.01.14. War der PC schon so lange verseucht? Dann hätte ich keine unverseuchte Sicherung mehr.

miha2006 hatte ja gerade das Gleiche gemeint, aber zugegeben, ich hatte es vor meinen eigenen Recherchen noch gar nicht so verstanden. Aber eines ist nun doch klar:

Zitat von miha2006

... war bei mir der Dienst "Speicher Remoteprozeduraufruf" mit dem Dateiname "wlanuuil.exe" im Windows\System32 Ordner!

dass sich der Netzwerkdienst des Schädlings doch unter verschiedenen Namen und Bezeichnungen tarnt, indem er eine gebräuchliche Dienstdatei immitiert und deren Namen nur durch ein oder 2 zusätzliche Zeichen im Namen ergänzt.

Zitat von 2002Andreas

PS:
Mach bitte mal das Update auf Firefox 31 :wink:

Oh, ich hatte mich auf die automatischen Updates verlassen. Da muß wohl was falsch eingestellt sein. Danke für den Hinweis.

Ich bin neu hier und auch nur deshalb, anderen bekannt zu machen, was ich zu dem Thema sagen kann, ich hoffe, es hilft vielen, denn alles. was ich bisher im Web gelesen habe, ist entweder auf Dauer unwirksam oder extrem umständlich.

Notgedrungen habe ich mich die letzten 3 Tage auch mit der Entfernung des Schädlings befaßt. So nach und nach habe ich mich an das grundlegende Übel herangetastet. Merkwürdigerweise ist ja weder AdwCleaner noch Malwarebytes in der Lage, die Malware dauerhaft zu entfernen.

Wie schon von anderen beobachtet, steckt das eigentliche AddOn in einer Datei {......}.xpi im Verzeichnis C:\Windows\Installer. Die kann man leicht suchen und den Ordner löschen. Der Aufruf des AddOn erfolgt bei Firefox-Start über einen Eintrag in der Registry, den der Schädling anlegt. Er fügt in der Registry einen Schlüssel "Extensions" zum Firefox hinzu unter

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions

mit dem Verweis auf eben diese Datei vom Typ *.xpi im Installer-Ordner, die einen kryptischen Dateinamen wie ein Windows-Schlüssel hat, also z.B.

{E483D4FF-1ECD-4218-8560-CAAB6DF31A9C}.xpi

Zweifellos muß sowohl die AddOn-Datei *.xpi wie auch der Schlüssel "Extensions" in der Registry gelöscht werden (Firefox muß dabei geschlossen sein), dann ist der Schädling tatsächlich beim nächsten Aufruf von Firefox verschwunden.
Aber so einfach macht es uns der Entwickler nicht, denn nach dem nächsten PC-Neustart ist alles wieder beim Alten, die Registry wurde erneut verändert, die *.xpi-Datei ist wieder da, wenn auch unter verändertem Namen!
Es nützt also allein nichts, den Registry-Schlüssel und den Pfad im Installer zu löschen, man muß weitere Schritte unternehmen, die die Restaurierung verhindern. Woher also kommen die Daten und wer veranlaßt die Restaurierung?
Schnell wird klar, dass keine Restaurierung erfolgt, wenn man beim PC-Neustart das Internet abgetrennt hat! Also holt sich der Schädling seine Daten bei jedem Booten neu aus dem Internet!

Nun habe ich mit dem ProcessMonitor alle Vorgänge während des Hochfahrens aufgezeichnet. Da ich wissen wollte, wer die Änderung an der Registry veranläßt, habe ich den Report gefiltert auf

path=HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions.

Ich habe die unbewiesene Vermutung, dass der Schädling für seine eigentliche Schadsoftware variable Namen und Bezeichnungen verwendet, so dass es sein kann, dass die Dateien- und Dienstenamen, wie ich sie bei mir vorgefunden habe, bei einem anderen PC anders heißen, aber sinngemäß kann man sie finden. Der letzte Beitrag über meinem scheint diese Annahme zu bestätigen.

Nun, bei mir war es der Dienst "\System32\syncengd.exe", der die Registry veränderte. Hinter welchem der vielen vorhandenen Dienste nun aber verbirgt sich der Schädling? Ich vermutete, dass es sich um einen gestarteten Dienst handelte und um einen Netzwerkdienst, da er ja Zugriff auf das Internet braucht. So habe ich in der Diensteverwaltung (Systemsteuerung oder per Eingabe Start -> "services.msc") sortiert auf Netzwerkdienste zuerst und Gestartet zuerst. Nun habe ich mir die Dienste auf Plausibilität angesehen. Die Bezeichner sollten nachvollziehbar sein, auch die Beschreibung dazu, wenn man draufklickt, sollte verständlich sein. Dabei bin ich auf einen Dienst "RDPCDD Windows for" gestoßen, der neben der konfusen Bezeichnung auch keinerlei Beschreibung liefert. Ein Blick in die Eigenschaften brachte zum Vorschein, dass es sich um die Datei C:\Windows\System32\syncengd.exe handelt. Volltreffer!

Probeweise habe ich den Dienst erstmal deaktiviert, die eingangs genannten Dateien xpi sowie den Registry-Eintrag gelöscht und anschließend mehrmals einen Neustart mit Internet ausgeführt. Und tatsächlich, die Registry wurde nicht mehr verändert, die xpi nicht neu erstellt.
Nun mußte ich "nur" noch den Schad-Dienst entgültig löschen, doch das geht nicht über die Diensteverwaltung. Dazu schaut man sich nochmal in den Diensteeigenschaften den Dienstenamen an (steht relativ weit oben und ist nicht identisch mit dem Dateinamen!). Nun geht man in die Registry in den Pfad

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

und sucht dort diesen Dienstenamen. Einfach den Schlüssel
dieses Namens komplett löschen. Nun noch die Datei syncengd.exe selbst auch noch löschen, fertig!
Eine neue Restauration findet nun nicht mehr statt.

Der Schädling hinterläßt aber teils noch weitere Dateien im System, über deren Sinn ich mir nicht klar bin. Es sollte aber geboten sein, auch diese noch zu löschen.

So wurde an 2 Stellen auf C: eine Datei dlprotect.exe gefunden und gelöscht (einfach mal nach dlprotect suchen lassen).
Ebenso schreibt die Malware immer gleichzeitig mit der Registry-Änderung auch einen kryptischen Ordner in die Programmordner. Dort finden sich in C:\Program Files\ sowie C:\Program Files (x64)\ je ein Ordner mit schlüsselartiger Bezeichnung wie {E483D4FF-1ECD-4218-8560-CAAB6DF31A9C}, der u.a. eine ebensolche kryptische *.bin-Datei enthält. Auch diese Ordner habe ich komplett gelöscht.