| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "Licensing.exe" aka "TR/PSW.Stealer.1" ???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.09.2004, 11:55
| #1 |
| |  "Licensing.exe" aka "TR/PSW.Stealer.1" ??? Hallo! Habe vermutlich ein Problem mit einem (NEUEN?) Trojaner und weiß nicht weiter. Auf meinem Laptop ist WIN XP Home SP2 installiert und AntiVir. Ca. 1 Minute nach dem Hochfahren des Systems kommt eine Meldung: "Microsoft Windows Licensing - Register online with Microsoft. Warning! The license file is missing or corrupt." Danach soll ich meine Kreditkarteninformationen eingeben... Das Fenster kann man durch Cancel schließen. AntiVir erkennt diesen Trojaner anscheinend unter "TR/PSW.Stealer.1" und man kann das Öffnen des Fensters durch AntiVir unterbinden. Die Datei scheint aber Resistent zu sein, denn nach dem Löschen, verschieben in Quarantäne oder Umbenennen startet das Fenster immer wieder von neuem. Hat jemand ähnliche Erfahrungen mit dem Mist? Ich habe schon Ad-Aware, Spybot S & D, Pestpatrol und alle möglichen Antivirenprogramme drüberlaufen lassen, aber keiner erkennt das Teil - nur AntiVir erkennt es und unterbindet den Start . . . Bitte um Hilfe! Wie werde ich das blöde Ding los? Vielen Dank im Voraus Yuloc |
|
01.09.2004, 12:20
| #2 |
   | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? http://www.trojaner-board.de/42731-escan-anleitung.html
__________________dies befolgen und dann mit HJT ein Log erstellen und hier posten: http://www.trojaner-board.de/51130-a...ijackthis.html |
|
01.09.2004, 17:32
| #3 |
 | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? @MountainKing
__________________bist Du sicher das escan das kann?? Weder Bitdefender noch NOD32 können das Teil entfernen! auf meinem System WXP Pro SP2 hab ich das Teil auch drauf nur mit wesentlich höherer Schädigung. Ich kann nicht mehr per DSL mit dem DFÜ Netzwerk ins Internet. Nachdem Antivir das Teil gefunden hat und alles was man damit anstellen kann nichts bringt habe ich mal Filemon und Regmon laufen lassen. Anscheinend läuft eine sync64.exe die versucht auf c:\windows\zw.log zu öffnen. Das es nicht da ist passiert erst mal nichts. Dann startet eine swatch32.exe die versucht in c:\windows\zxx.log zu öffnen. Wenn das nicht da ist ruft die swatch32.exe in c:\windows}licensing.exe auf. Paralell dazu ruft eine winu32.exe die Reg auf und nimmt diverse Einträge in HKLM und HKCU vor unter anderem Einträge mit AUTODIAL. Dannach macht eine sysentry32.exe ähnliches. Die Files sync64.exe; swatch32.exe und winu32.exe lassen sich selbst mit Adminrechten im abgeschichert Modus nicht entfernen und zeigen unter Eigenschaften keine Atrribute für Archiv oder Schreibschutz! Die sysentry32.exe liegt als sysentry32.exe.txt im system32 Ordner und läßt sich zwar löschen ist aber nach Neustart wieder da. Da mein Rechner zuhause fürs Internet damit platt ist muss ich hier über die Fa. posten leider können wir zwar ins Netz haben aber keine download Möglichkeiten - ich müsste mir daher escan über Umwege besorgen. Falls das ganze aber auch mit Hausmitteln zu lösen wäre würde ich diese Lösung vorziehen. Edit: Ach ja, hab was vergessen eine Systemwiederherstellung ist nicht möglich wenn ich das versuche bekomme ich einen BlueScreen. Zuerst war es so das im Systemtray die interne Netzwerkkarte mit mangelner Konnektivität angezeigt wurde, wenn ich versucht habe mich per DFÜ-Netzwerk einzuwählen gabs sofot einen BlueScreen mit driver_irql_not_less_or_equal. Das konnte ich beheben indem ich der Netzwerkkarte eine feste IP zugewiesen habe (das System hatte vorher eine 169er IP für die Karte vergeben - war schon seltsam). Schon zu diesem Zeitpunkt war eine Systemwiederherstellung nicht mehr möglich (s.o.). cu Nichtznuts Geändert von Nichtznuts (01.09.2004 um 17:51 Uhr) Grund: Zusätzliche Informationen |
|
01.09.2004, 18:05
| #4 |
| | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? Nein, ich bin mir keineswegs sicher, dass E-Scan den entfernen kann. Und da ich denke, dass wir den Schädling hier schon mal hatten: http://www.trojaner-board.de/archive...hp/t-7001.html fürchte ich, dass es einer der Sorte ist, die ganz fies auch Systemdateien verändern und bei denen wohl eine Neuinstallation die beste und sogar schnellste Methode sein wird, bevor man Tage mit der Desinfektion zubringt. |
|
01.09.2004, 18:54
| #5 |
| | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? @MountainKIng auweia - das wäre heftig da ich aus beruflichen Gründen dann ca. 70 CD´s von verschiedenen Vers.gesellschaften (die ich auch auf meinem Rechner Zuhause brauche!) wieder installieren müsste. Ich wag garnicht daran zu denken wieviele Stunden mich das kosten würde  Gibt es nicht irgendeine Möglichkeit da nur Fat32 per Dos Startdisk wenigstens auf die Platte zu kommen um dann per Dos Befehl die Atrrib zu ändern um die Teile dann zu löschen?? Klar das ich dann nach dem booten erstmal die cab´s per Hand durchsuchen muss um rauszufinden ob sich die Teile dort verstecken und evtl. nachinstallieren. Aber selbst die Mühe würd ich mir machen, weil das wahrscheinlich weniger zeitintensiv ist wie das System völlig neu aufzusetzen. cu Nichtznuts |
|
01.09.2004, 19:29
| #6 |
| | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? Es ist natürlich sehr schwierig, da Ferndiagnosen zu stellen, weil ich aufgrund der nicht vorhandenen genaueren Infos bis jetzt auch keine rechte Ahnung habe, was der Trojaner so alles anstellt (obwohl das Beschriebene ja schon genügt). Ähnlich klingende sind anscheinend Trojaner mit Keylog-Funktionen. Wenn ich aber lese, dass Bluescreens erzeugt werden und die Systemwiederherstellung nicht mehr funktioniert usw., glaube ich schon, dass hier nicht nur ein 08/15-Virus oder Hijacker am Werk ist, bei dem man -wenn auch mit leichten Magenschmerzen- eine Neuinstallation umgehen könnte. Nur die kann letztlich 100%ig garantieren, dass ein System sauber ist, nach Trojanerinfektion mit übleren Sorten ist das prinzipiell nicht mehr möglich, auch wenn kein Virenscanner mehr etwas findet. Ich kann natürlich verstehen, dass man das vermeiden möchte, vor allem, wenn man so viel installieren muss. Andererseits hast du wohl auf dem Rechner dann evtl. auch vertrauliche und wichtige Daten? Das ist eigentlich noch ein Grund mehr, nicht mit dem Feuer zu spielen. Ich möchte da aber auch keine definitiven Lösungen anbieten, da bin ich ein zu kleines Licht und wir wissen sowieso im Moment zu wenig. Vielleicht solltest du in dem Fall dann sogar professionelle Hilfe suchen, wenn es um besonders kritische/sensible Daten und nicht nur um ein paar Briefe an Omi geht. Du hast da noch FAT32? Hm, versuchen kannst du es ja mal, per DOS die Dateien zu löschen, es gibt ja auch noch die Möglichkeit des "Drüberinstallierens" von Windows ohne Formatieren. Aber wenn all die Probleme wirklich von diesem Schädling stammen, dann kann ich eine Reparatur nicht mehr mit gutem Gewissen empfehlen. :/ Vielleicht weiss ja noch jemand eine andere Lösung? |
|
01.09.2004, 19:48
| #7 | |
| | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? @MoutainKing die Hoffnung stribt zuletzt - ich werde mal nacher versuchen ob ich über die Reparaturkonsole von der Win XP an die Teile rankomme. hier mal ein kleiner Auszug von Regmon was die Teile so treiben: Zitat:
cu Nichtznuts |
|
01.09.2004, 19:53
| #8 | |
| | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? Hier die Auszüge aus Filemon was die betreffenden Dateien so treiben: Zitat:
|
|
02.09.2004, 15:03
| #9 |
| | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? @ MountainKing also escan findet definitiv die Licensing.exe nicht das Programm ist zwar klasse aufgemacht und die Searchengine klassifiziert Dateien sehr übersichtlich aber bei diesem Schädling musste es auch passen! cu Nichtznuts |
|
02.09.2004, 15:14
| #10 |
| | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? Es verwendet ja auch die Signaturen und Engine von Kaspersky, nicht zuletzt deswegen wird es immer zum Testen empfohlen. Aber auch die sind nicht allmächtig. :/ Schicke die wahrscheinlich infizierten files mal bitte an virus@av.klaffke.info mit einem Link zu dem Thread hier evtl. findet er ja mehr heraus bzw. können diese neuen Varianten/Viren weitergeleitet und in Signaturen eingepflegt werden. |
|
02.09.2004, 15:25
| #11 |
| | "Licensing.exe" aka "TR/PSW.Stealer.1" ??? @ MountainKing das wir schwierig werden muss die Teile erstmal packen und dann über die Fa. verschicken zuhause geht das Netz ja nimmer , zudem muss ich den Admin noch überzeugen dass ich über seinen Rechner die Dateien verschicken kann - alle anderen Rechner haben weder CD noch Disklaufwerk (aus Sicherheitsgründen wurde das mal so eingerichtet).cu Nichtznuts |
|
04.09.2004, 21:10
| #12 | |
| |  "Licensing.exe" aka "TR/PSW.Stealer.1" ???Zitat:
 Vorgehensweise: 1. Über den Taskmanager den Task "gegerv.exe" beenden. 2. Die Systemwiderherstellung abschalten (rechte Maustaste auf Arbeitsplatz - Eigenschaften - Systemwiederherstellung) 3. Registry nach "gegerv.exe" durchsuchen und alle entsprechenden Einträge löschen. 4. Anti-Vir komplett durchlaufen lassen. 5. PC neu starten 6. Systemwiederherstellung wieder aktivieren. Seit dem bin ich den Quälgeist jedenfalls los  Da das Sch***ding allerdings den Zugriff auf die Regedit blockiert, hab' ich mit dem Registry-Editor von TuneUp (www.tuneup.de) gearbeitet. vlg Heiko |
|
| Themen zu "Licensing.exe" aka "TR/PSW.Stealer.1" ??? |
| ad-aware, datei, file, gen, hilfe, hilfe!, home, immer wieder, karte, kreditkarte, laptop, löschen, meinem, meldung, microsoft, neue, online, problem, programme, quara, sp2, spybot, startet, trojaner, unter, warning, win, win xp, windows, xp home |
