Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: wscsvc32.exe + richtx64.exe = fake security alert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.12.2009, 21:49   #1
mailspamming
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Ich gebe mal alles zu dem Problem ausführlicher an.
Die Auflistung aller Vorkommnisse könnte anderen helfen,
die einen ähnlichen Problemverlauf hatten, aber die
Namen der EXE-Dateien auf ihrem System nicht entlarfen konnten.




Vorgeschichte zur Infektion
Während dem surfen im Internet wurden im Hintergrund auf meinen Rechner Daten geladen, die auch gleich von ANTIVIR als gefährlich gemeldet wurden. Allerdings wurde der Rechner so extrem stark verlangsamt, dass ich nichts mehr wegklicken konnte.

Auf jedenfall haben es die Daten im Hintergrund wohl geschafft einen gefälschten Security Alert (gefälschtes SicherheitsCenter) rechts unten in der Taskleiste vorzutäuschen, der dann aus versehen auch noch geklickt wurde und dann irgendwelche Daten nachgeladen hatte.

Hier habe ich dann sofort die Internetverbindung unterbrochen, war aber wohl zu spät...Das Abbrechen von Anwendungen oder Prozessen war durch STR-ALT-ENF auch nicht mehr möglich, vielmehr hat es dazu geführt, dass der Mauszeiger und danach das System eingefroren ist.

Auswirkungen:
1. Der Rechner startet in der Anfangsphase langsamer (insbesondere der Starbildschirm mit den ersten Sekunden "WINDOWS XP" wird irgendwie ungewohnt abgehakt und verlangsamt abgespielt - danach bootet das System (scheinbar) normal.
2. Unreglmäßige nicht nachvollziehbare Hänger beim Booten. (mal bootet das System normal durch, beim nächsten Neustart bleibt es kurz vor Ende der Bootsequenz hängen und der Bildschirm SCHWARZ...nochmal booten und es geht wieder...)
3. Nachdem das System korrekt bootet, kann es vorkommen dass der MAUSZEIGER umherspringt oder dass das System mit einem PFEIFTON einfriert. Hier hilft auch nur noch ein Neustart.

Recherche & versuchte Fehlerbehebung
Ich konnte anscheinend die Infektion nicht ganz verhindern, aber wahrscheinlich konnte die Malware durch den Abbruch der Internet-Verbindung und den Neustart auch nicht alle "Taten" vollenden (die Auswirkungen 2. und 3. könnten also theoretisch auch ihre Ursache darin haben, dass Prozesse unterbrochen wurden)

Ich hab mein System (soweit mit normalen "Suche"-Mitteln möglich) nach allen neuen Dateien und Änderungen durchsucht und bin dann auf die Dateien wscsvc32.exe und richtx64.exe gestoßen, die beide in der selben Minute auf dem System neu erstellt wurden, als ich mir die Malware eingefangen hatte. Durch Eingabe in Google der Dateinamen, bestätigte sich, dass diese eigentlich nichts auf dem Rechner zu suchen haben.

Bei einer weiteren Suche nach "wscsvc32" und "richtx64" auf dem System hab ich im Windows-Ordner "PREFETCH" die Dateien
RICHTX64.EXE-288E60C5.pf (11,7 kb Größe) und
WSCSVC32.EXE-01761A09.pf (46,6 KB Größe) gefunden.

MEIN erstes Vorgehen (riskant und nicht zur Nachahmung empfohlen)
- Systemwiederherstellung deaktiviert.
- Alle Dateien die mit wscsvc32 und richtx64 zu tun hatten, vom System von Hand gelöscht, eventuell vor dem Löschen umbenannt.
(in der Hektik konnte ich mir leider die anderen Namen und Dateien nicht mehr merken).
- alle "tmp" und "temp" Dateien vom System gelöscht
- Mit CCleaner Windows und Registry gesäubert.

vorläufiges Ergebnis:
Kann relativ normal wieder auf das System zugreifen, die Infektion wirkt sich nicht mehr stark aus, ist aber wohl noch vorhanden, da
a) der sichtbar verzögerte Start zu Beginn des Windows XP Logos weiterhin besteht.
b) In der registry ist unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start der DWORD-Wert "4" eingetragen, also "Microsoft.WindowsSecurityCenter_disabled". Ich habe mehrmals versucht den Wert zu ändern, es geht aber nicht, jedesmal ist das echte "Windows Security Center" wieder deaktiviert (das hat die Malware wohl geändert um sich selbst dort einzunesten).

c) Die Malware hatte anscheinend gezielt spezielle Programme deaktiviert bzw. hindert diese am Start
ANTIVIR war bereits vorher installiert - Doppelklick auf das Programm....nichts passiert!!
Malwarebytes-Anti-Malware habe ich mir heruntergeladen und installiert, lässt sich NICHT STARTEN.
Spybot - Search & Destroy lässt sich installieren, aber NICHT STARTEN.

Es werden nicht alle Programme am Start gehindert:
Lavasoft Ad-Aware z.B. kann problemlos gestartet werden. (findet aber nichts auf dem System).


Ich habe einige Anti-Virus und AntiMalware Programme getestet, die laufen:
GMER warnt vor durch ein Rootkit verursachte Änderungen:

---- Modules - GMER 1.0.15 ----
Module \systemroot\system32\drivers\H8SRTomyqbdakms.sys (*** hidden *** ) AA96C000-AA988000 (114688 bytes)

---- Processes - GMER 1.0.15 ----
Library \\?\globalroot\systemroot\system32\H8SRTuyfwbwhboe.dll (*** hidden *** ) @ C:\WINXP\system32\svchost.exe [1056] 0x00AB0000
Library \\?\globalroot\systemroot\system32\H8SRTuyfwbwhboe.dll (*** hidden *** ) @ C:\WINXP\Explorer.EXE [1472] 0x10000000
---- EOF - GMER 1.0.15 ----



Fragen:
Auch wenn ich trotz allem das System neu aufsetzen muß, wären doch diese 3 Fragen wichtig:
1. Wie können Programme gezielt am Start gehindert werden - und wie kann man das wiederherstellen/rückgängig machen, damit wenigstens Malwarebytes startet? Gibt es dazu vielleicht auch einen einfachen Registry-Schlüssel wie beim Security-Center?
2. Wie kann ich gegen das Rootkit-Problem (ohne Malwarebytes-Anti-Malware, sofern Frage 1 nicht geklärt werden kann) mit den drei (siehe oben) von GMER gefundenen Dateien lösen?
3. Und wäre eine Neuinstallation von Windows hier tatsächlich sicher genug wenn es sich offensichtlich um sehr tief eingreifende Malware handelt, die offensichtlich schon vor dem booten geladen wird? Sollte man nicht versuchen, das System vorher möglichst gut zu säubern?

Alt 26.12.2009, 22:27   #2
BukkaOne
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Hi,

ich kann dir zwar nicht weiter helfen, habe aber dies mit dem A-Squared 4.5 soweit wie du in den Griff bekommen. Natürlich habe ich die gleichen Fragen und würde gerne mein Sys. nicht neu aufsetzten, da ich wichtige programme zum Arbeiten drauf habe.

Eine kleine Anmerkung habe ich dennoch. Beim Scannen mit A-Squared hatte ich öfters einen BlueScreen mit der Mitteilung das ich ein Hardware Problem hätte. Dies habe ich dürch das UpDaten meines WinXp in den Griff bekommen.

--> WinFuture_WinXPsp3_UpdatePack_3.18_Dezember-2009-Vollversion

Danke, schon mal an den jeniegen der das Prob. löset.

MfG Bukka
__________________


Alt 26.12.2009, 23:38   #3
darkibaby
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Aloha,

dieses Problem hat meine Freundin auch seit vorgestern auf ihrem Rechner.
Da wir uns einen Film angeschaut hatten und uhrplötzlich der Bildschirm eingefrohen ist und der Rechner plötzlich einen Neustart hingelegt hatte.
Ich hatte auf ihren Rechner Antivir drauf,diese wollte anscheinend genau als der Rechner sich runterfahren wollt,ne Melodie abgespielt,die Melodie kommt immer wenn er einen Virus oder ähnliches Gefunden hatte.
Naja Rechner Startet neu und genau die von dir gennanten Programme sind auf ihren Rechner Installiert.
Wollt ich einen Viren Check mal machen da es stark nach einen Virus aussah.
Naja Anti Vir ging irgend wie nicht,doppelklick o.ä. brahcte nichts.Aus der Autostart Liste war Anti Vir auch verschwunden,Spybot ging ebenfalls nicht.
Dacht ich mir mh..lösch ich halt die 2 Neuinstalliereten Programme,die angeblichen "security alert" und nochn Programm unten inner Leiste,neben der Uhr.
Deinstallieren ging ohne Probleme,trozdem Startete keins der Programme um gegen den Virus vorzugehen.
Da hab ich mir auf die Schnelle Avast runtergeladen (Avast 4.8 Home)
dieser fand auch den Virus und hat ihn direkt gelöscht.
Nach Reboot wieder mit Avast drüber laufen lassen,wieder Fund,wieder gelöscht,das ging so in etwa 5-9 x..
danach habe ich alle funde in den container geschoben,anschliessend ging es wieder etwas flotter mit dem Booten und ich hatte wieder etwas zugrieff auf den Pc.

Avast fand nichts mehr,hab jede 1h mal drüber laufen lassen...keine funde.
Trozdem bin ich der meinung das,der Virus immer noch vorhanden ist,weil wäre ja schwachsin wenn so ein "mächtiger" Virus,ohne Bestätigung mal mein Anti Virus Programm deaktiviert und auch Spybot und nach Deinstallieren der 2 oben gennanten Programme uhrplötzlich aufgibt und sich löschen bez. in den Container schieben lässt.

Wie gesagt wenn jemand ne Info drüber hat immer her damit ich bin für jede Hilfe offen

Ps: Google spuckt keinerlei Lösungs vorschläge aus wie man das Problem beheben kann und ne Neuinstalltion weiß ich nicht,kann ja wie der Thread hersteller sagte im System drin sich eingenschleust haben und trozdem noch anwesend sein.

Grüße
__________________

Alt 27.12.2009, 23:51   #4
Passi29
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Hallo zusammen!
Alle die Symptome die Ihr gesagt habt hatte ich auch. Adaware könnt Ihr vergessen, genauso wie Spybot. Spyhunter und Spyware Doctor kosten. Ich habe vorher allerdings Malware Defender auf dem Rechner gehabt der alles andere eingeschleust hat. Richtig losgeworden bin ich es durch Spyhunter beim Online Scan (Malware Defender) und den richtx64.exe hab ich mit AVG Antivir weg bekommen, jetzt ist ruhe. Passt aber auch auf mit Adobe Reader, da ist im Moment noch eine Sicherheitslücke wofür es noch kein Update gibt. Waren tolle Weihnachtstage. Hab 3 mal ein Image meiner Festplatte aufgespielt und gefummelt ohne Ende, aber ich hab es geschafft ;-)
Und Malware Defender ist Hartnäckig, hab nix runter geladen, war auf einmal da und lauter Porno Icons aufm Bildschirm. Dazu die gefakten Sicherheitswarnungen von Microsoft. Dann ging gar nix mehr, weder Antivirenprogramm noch Internet. Sehr schwer weg zu bekommen da er sich in die Boot Datei schreibt usw. Haltet die Ohren steif ;-)

Greetz

Passi ;-)

Alt 28.12.2009, 06:15   #5
Argus
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Schau hier mal nach
http://www.trojaner-board.de/80879-pc-langsam-programme-funktionieren-nicht-hjt-malwarebytes-rsit-auswertung.html#post489596


Alt 28.12.2009, 14:48   #6
KarlKarl
/// Helfer-Team
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Zitat:
Hab 3 mal ein Image meiner Festplatte aufgespielt
Also einmal sollte reichen ...

Alt 28.12.2009, 15:33   #7
Bullabeiser
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Fragen von Mailspamming, soweit ich diese beantworten kann:

Fragen:
1. Wie können Programme gezielt am Start gehindert werden - und wie kann man das wiederherstellen/rückgängig machen, damit wenigstens Malwarebytes startet? Gibt es dazu vielleicht auch einen einfachen Registry-Schlüssel wie beim Security-Center?
2. Wie kann ich gegen das Rootkit-Problem (ohne Malwarebytes-Anti-Malware, sofern Frage 1 nicht geklärt werden kann) mit den drei (siehe oben) von GMER gefundenen Dateien lösen?
3. Und wäre eine Neuinstallation von Windows hier tatsächlich sicher genug wenn es sich offensichtlich um sehr tief eingreifende Malware handelt, die offensichtlich schon vor dem booten geladen wird? Sollte man nicht versuchen, das System vorher möglichst gut zu säubern?

Antworten:
1. Der einfachste Weg wäre eine DLL zu killen bzw. nur ein paar Bits/Bytes zu verbiegen. Wer nen Virus bzw. ein Rootkit programmieren kann, der weiss, wie das geht. Früher hat man mal gesagt: Einsprungadresse verbiegen - fertig.

2. Gmer kann das Problem doch selbst lösen. Datei/Dienst/Service anklicken, Rechtsklick. Ggf. zuerst deaktivieren, dann nochmal und löschen.
Alternativ Kiste mit ner Linux-CD oder Linux-Stick booten (muss NTFS können), Dateien von Hand suchen und löschen. da Win ja nicht aktiv ist, geht das ganz easy.
Anleitung für Stick habe ich da veröffentlicht. F-prot hat den Vorteil, dass es sich bei aktiver Netzverbindung automatisch aktuallisiert und das auf den Stick schreibt. Antivir tut das nicht, braucht Updatequelle auf Datenträger. Und zum händischen löschen: Puppy-Linux, das kann NTFS. Dateien suchen und löschen - und aus ist's mit Rootkit.

3. Wenn die Festplatte vor einer Installation durchformatiert wird (keinesfalls Schnellformatierung), dann ist auch das Rootkit weg.

Hoffe etwas geholfen zu haben.

Alt 28.12.2009, 19:55   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Zitat:
Zitat von Bullabeiser Beitrag anzeigen
3. Wenn die Festplatte vor einer Installation durchformatiert wird (keinesfalls Schnellformatierung), dann ist auch das Rootkit weg.
Da muss ich widersprechen
Um Schädlinge zu killen, reicht auch ein Quickformat aus, danach ist die Platte logisch frei und Dateien können nur mit forensischen Tools wiederhergestellt werden.
Bis XP ist es sicherheitstechnisch (bzgl sicherer Löschung von Daten) eh egal, ob man schnell oder normal formatiert. Beim normalen Format wird nur lesendweise die Platte auf Fehler überprüft, es werden aber keine Daten (sicher!) gelöscht.
Erst ab Vista wird beim normalen Format die Partition mit Nullen gefüllt.

Genug kluggeschissen
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.12.2009, 08:49   #9
Bullabeiser
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Danke für die Info. Ich war der felsenfesten "Überzeugung", dass XP das analog Vista macht.

Alt 30.12.2009, 17:11   #10
admin219
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Hallo Zusammen,

habe das Problem manuell gelöst. Es läuft 1 Prozess im Kontext des infizierten Benutzers "wscsvc32.exe". Dieser Prozess ruft die gefälschte Windows Firewall Meldung auf.

Die Datei wscsvc32.exe liegt im TEMP Ordner des infizierten Benutzers. C:\Dokumente und Einstellungen\%Benutzername%\Lokale einstellungen\Temp\wscsvc32.exe

Die Datei kann nur gelöscht werden, wenn vorher der Prozess über den Taskmanager beendet wird. Ihr müsst also fix sein. Prozess beenden und sofort die Datei löschen, da sich der Prozess nach ca. 3 Sekunden wieder selbst startet.

Danach solltet ihr Ruhe haben.

Entgegen diverser Meldungen im Netz, konnte ich keine Veränderungen in der HOST Datei feststellen. Genauso wenig wurde die Registry verändert. Dies rührt wahrscheinlich daher, dass unsere User nur eingeschränkte Rechte auf den Systemen haben.

wscsvc32.exe startet nur im Userkontext. Es ist also kein genereller Befall des Systems, sondern "nur ein Userbefall"

Schöne Grüße

Admin219

Alt 30.12.2009, 18:52   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
wscsvc32.exe + richtx64.exe = fake security alert - Ausrufezeichen

wscsvc32.exe + richtx64.exe = fake security alert



Zitat:
Danach solltet ihr Ruhe haben.
Mit Verlaub, aber das ist Quark. Meistens ist auf den Kisten mehr drauf und ich würde mich garantiert NIEMALS drauf verlassen, dass das Löschen dieser einen Datei ausreicht!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.12.2009, 20:01   #12
KarlKarl
/// Helfer-Team
 
wscsvc32.exe + richtx64.exe = fake security alert - Standard

wscsvc32.exe + richtx64.exe = fake security alert



Zitat:
Prozess beenden und sofort die Datei löschen, da sich der Prozess nach ca. 3 Sekunden wieder selbst startet.
Da ist schon mal ein Knick in der Logik. Ein beendeter Prozess läuft nicht, kann also nichts starten, also auch nicht sich selbst. Womit aus
Zitat:
Meistens ist auf den Kisten mehr drauf
eine Gewissheit wird. Irgendwas anderes ist da, was den wieder startet.

Antwort

Themen zu wscsvc32.exe + richtx64.exe = fake security alert
abbruch, ad-aware, alert, alle programme, antivir, eingefroren, exe-dateien, fehlerbehebung, frage, google, hängen, internet, löschen, malware, microsoft.windowssecuritycenter_disabled, neu aufsetzen, neustart, neustart., prefetch, problem, programme, prozesse, registry, rootkit, security, sekunden, svchost.exe, system, system neu, system neu aufsetzen, taskleiste, temp, trojaner, windows, windows security, windows xp, ändern



Ähnliche Themen: wscsvc32.exe + richtx64.exe = fake security alert


  1. fake alert
    Plagegeister aller Art und deren Bekämpfung - 21.10.2013 (1)
  2. Virus blockiert System -> "alert[1].htm" fake alert.AP -> 100 € Forderung
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (15)
  3. Internet Security /Security Warning , Fake Security Programm
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (11)
  4. AntiVirus Software Alert / Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 15.01.2011 (19)
  5. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (1)
  6. Fake Microsoft Security Essentials Alert
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (24)
  7. Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (26)
  8. Windows Security Alert / AV Security Suite / Antivirus Software Alert / gefakter AV lähmt PC
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  9. selbe problem mit Windows Security Alert - Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (3)
  10. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (21)
  11. Windows Security Alert / AV Security Suite / Antivirus Software Alert// Ohne Internet
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (1)
  12. Fake Windows Security Alert & Antivirus // Entfernt, aber ist wirklich alles weg?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2010 (5)
  13. Fake Alert
    Log-Analyse und Auswertung - 27.02.2010 (5)
  14. LÖSUNG: settdebugx wscsvc32 richtx64 Installer.exe
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (10)
  15. system alert, windows security alert und fremde antiviren programme
    Plagegeister aller Art und deren Bekämpfung - 01.01.2010 (51)
  16. Fake Security Center Alert / Antivirusprogramme geblockt
    Log-Analyse und Auswertung - 18.12.2009 (3)

Zum Thema wscsvc32.exe + richtx64.exe = fake security alert - Ich gebe mal alles zu dem Problem ausführlicher an. Die Auflistung aller Vorkommnisse könnte anderen helfen, die einen ähnlichen Problemverlauf hatten, aber die Namen der EXE-Dateien auf ihrem System nicht - wscsvc32.exe + richtx64.exe = fake security alert...
Archiv
Du betrachtest: wscsvc32.exe + richtx64.exe = fake security alert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.