[Schädlings-Bekämpfung] Download Protect

Begonnen von Takeshi, 02. Februar 2016, 22:01:08

Vorheriges Thema - Nächstes Thema

0 Mitglieder und 1 Gast betrachten dieses Thema.

Takeshi

Irgendwann habe ich den Rechner samt Firefox gestartet, alle Add-ons waren weg, dafür war "Download Protect 2.2.15" da. Durch eine kurze Recherche kam ich schnell drauf, dass es sich dabei um einen Schädling handelt, der allerdings SEHR schwierig zu entfernen ist. Dafür musste ich mich durch viele Forenbeiträge wühlen, das möchte ich dir ersparen, sofern du betroffen bist.

Mein System
Spielt zwar wahrscheinlich keine Rolle, aber falls doch:
Betriebssystem: Windows 7
Browser: Firefox ESR v38.6.0

Verhalten
Nach Neustart von Windows ist das Add-on immer wieder da. Neuinstallation von Firefox oder, wie bei mir, das Zurücksetzen des Profils bringen keine dauerhafte Abhilfe.
Der Schädling verwendet im System immer wieder unterschiedliche Namen, weshalb eine Suche nach Dateinamen oder Registry-Schlüsseln nicht unbedingt funktioniert. Du musst ihn daher individuell auf deinem Rechner ausfindig machen.

Schädling löschen
- Dienst ausfindig machen und Start verhindern:
Klicke auf Start und gib in der Suchleiste "msconfig" ein, starte msconfig. Gehe auf den Reiter "Dienste" und blende alle Microsoft-Dienste aus. Optimalerweise bleiben nicht mehr viele übrig. Der Schädling ist jedenfalls unter denen verbleibenden Diensten zu suchen. Er trägt den Hersteller-Namen "Unbekannt" und "Wird ausgeführt". Da bleibt wahrscheinlich schon nur noch einer übrig. Das war bei mir "DnsBlock Update Service", wo anders war es "RDPCDD Windows for". Den Namen notieren! Sind mehrere da, versuche einige Dienste auszuschließen, zum Beispiel weil dir das Programm dahinter bekannt ist. Falls nicht, arbeite alle weiteren Schritte mit jedem potentiellen Dienst durch, bis er durch weitere Kriterien ausgeschlossen werden kann.
Entferne das Häkchen vor dem Dienst und starte den Rechner neu. Der Dienst wird nun nicht mehr gestartet.

- Datei hinter Dienst finden:
Gib nun in der Suchleiste "Dienste" ein und starte das Programm. Suche dort wieder nach dem Dienst-Namen (bei mir "DnsBlock Update Service"). Das Feld "Beschreibung" sollte leer sein. So kannst du den Dienst auch ausfindig machen, allerdings tauchen bei mir weitere Dienste ohne Beschreibung auf. Rechtklick -> Eigenschaften fördert dir den Dateinamen und Pfad zu dem Dienst, der sich in C:\Windows\System32 befindet.

- Dateien löschen:
Ja, es sind tatsächlich mehrere Dateien.
(1) Gehe in den System32-Ordner und suche die Datei (bei mir "DnsBlockUpdateSvc.exe", 146 kB groß), aber noch nicht löschen! Sofern noch nicht geschehen, stelle die Ansicht auf Detail-Ansicht. Nun machst du einen Rechtsklick oben, wo "Name", Änderungsdatum" usw. steht und lässt das Erstelldatum anzeigen und sortierst nach diesem. Neben der exe-Datei taucht bei mir nun noch eine weitere Datei auf (hier "dns.block", 461 kB groß, bei anderen "syncengd.exe"), die das gleiche Datum und auf die Minute die gleiche Uhrzeit hat. Notiere dir das Erstellungsdatum samt Uhrzeit und lösche die Dateien mit diesem Datum+Uhrzeit. Sollten sich die Dateien nicht löschen lassen, ist der Dienst noch aktiv, du hast ihn wahrscheinlich nicht deaktiviert.
(2) Eine weitere xpi-Datei (Erweiterung von Firefox) befindet sich in C:\Windows\Installer. Der Ordner wird üblicherweise ausgeblendet. Du kannst ihn einblenden lassen, oder du klickst oben in der Adressleiste auf das Ordner-Symbol, um in den Text-Modus zu kommen und gibst dort diese Adresse ein. In dem Ordner angekommen suchst du nach "xpi" (oben rechts eingeben). Dir wird nun eine xpi-Datei aufgelistet, die sich in einem Ordner mit kryptischen Namen befindet, der sich allerdings auch immer ändert, weshalb es unnötig ist ihn zu nennen. Rechtsklick auf die Datei -> "Dateipfad öffnen". Nun landest du in dem Ordner. Notiere dir Ordnernamen und Dateinamen, gehe eine Ebene zurück auf C:\Windows\Installer und lösche diesen Ordner.
(3) Im Ordner "Programme" und "Programme (x86)" befindet sich jeweils ein Ordner mit gleich aufgebautem (aber anderem) Namen, die drei Dateien enthalten, eine kryptische bin-Datei, eine "config.json" und "def.bin" enthalten. Die beiden Ordner löschen.

- Registry reinigen:
Rufe "Regedit" über das Suchfeld im Startmenü auf.
(1) Suche nach dem Namen der anfänglichen exe-Datei ohne die Dateiendung "exe" (also hier "DnsBlockUpdateSvc"), den du anfangs notiert hast. Es sollte sich ein Schlüssel (wie ein "Ordner") mit dem Namen in
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\",
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\" und
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\",
die löschst du alle. Wobei sich letzter von selbst bei mir aufgelöst hat, nachdem die anderen beiden gelöscht wurden.
(2) Jetzt wird die Erweiterung in Firefox gelöscht (hast du einen anderen Browser, überspringe den Punkt, der nächste sollte auch zum Ergebnis führen). Schließe Firefox. Gehe auf "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions\", dort befindet sich eine Zeichenfolge mit einem Verweis auf die XPI-Datei, die du vorher gelöscht hast. Diese den Schlüssel "Extensions" löschen (ohne den Schädling existiert der bei mir nicht).
(3) Suche nach allen Schlüsselnamen, die du dir vorher notiert hast, also alle "Codes" in den geschweiften Klammern. Ich bin mit dem Ordnernamen in "Programme" und "Programme (x86) auf Schlüssel mit "kryptischem Namen" in
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{...}\InprocServer32\",
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLibs\{...}\1.0\0\",
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLibs\{...}\1.0\0\" und
"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\TypeLibs\{...}\1.0\0\"
gestoßen, habe jeweils {...} komplett gelöscht, wobei sich die letzten beiden Einträge wieder automatisch mit gelöscht haben.

Schuldigen finden
Sollte dir danach noch langweilig sein, kannst du nach dem Programm suchen, mit dem du den Schädling installiert hast. Der wird über irgendeinen Installier mit in dein System gewandert sein. Durchsuche die Ordner "Programme" und "Programme (x86) nach Ordnern mit dem Erstellungszeitpunkt der in System32 erstellten exe-Datei. Da der Schädling mit dem "Nutz-Programm" zeitgleich installiert wurde, stimmen natürlich auch diese Zeiten überein. Bei mir scheint es "Unlocker" zu sein, was ich mir zwar kaum vorstellen kann, aber ein anderes Programm war da nicht. Werde ich noch mal überprüfen. Vielleicht habe ich da auch eine manipulierte Setup-Datei geladen.

Siehe auch
Ein sehr nützlicher Beitrag, der mir zur Lösung geholfen hat, ist bei Camp Firefox (#55 von Matsch2) zu finden.

grave_digga

ADWCleaner hätte den vermutlich gefunden. Ein sehr nützliches Tool wenn es um Adware geht.
<- Der da ist gerne hier. :)

Takeshi

Ich Habe auch viele Hinweise auf Programme gefunden, die das entfernen, aber ich wollte ungern auf ein solches Programm zurückgreifen, bei dem ich auch wieder nicht genau weiß, was es da alles tut. Wäre nicht der erste Schädling, der als Schädlingsbekämpfer getarnt ist. Und ich wäre mir dann auch nicht so sicher, ob der alles entfernt hätte, was ich jetzt entfernt hab. Hab im Zuge dessen noch ein paar andere Dinge gefunden und entfernt. Aber gut, ich stand noch die auf solche Blackbox-System-Cleaner. Das wäre wohl mein Ansatz, wenn ich es selbst nicht finde.

DerVix

Meine Freundin hat "DNS unlocker" aufm Laptop, echt, ich bekomme es nicht weg

Ich habe alles so wie du gemacht.. Neustart, wieder da.

Windows neu installieren.. Wieder da....

Sie hat sich mittlerweile dran gewöhnt, da es seit 5 Monaten drauf ist und ich nach über 10 Stunden aufgegeben habe..

Takeshi

Das würde ich ja gern noch mal näher angehen ;D Aber die nächsten Tage hab ich dafür keine Zeit, vielleicht mal nach Karneval. Scheint ja auch nicht wegzurennen.

grave_digga

Zitat von: DerVix am 03. Februar 2016, 22:04:16
Meine Freundin hat "DNS unlocker" aufm Laptop, echt, ich bekomme es nicht weg

Ich habe alles so wie du gemacht.. Neustart, wieder da.

Windows neu installieren.. Wieder da....

Sie hat sich mittlerweile dran gewöhnt, da es seit 5 Monaten drauf ist und ich nach über 10 Stunden aufgegeben habe..

Wenn Du Windows neu installiert hast dann kann das nicht sein. Du musst bei der Installation alle Partitionen löschen und neu anlegen, dann ist auch jeder Schädling weg. Hast Du allerdings irgendwelche Zweitplatten oder Wechseldatenträger kann der natürlich auch da drauf sein.
<- Der da ist gerne hier. :)

Takeshi

Ne, ganz so kritisch ist das nicht. Computer-Schädlinge sind noch immer kleine Programme, die erst mal ausgeführt werden müssen, die vermehren sich nicht von selbst wie Bakterien beim Menschen oder Tier. Deshalb halte ich nicht viel davon, dass man alles platt machen müsse. Alle Daten auf allen Datenträgern zu löschen, die man irgendwo hat, ist heute ziemlich realitätsfern. Den will ich sehen, wer heute alle seine Fotos, seine Musik- und Filmesammlung, Dokumente und was weiß ich nicht alles löscht, weil er einen Virus auf dem Rechner hat.

Ich hab mir das ja auch direkt nach der Neuinstallation von Windows eingefangen, über einen Installier vermute ich. So wird das hier auch sein.

grave_digga

Jo, halte ich auch für übertrieben, bis jetzt habe ich noch jeden Virus/Trojaner wegbekommen den sich irgendjemand eingefangen hat. Ich hatte schon ewig nichts mehr.
<- Der da ist gerne hier. :)

DerVix

Ich habe mal geschnüffelt und gemerkt das auf der hdd 300mb "Verschwunden sind", kann eine ausgeblendete partition der fall sein?

grave_digga

Ausgeblendet? Solltest Du zumindest in der Datenträgerverwaltung unter Windows sehen können, da werden alle Partitionen angezeigt.
<- Der da ist gerne hier. :)

Takeshi

Wie "verchwunden"? Ist eine Partition nun kleiner als vorher? Stimmt der belegte Platz nicht mit dem überein, was du erhältst, wenn du alle Ordner und Dateien zusammenzählst?
Aber ich glaube nicht, dass ein Schädling so was macht. Ich meine dafür müsste er ja die Partition verkleinern, was schon echt gefährlich sein kann, wenn man es normal macht. Damit könnt er sofort auffallen und dafür sorgen, dass der Rechner mit Schädling nicht mehr benutzt wird, weil das System nicht mehr läuft. Der Aufwand wäre da irgendwie nicht passend. Eher verstecken die sich im MBR. Bei dem hier glaube ich das aber alles nicht. Der Weg, wie er sich im System einnistet, ist ja grob bekannt. Er ändert zwar immer seine Namen, aber sicher nicht seine grundlegende Methode.

Windows reserviert für ein einige 100 MB in einer eigenen Partition und zeigt diese dann nicht an. Kann das vielleicht schon daran liegen?