Komisch versteckte DLL Datei

sharyka

Newbie
Dabei seit
Sep. 2019
Beiträge
4
Guten Morgen,

da mein PC was langsamer geworden ist wollte ich ihn mal wieder von Datenmüll befreien.
Nun ist mir ein versteckter Ordner mit einer DLL-Datei aufgefallen, der sehr merkwürdig daher kommt.

Wie checke und entferne ich das am besten ?

C:\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghia.dll

Einfaches löschen hab ich vorerst nicht versucht. Hab es mal bei Virustotal.com hochgeladen und neu analysieren lassen.
Ergebnis 0/68, allerdings steht dann oben auch "40df41274dc93e2d112d4df0dd727bc977f4890287477d14c520e96964c3b337 MSCMS.DLL" also ein ganz anderer DLL Name ?!

Auf dem PC läuft ESET Internet Security 12 & Malwarebyte Free
 

Lord_Dragon

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.995
Komische Ordnerstruktur hast du da XD

Kleiner Spaß. Hast du mal die DLL im Internet gesucht ?
 

Bruzla

Lt. Commander
Dabei seit
Okt. 2013
Beiträge
1.946
Windows 10? Windows 7?

Wenn Windows 7 dann: Daten sichern(!) - SSD besorgen falls noch nicht vorhanden - Windows 10 auf SSD installieren und mit dem Windows 7 Key aktivieren. Danach erstmal Updates laufen lassen und im Anschluss nur die Software installieren, die du auch wirklich nutz, keiner weiterer Virenscanner neben dem Windows Defender.

IdR werden Rechner nicht wegen "Datenmüll" langsam, sondern weil die HDD einfach schlapp macht.
 

sharyka

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2019
Beiträge
4
Windows 10 ist drauf und läuft auf einer SSD, langsamer werden ehr die Dinge auf der HDD was vielleicht auch an den Betriebsstunden liegt.

Bei Google hab ich gerade nichts speziell zu der dll gefunden, die Ordnerstruktur und der Name sind ja echt merkwürdig...
 

Lord_Dragon

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.995
Was steht in den Eigenschaften als Erstellungsdatum? Vll kannst du irgendwelche Softwareinstallationen damit assoziieren.

Wenn du auf absolut Nummer sicher gehen willst: Daten sichern und Neu aufsetzen
 

/root

Lt. Commander
Dabei seit
Okt. 2007
Beiträge
1.264

cyberpirate

Vice Admiral
Dabei seit
Jan. 2007
Beiträge
6.942
Du hast es nicht verstanden (hahaha)! Bei einem möglichen Befall sollte man halt mit einer Rescue BootCD/Stick den PC scannen. Lies dich doch mal dazu ein. Dieser wird ja nicht installiert sondern wie schon geschrieben ausserhalb des Betriebssystems gestartet.

Und ja Win10 hat einen sehr guten eigene Scanner!
 

/root

Lt. Commander
Dabei seit
Okt. 2007
Beiträge
1.264
Aber wenn dieser tolle "extra" Virenscanner einen Befall erkennen/bereinigen kann, warum verwende ich ihn dann nicht gleich von Anfang an? ;)
 

Kenny [CH]

Commodore
Dabei seit
Mai 2008
Beiträge
4.113
2. Du verlinkst auf einen "extra" Virenscanner

Muss man das verstehen? :lol:
Du hast den Link nicht angeschaut. Der Link führt zu einer Rescue Disk - also ein Image, welches auf ein Stick/CD kopiert werden kann, um direkt davon zu Booten und somit das System zu Scannen!

Ich habe mal nach der DLL gegoogelt und folgendes Google Docs gefunden:
https://docs.google.com/document/d/1T5LPY3qDkxmR1XVgxnsKW42lggS5iSjtQwFXOtNfqMM/edit

Das Doc beinhaltet C++ Code, was der genau machen würde/könnte habe ich jetzt nicht genauer angeschaut. Aber klar ist. der Datei Pfad der erstellt wird in dem File, würde mit diesem auf deinen System übereinstimmen.

Aber wenn dieser tolle "extra" Virenscanner einen Befall erkennen/bereinigen kann
m( auf so vielen Levels. Ich würde erst mal informieren.

Kurz gesagt: Es gibt Schadware, welche sich "Verstecken" können, so das der Virenschutz (egal welcher!) auf dem System diese Datei nicht Scannen kann oder eine falsche Datei scannt.
Einen bootbaren Virenscanner ist davon nicht betroffen, da die Schadware in diesem Kontext nicht läuft.
 
Zuletzt bearbeitet:

cyberpirate

Vice Admiral
Dabei seit
Jan. 2007
Beiträge
6.942
Aber wenn dieser tolle "extra" Virenscanner einen Befall erkennen/bereinigen kann, warum verwende ich ihn dann nicht gleich von Anfang an? ;)
Willst Du es nicht verstehen? Es gibt eben keinen 100% Schutz. Daher kann man bei einen Befall oder evtl. befall einen extern Scanner benutzen. Und nur dafür benutze ich einen solchen externen. Scanner. Es gibt auch Fälle da erkennt der installierte Scanner wohl etwas. kann aber nicht alles unter Windows bereinigen! Was kann man da wohl versuchen? Solltest Du jetzt sogar selbst drauf kommen.
 

modiple

Lt. Commander
Dabei seit
Feb. 2008
Beiträge
1.065

/root

Lt. Commander
Dabei seit
Okt. 2007
Beiträge
1.264
Du hast den Link nicht angeschaut. Der Link führt zu einer Rescue Disk - also ein Image, welches auf ein Stick/CD kopiert werden kann, um direkt davon zu Booten und somit das System zu Scannen!
Natürlich kenne ich den Link, ich kenne auch die Rescue Disk von Kaspersky ganz gut - es ist aber unsinnig zu behauptet der interner AV reicht und dann auf einen Third Party AV zu verweisen (egal in welcher Form der verwendet wird).

Die Praxis hat gezeigt dass der Defender AV eben oft nicht reicht und es effektivere Alternativen gibt. Der Defender hat nicht mal einen Memory Scanner im Gegensatz zur Kaspersky Engine - fileless oder verschlüsselte Malware fliegt da ganz lässig unter dem Radar. Das hat nichts mit 100% Schutz zu tun. Ich bin übrigens Malware Analyst und beschäftige mich mit solchen Themen seit 10 Jahren.

Ich glaube ihr seid diejenigen die nicht verstehen ...
 

Kenny [CH]

Commodore
Dabei seit
Mai 2008
Beiträge
4.113
@sharyka wenn du nicht herausfindest, was die Datei macht, würde ich dir empfehlen asap dein Windows neu zu installieren.

@/root
es gibt immer effektivere Schutzmassnahmen - die Frage ist nur ob die benötigten Ressourcen der Schutzmassnahmen einen effektiven mehr wert liefern und das tun die meisten externen Virenscanner nicht. Sie fressen Ressourcen für minimal höheren Schutz. Wenn du Malware Analyst bist, darfst du gerne die DLL des TE analysieren und den Feedback abgeben. Aber meiner Meinung nach, sollte man als Malware Analyst mit 10 Jähriger erfahrung, nicht so einfach eine undifferenzierte Aussagen in den Raum werfen. Und wenigstens gleich mit Fakten auftauchen...
 
Zuletzt bearbeitet:

cyberpirate

Vice Admiral
Dabei seit
Jan. 2007
Beiträge
6.942

zazie

Commander
Dabei seit
Aug. 2005
Beiträge
2.165
Ich vermute, ihr habt nicht gut genug gesucht, um die DLL zu identifizieren. Die MSCMS.DLL stammt von Microsoft, die lange einleitende Zahlenfolge ist der SHA256 Hash (oder Schlüssel?). Siehe
Link1 oder Link2
 

areiland

Rear Admiral
Dabei seit
Apr. 2010
Beiträge
5.641
Natürlich kenne ich den Link, ich kenne auch die Rescue Disk von Kaspersky ganz gut - es ist aber unsinnig zu behauptet der interner AV reicht und dann auf einen Third Party AV zu verweisen (egal in welcher Form der verwendet wird).
Schon mal was von einer zweiten Meinung gehört?
Wenn man sowas wie der TE findet und der laufende Virenscanner hats nicht angemeckert, ist es nie verkehrt mit einem anderen Virenscanner die Gegenprobe zu machen. Daran ist nichts unsinnig - unsinnig ist nur blindes Vertrauen in die selbst gewählte Sicherheitslösung. Denn die kann immer auch einen blinden Fleck besitzen, den andere Virenscanner nicht haben müssen.
 

/root

Lt. Commander
Dabei seit
Okt. 2007
Beiträge
1.264
@areiland
In der Fachsprache nennt man das Multi-Vendor Strategy und wird bei AVs heutzutage weitgehend kompensiert indem sie ihre Threat Intelligence und IOCs teilen. Manche AVs (wie der Defender) können aber nicht alle verfügbaren IOCs kontinuierlich abgleichen weil ihnen dafür Module fehlen.
 

derlorenz

Lt. Commander
Dabei seit
März 2011
Beiträge
1.123
Die Diskussion bringt dem TE jetzt nicht ganz so viel, ausser dass sich alle Beteiligte durch die Beiträge scrollen müssen...

Also am besten warten wir einfach mal ab, bis @sharyka seinen PC gescannt hat ;-)
 

carnival55

Ensign
Dabei seit
Jan. 2017
Beiträge
203
Da es augenscheinlich noch niemand vorgeschlagen hat:
Wenn sich der Verdacht einer Infektion erhärtet, leistet desinfec't häufig gute Dienste. (Link)
Wurde ja schon mehrfach angeregt, "extern" zu scannen, wenn das betroffene Windows nicht gebootet ist.
Falls danach immer noch Zweifel bestehen:
  • Festplatte(n) formatieren
  • Windows neu installieren
  • relevante Daten aus dem Backup wiederherstellen
 
Top