Komisch versteckte DLL Datei

[sharyka]

Guten Morgen,

da mein PC was langsamer geworden ist wollte ich ihn mal wieder von Datenmüll befreien.
Nun ist mir ein versteckter Ordner mit einer DLL-Datei aufgefallen, der sehr merkwürdig daher kommt.

Wie checke und entferne ich das am besten ?

C:\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghijklmnopqrs\abcdefghia.dll

Einfaches löschen hab ich vorerst nicht versucht. Hab es mal bei Virustotal.com hochgeladen und neu analysieren lassen.
Ergebnis 0/68, allerdings steht dann oben auch "40df41274dc93e2d112d4df0dd727bc977f4890287477d14c520e96964c3b337 MSCMS.DLL" also ein ganz anderer DLL Name ?!

Auf dem PC läuft ESET Internet Security 12 & Malwarebyte Free

 

[Lord_Dragon]

Komische Ordnerstruktur hast du da XD

Kleiner Spaß. Hast du mal die DLL im Internet gesucht ?

 

[Bruzla]

Windows 10? Windows 7?

Wenn Windows 7 dann: Daten sichern(!) - SSD besorgen falls noch nicht vorhanden - Windows 10 auf SSD installieren und mit dem Windows 7 Key aktivieren. Danach erstmal Updates laufen lassen und im Anschluss nur die Software installieren, die du auch wirklich nutz, keiner weiterer Virenscanner neben dem Windows Defender.

IdR werden Rechner nicht wegen "Datenmüll" langsam, sondern weil die HDD einfach schlapp macht.

 

[sharyka]

Windows 10 ist drauf und läuft auf einer SSD, langsamer werden ehr die Dinge auf der HDD was vielleicht auch an den Betriebsstunden liegt.

Bei Google hab ich gerade nichts speziell zu der dll gefunden, die Ordnerstruktur und der Name sind ja echt merkwürdig...

 

[Lord_Dragon]

Was steht in den Eigenschaften als Erstellungsdatum? Vll kannst du irgendwelche Softwareinstallationen damit assoziieren.

Wenn du auf absolut Nummer sicher gehen willst: Daten sichern und Neu aufsetzen

 

[cyberpirate]

Erstens braucht es für Win10 keinen extra Virenscanner. Die machen meist mehr Probleme als diese nützen. Und ich würde mal den PC extern mit einem Scanner laufen lassen. zb:

https://support.kaspersky.com/de/viruses/krd2018

oder einem anderen Deiner Wahl.

 

[/root]

Erstens braucht es für Win10 keinen extra Virenscanner. Die machen meist mehr Probleme als diese nützen. Und ich würde mal den PC extern mit einem Scanner laufen lassen. zb:

https://support.kaspersky.com/de/viruses/krd2018

oder einem anderen Deiner Wahl.

1. Du meinst man braucht keinen "extra" Virenscanner für Win10
2. Du verlinkst auf einen "extra" Virenscanner

Muss man das verstehen?

 

[cyberpirate]

Du hast es nicht verstanden (hahaha)! Bei einem möglichen Befall sollte man halt mit einer Rescue BootCD/Stick den PC scannen. Lies dich doch mal dazu ein. Dieser wird ja nicht installiert sondern wie schon geschrieben ausserhalb des Betriebssystems gestartet.

Und ja Win10 hat einen sehr guten eigene Scanner!

 

[/root]

Aber wenn dieser tolle "extra" Virenscanner einen Befall erkennen/bereinigen kann, warum verwende ich ihn dann nicht gleich von Anfang an?

 

[Kenny [CH]]

2. Du verlinkst auf einen "extra" Virenscanner

Muss man das verstehen?

Du hast den Link nicht angeschaut. Der Link führt zu einer Rescue Disk - also ein Image, welches auf ein Stick/CD kopiert werden kann, um direkt davon zu Booten und somit das System zu Scannen!

Ich habe mal nach der DLL gegoogelt und folgendes Google Docs gefunden:
https://docs.google.com/document/d/1T5LPY3qDkxmR1XVgxnsKW42lggS5iSjtQwFXOtNfqMM/edit

Das Doc beinhaltet C++ Code, was der genau machen würde/könnte habe ich jetzt nicht genauer angeschaut. Aber klar ist. der Datei Pfad der erstellt wird in dem File, würde mit diesem auf deinen System übereinstimmen.

Aber wenn dieser tolle "extra" Virenscanner einen Befall erkennen/bereinigen kann

m( auf so vielen Levels. Ich würde erst mal informieren.

Kurz gesagt: Es gibt Schadware, welche sich "Verstecken" können, so das der Virenschutz (egal welcher!) auf dem System diese Datei nicht Scannen kann oder eine falsche Datei scannt.
Einen bootbaren Virenscanner ist davon nicht betroffen, da die Schadware in diesem Kontext nicht läuft.

 

[cyberpirate]

Aber wenn dieser tolle "extra" Virenscanner einen Befall erkennen/bereinigen kann, warum verwende ich ihn dann nicht gleich von Anfang an?

Willst Du es nicht verstehen? Es gibt eben keinen 100% Schutz. Daher kann man bei einen Befall oder evtl. befall einen extern Scanner benutzen. Und nur dafür benutze ich einen solchen externen. Scanner. Es gibt auch Fälle da erkennt der installierte Scanner wohl etwas. kann aber nicht alles unter Windows bereinigen! Was kann man da wohl versuchen? Solltest Du jetzt sogar selbst drauf kommen.

 

[modiple]

Vielleicht mal versuchen die dll Datei zu lesen. Eventuell gibt sie mehr Infos her, wofür sie da ist.
Infos dazu hier:
https://praxistipps.chip.de/dll-dateien-oeffnen-so-gehts_49461

 

[/root]

Du hast den Link nicht angeschaut. Der Link führt zu einer Rescue Disk - also ein Image, welches auf ein Stick/CD kopiert werden kann, um direkt davon zu Booten und somit das System zu Scannen!

Natürlich kenne ich den Link, ich kenne auch die Rescue Disk von Kaspersky ganz gut - es ist aber unsinnig zu behauptet der interner AV reicht und dann auf einen Third Party AV zu verweisen (egal in welcher Form der verwendet wird).

Die Praxis hat gezeigt dass der Defender AV eben oft nicht reicht und es effektivere Alternativen gibt. Der Defender hat nicht mal einen Memory Scanner im Gegensatz zur Kaspersky Engine - fileless oder verschlüsselte Malware fliegt da ganz lässig unter dem Radar. Das hat nichts mit 100% Schutz zu tun. Ich bin übrigens Malware Analyst und beschäftige mich mit solchen Themen seit 10 Jahren.

Ich glaube ihr seid diejenigen die nicht verstehen ...

 

[Kenny [CH]]

@sharyka wenn du nicht herausfindest, was die Datei macht, würde ich dir empfehlen asap dein Windows neu zu installieren.

@/root es gibt immer effektivere Schutzmassnahmen - die Frage ist nur ob die benötigten Ressourcen der Schutzmassnahmen einen effektiven mehr wert liefern und das tun die meisten externen Virenscanner nicht. Sie fressen Ressourcen für minimal höheren Schutz. Wenn du Malware Analyst bist, darfst du gerne die DLL des TE analysieren und den Feedback abgeben. Aber meiner Meinung nach, sollte man als Malware Analyst mit 10 Jähriger erfahrung, nicht so einfach eine undifferenzierte Aussagen in den Raum werfen. Und wenigstens gleich mit Fakten auftauchen...

 

[cyberpirate]

Ich glaube ihr seid diejenigen die nicht verstehen ...

Gut belassen wir es dabei. Ich sehe es anders. Und er Defender ist genauso gut oder schlecht wie Kaspersky oder andere. Aber das gehört hier auch nicht zum Thema. Von daher habe ich alles gesagt.

 

[zazie]

Ich vermute, ihr habt nicht gut genug gesucht, um die DLL zu identifizieren. Die MSCMS.DLL stammt von Microsoft, die lange einleitende Zahlenfolge ist der SHA256 Hash (oder Schlüssel?). Siehe
Link1 oder Link2

 

[areiland]

Natürlich kenne ich den Link, ich kenne auch die Rescue Disk von Kaspersky ganz gut - es ist aber unsinnig zu behauptet der interner AV reicht und dann auf einen Third Party AV zu verweisen (egal in welcher Form der verwendet wird).

Schon mal was von einer zweiten Meinung gehört?
Wenn man sowas wie der TE findet und der laufende Virenscanner hats nicht angemeckert, ist es nie verkehrt mit einem anderen Virenscanner die Gegenprobe zu machen. Daran ist nichts unsinnig - unsinnig ist nur blindes Vertrauen in die selbst gewählte Sicherheitslösung. Denn die kann immer auch einen blinden Fleck besitzen, den andere Virenscanner nicht haben müssen.

 

[/root]

@areiland
In der Fachsprache nennt man das Multi-Vendor Strategy und wird bei AVs heutzutage weitgehend kompensiert indem sie ihre Threat Intelligence und IOCs teilen. Manche AVs (wie der Defender) können aber nicht alle verfügbaren IOCs kontinuierlich abgleichen weil ihnen dafür Module fehlen.

 

[derlorenz]

Die Diskussion bringt dem TE jetzt nicht ganz so viel, ausser dass sich alle Beteiligte durch die Beiträge scrollen müssen...

Also am besten warten wir einfach mal ab, bis @sharyka seinen PC gescannt hat ;-)

 

[carnival55]

Da es augenscheinlich noch niemand vorgeschlagen hat:
Wenn sich der Verdacht einer Infektion erhärtet, leistet desinfec't häufig gute Dienste. (Link)
Wurde ja schon mehrfach angeregt, "extern" zu scannen, wenn das betroffene Windows nicht gebootet ist.
Falls danach immer noch Zweifel bestehen:

• Festplatte(n) formatieren
• Windows neu installieren
• relevante Daten aus dem Backup wiederherstellen