Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Komisch versteckte DLL Datei
- Ersteller sharyka
- Erstellt am
Kenny [CH]
Commodore
- Registriert
- Mai 2008
- Beiträge
- 5.018
Klar das die MSCMS.DLL von Microsoft stammt, klar ist auch, dass diese DLL kein Virus/Schadware ist. Nur - und hier liegt der Hund begraben - sollte die MSCMS.DLL nicht in einem Ordner wie C:\abcdef.... liegen, sonder im System32 / Syswow64 / Windows Folder. Wenn solche DLLs auftauchen ausserhalb des eigentlichen Ordners muss man davon ausgehen, dass etwas nicht in Ordnung ist. Jetzt kann es sein, dass der TE die abcdefghia.dll mit dem Scanner scannen möchte, aber die Schadsoftware merkt dies und verschleiert seine Anwesenheit mit der offiziellen MSCMS.DLL. Das könnte eine Stealth-Techniken sein:zazie schrieb:Ich vermute, ihr habt nicht gut genug gesucht, um die DLL zu identifizieren. Die MSCMS.DLL stammt von Microsoft,
https://www.kaspersky.de/resource-center/threats/combating-antivirus
Hayda Ministral
Banned
- Registriert
- Nov. 2017
- Beiträge
- 7.835
Kenny [CH] schrieb:Klar das die MSCMS.DLL von Microsoft stammt, klar ist auch, dass diese DLL kein Virus/Schadware ist.
Irgendwo habe ich was verpasst. Wie genau wurde festgestellt dass die Datei "die MSCMS.DLL von Microsoft" ist?
Kenny [CH]
Commodore
- Registriert
- Mai 2008
- Beiträge
- 5.018
https://www.hybrid-analysis.com/sam...5f87c0460a0508696c81968b19d4e4ec3a24a0a5acc91 findet man zb. Wenn man nach dem namen der dll such.
Und auch das script in google docs spricht für diese datei: https://docs.google.com/document/d/1T5LPY3qDkxmR1XVgxnsKW42lggS5iSjtQwFXOtNfqMM/edit
Sogar die path variable im doc passt zu dem was der te gepostet hat
Und auch das script in google docs spricht für diese datei: https://docs.google.com/document/d/1T5LPY3qDkxmR1XVgxnsKW42lggS5iSjtQwFXOtNfqMM/edit
Sogar die path variable im doc passt zu dem was der te gepostet hat
Hayda Ministral
Banned
- Registriert
- Nov. 2017
- Beiträge
- 7.835
Aber eine Datei läßt sich doch beliebig benennen. Der Name selbst sagt nichts über den Inhalt aus. Eine Suche in google nach dem Dateinamen ergibt also nur die Information was diese Datei zu sein vorgibt. Was sie tatsächlich ist läßt sich nur anhand des Inhalts feststellen.
Eben. Wie im ersten Post steht, hat der TE die "merkwürdige DLL" auf virustotal gepostet und kriegt dort die Identifizierung des SHA2-Werts der MSCMS.DLL und den entsprechenden File-Namen.
Nach eurer Logik wäre die DLL merkwürdig benannt und abgelegt und würde zudem eine gefälschte, tarnende Benennung als MSCMS.DLL enthalten, die dann auch noch die Analyse von virustotal überlistet hat. Dafür würde ich gerne Belege sehen.
Nach eurer Logik wäre die DLL merkwürdig benannt und abgelegt und würde zudem eine gefälschte, tarnende Benennung als MSCMS.DLL enthalten, die dann auch noch die Analyse von virustotal überlistet hat. Dafür würde ich gerne Belege sehen.
Kenny [CH]
Commodore
- Registriert
- Mai 2008
- Beiträge
- 5.018
In der Tat kann man das machen und natürlich sagt nur der exakte Inhalt etwas über das File aus.Hayda Ministral schrieb:Aber eine Datei läßt sich doch beliebig benennen. Der Name selbst sagt nichts über den Inhalt aus.
Nur wie bereits gesagt, solle das ensprechende DLL File nicht in einem solchen Pfad wie beim TE liegen und mir wäre auch kein Update von MS etc bekannt, welches die DLL vom Windows selbst unbennent und in solchen Pfaden ablegt. Mir ist auch nicht bekannt, dass es sonst irgendwelche systemeigene Mechanismen geben würde, welche so eine Auswirkung haben.
Wurde wirklich die abcdefghia.dll Datei hochgeladen und gescannt oder hat nicht ein/das RootKit oder ein andere Mechanismus in der Schadeware die Datei gegen die korrekte MSCMS.DLL ausgetauscht? Thema Stealth-Technik - hier nachzulesen: https://www.kaspersky.de/resource-center/definitions/stealth-viruszazie schrieb:Eben. Wie im ersten Post steht, hat der TE die "merkwürdige DLL" auf virustotal gepostet und kriegt dort die Identifizierung des SHA2-Werts der MSCMS.DLL und den entsprechenden File-Namen.
Denn Part denn ich meine ist dieser hier:
Ein Stealth-Virus ist aber so ausgelegt, dass er sich aktiv vor Antiviren-Programmen versteckt. Dies erreicht er, indem er sich zeitweilig aus der infizierten Datei entfernt, sich auf ein anderes Laufwerk kopiert und sich durch eine nicht infizierte Datei ersetzt. Ein Stealth-Virus kann die Erkennung auch vermeiden, indem er die Größe der von ihm befallenen Datei verschleiert.
Daher würde ich den Computer mit einer bootbaren Version eines Virenscanners booten und die Datei scannen, oder via Linux die Datei von der HDD/SDD kopieren und dann bei virustotal hochladen. Es würde nichts bringen, die Datei im Windows zu scannen oder (im Windows) bei virustotal hochzuladen, wenn eine der oben erwähnten Stealth-Techniken eingesetzt wird.
Natürlich könnte es am Ende immer noch die offizielle MSCMS.DLL sein, welche in diesen komischen Pfad kopiert wurde, mit dem neuen Namen abcdefghia.dll. Dann müsste man sich - IMHO - aber immer noch Gedanken machen, wer oder was diese Datei dort hin kopiert hat.