Ich habe es heute (zum zweiten Mal) mit einem Schädling unter Winddof zu tun gehabt, der bisher bei virustotal nur von 10 Scannern als solcher erkannt wird.
Beim ersten Mal (im April 2009) war es (bei demselben Kunden) derselbe Schädling, der nur einen(!) Treffer bei virustotal verursachte.
Der Schädling verursacht bei dem Kunden, dass einzelne Datev-Module nicht installiert werden können und mit einer Fehlermeldung abbrechen, dass ExecDllExe.exe nicht ausgeführt werden kann…
Es handelt sich um eine DLL, die sich als Macromedia-DLL tarnt, die angeblich von Microsoft kommt. Abgelegt wird die Datei (hier bisher beide Male mit dem Namen 701a00761.dll in den Verzeichnissen:
c:\Dokumente und Einstellungen\{<username>,LocalService,NetworkService}\Anwendungsdaten\Macromedia\Common
c:\Windows\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common
Allerdings deuten einige hilfesuchende Einträge in einschlägigen Internetforen daraufhin, dass die Datei auch mit anderem Namen auftaucht – allerdings immer mit einer Ziffern-Buchstaben-Kombination (Hexziffern?). (Im vorliegenden Fall war es jedoch beide Male derselbe Name.)
Die DLL wird über den folgenden Autorun-Key gestartet:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run: rundll32 c:\Dokumente und Einstellungen\<username>\Anwendungsdaten\Macromedia\Common\701a00761.dll
Außerdem findet sich eine Reihe von Eintragungen als Audiodevice-Treiber unter
HKLM\Software\Microsoft\Windows NT\Drivers32: aux{1,2}, midi{1,2}, mixer{1,2}, wave{1,2}
Dem Ding ist mit einfachem Löschen (auch via BartPE) scheinbar nicht beizukommen. (Möglicherweise lag das aber auch daran, dass ich zunächst die Positionen in c:\Windowsund c:\DuE\{Local,Network}Service\ übersehen hatte.
Über den Trick, eine leere Datei mit demselben Namen anzulegen in c:\Dokumente und Einstellungen\<username>\Anwendungsdaten\Macromedia\Common\701a00761.dll habe ich dann Erfolg gehabt. Beim Starten des Rechners gibt es noch die Meldung, dass es sich um eine fehlerhafte DLL handelt – und damit scheint Ruhe zu sein.
Danach habe ich nochmal alle Registry-Einträge für 701a00761 entfernt.
Die Wirkung des Schädlings war damit jedenfalls weg: Ich konnte die Datev-Module wieder problemlos installieren.