wscsvc32.exe + richtx64.exe = fake security alert

mailspamming

Ich gebe mal alles zu dem Problem ausführlicher an.
Die Auflistung aller Vorkommnisse könnte anderen helfen,
die einen ähnlichen Problemverlauf hatten, aber die
Namen der EXE-Dateien auf ihrem System nicht entlarfen konnten.




Vorgeschichte zur Infektion
Während dem surfen im Internet wurden im Hintergrund auf meinen Rechner Daten geladen, die auch gleich von ANTIVIR als gefährlich gemeldet wurden. Allerdings wurde der Rechner so extrem stark verlangsamt, dass ich nichts mehr wegklicken konnte.

Auf jedenfall haben es die Daten im Hintergrund wohl geschafft einen gefälschten Security Alert (gefälschtes SicherheitsCenter) rechts unten in der Taskleiste vorzutäuschen, der dann aus versehen auch noch geklickt wurde und dann irgendwelche Daten nachgeladen hatte.

Hier habe ich dann sofort die Internetverbindung unterbrochen, war aber wohl zu spät...Das Abbrechen von Anwendungen oder Prozessen war durch STR-ALT-ENF auch nicht mehr möglich, vielmehr hat es dazu geführt, dass der Mauszeiger und danach das System eingefroren ist.

Auswirkungen:
1. Der Rechner startet in der Anfangsphase langsamer (insbesondere der Starbildschirm mit den ersten Sekunden "WINDOWS XP" wird irgendwie ungewohnt abgehakt und verlangsamt abgespielt - danach bootet das System (scheinbar) normal.
2. Unreglmäßige nicht nachvollziehbare Hänger beim Booten. (mal bootet das System normal durch, beim nächsten Neustart bleibt es kurz vor Ende der Bootsequenz hängen und der Bildschirm SCHWARZ...nochmal booten und es geht wieder...)
3. Nachdem das System korrekt bootet, kann es vorkommen dass der MAUSZEIGER umherspringt oder dass das System mit einem PFEIFTON einfriert. Hier hilft auch nur noch ein Neustart.

Recherche & versuchte Fehlerbehebung
Ich konnte anscheinend die Infektion nicht ganz verhindern, aber wahrscheinlich konnte die Malware durch den Abbruch der Internet-Verbindung und den Neustart auch nicht alle "Taten" vollenden (die Auswirkungen 2. und 3. könnten also theoretisch auch ihre Ursache darin haben, dass Prozesse unterbrochen wurden)

Ich hab mein System (soweit mit normalen "Suche"-Mitteln möglich) nach allen neuen Dateien und Änderungen durchsucht und bin dann auf die Dateien wscsvc32.exe und richtx64.exe gestoßen, die beide in der selben Minute auf dem System neu erstellt wurden, als ich mir die Malware eingefangen hatte. Durch Eingabe in Google der Dateinamen, bestätigte sich, dass diese eigentlich nichts auf dem Rechner zu suchen haben.

Bei einer weiteren Suche nach "wscsvc32" und "richtx64" auf dem System hab ich im Windows-Ordner "PREFETCH" die Dateien
RICHTX64.EXE-288E60C5.pf (11,7 kb Größe) und
WSCSVC32.EXE-01761A09.pf (46,6 KB Größe) gefunden.

MEIN erstes Vorgehen (riskant und nicht zur Nachahmung empfohlen)
- Systemwiederherstellung deaktiviert.
- Alle Dateien die mit wscsvc32 und richtx64 zu tun hatten, vom System von Hand gelöscht, eventuell vor dem Löschen umbenannt.
(in der Hektik konnte ich mir leider die anderen Namen und Dateien nicht mehr merken).
- alle "tmp" und "temp" Dateien vom System gelöscht
- Mit CCleaner Windows und Registry gesäubert.

vorläufiges Ergebnis:
Kann relativ normal wieder auf das System zugreifen, die Infektion wirkt sich nicht mehr stark aus, ist aber wohl noch vorhanden, da
a) der sichtbar verzögerte Start zu Beginn des Windows XP Logos weiterhin besteht.
b) In der registry ist unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start der DWORD-Wert "4" eingetragen, also "Microsoft.WindowsSecurityCenter_disabled". Ich habe mehrmals versucht den Wert zu ändern, es geht aber nicht, jedesmal ist das echte "Windows Security Center" wieder deaktiviert (das hat die Malware wohl geändert um sich selbst dort einzunesten).

c) Die Malware hatte anscheinend gezielt spezielle Programme deaktiviert bzw. hindert diese am Start
ANTIVIR war bereits vorher installiert - Doppelklick auf das Programm....nichts passiert!!
Malwarebytes-Anti-Malware habe ich mir heruntergeladen und installiert, lässt sich NICHT STARTEN.
Spybot - Search & Destroy lässt sich installieren, aber NICHT STARTEN.

Es werden nicht alle Programme am Start gehindert:
Lavasoft Ad-Aware z.B. kann problemlos gestartet werden. (findet aber nichts auf dem System).


Ich habe einige Anti-Virus und AntiMalware Programme getestet, die laufen:
GMER warnt vor durch ein Rootkit verursachte Änderungen:

---- Modules - GMER 1.0.15 ----
Module \systemroot\system32\drivers\H8SRTomyqbdakms.sys (*** hidden *** ) AA96C000-AA988000 (114688 bytes)

---- Processes - GMER 1.0.15 ----
Library \\?\globalroot\systemroot\system32\H8SRTuyfwbwhboe.dll (*** hidden *** ) @ C:\WINXP\system32\svchost.exe [1056] 0x00AB0000
Library \\?\globalroot\systemroot\system32\H8SRTuyfwbwhboe.dll (*** hidden *** ) @ C:\WINXP\Explorer.EXE [1472] 0x10000000
---- EOF - GMER 1.0.15 ----



Fragen:
Auch wenn ich trotz allem das System neu aufsetzen muß, wären doch diese 3 Fragen wichtig:
1. Wie können Programme gezielt am Start gehindert werden - und wie kann man das wiederherstellen/rückgängig machen, damit wenigstens Malwarebytes startet? Gibt es dazu vielleicht auch einen einfachen Registry-Schlüssel wie beim Security-Center?
2. Wie kann ich gegen das Rootkit-Problem (ohne Malwarebytes-Anti-Malware, sofern Frage 1 nicht geklärt werden kann) mit den drei (siehe oben) von GMER gefundenen Dateien lösen?
3. Und wäre eine Neuinstallation von Windows hier tatsächlich sicher genug wenn es sich offensichtlich um sehr tief eingreifende Malware handelt, die offensichtlich schon vor dem booten geladen wird? Sollte man nicht versuchen, das System vorher möglichst gut zu säubern?