Virusmeldung Gishler Software GmbH

Benutzer · Post by *Benutzer » 2012-03-15, 12:18 UTC

Hallo Zusammen,

heute während meines Surfen im Internet wurde auf einmal mein Bildschirm ganz weiß und ich habe mich total erschrocken weil ich direkt böses erahnt habe. Sofort habe ich den PC mit dem Powerknopf ausgeschaltet.

Nachdem ich den PC wieder eingeschaltet habe, ist nach dem Windowsstart direkt wieder das Fenster gekommen mit einer Virusmeldung von AntiVir. Es ging absolut gar nichts mehr und ich konnte das Fenster auch in keinster Weise abschalten. Taskmanager oder ähnliches - gar nichts!

Nach kurzer Verzweiflung ist mir die Idee mit dem abgesicherten Modus gekommen und dort habe ich mir angeschaut, was für Startprogramme angehen und dabei dieses Programm entdeckt:

0.6400016764946441.exe / Hersteller: Ghisler Software GmbH

Nachdem ich den Systemstart für dieses Programm deaktiviert habe, bekomme ich keine Virusmeldung und ich kann normal weiter am PC arbeiten.

Auch wenn ich die Datei von .exe von AntiVir überprüfen lassen, soll sie angeblich sauber sein aber ich traue mich nicht dieses Programm zu öffnen. Wie kann ich sicher gehen, das Programm endgültig zu eliminieren?

Aber die Frage aller Frage: Was für eine Datei ist das, die einen derartigen Schaden anrichten und angeblich von der Ghisler Software GmbH hergestellt worden sein soll?

Vielen Dank für eure Hilfe

Liebe Grüße

Benutzer

Benutzer · Post by *Benutzer » 2012-03-15, 12:46 UTC

Hab ein bisschen weiter nachgeforscht. Anscheinend handelt es sich hierbei um den FakeAlert-Trojaner. Denke mal nicht, dass Ghisler etwas damit zu tun hat.

Pagefox · Post by *Pagefox » 2012-03-15, 12:46 UTC

Hallo Benutzer
Ich kann mit 1000% sagen, das diese Datei von "Ghisler Software" nicht stammt.
Kann es möglich sein, das Du Dir einen Trojaner eingefangen hast?

Sir_SiLvA · Post by *Sir_SiLvA » 2012-03-15, 13:00 UTC

Lol, ist das ne "clevere" Art von Scam um Chris Produkt fertig zu machen oder warum das ganze als doppelpost:
http://ghisler.ch/board/viewtopic.php?p=244214#244214

Benutzer · Post by *Benutzer » 2012-03-15, 13:16 UTC

Pagefox wrote:Hallo Benutzer
Ich kann mit 1000% sagen, das diese Datei von "Ghisler Software" nicht stammt.
Kann es möglich sein, das Du Dir einen Trojaner eingefangen hast?

Hallo Pagefox,
ich glaube wirklich, dass es sich hier um einen Trojaner (vermute: FakeAlert.exe) handelt, der Ghisler irgendwie schlecht machen will.

Sir_SiLvA wrote:Lol, ist das ne "clevere" Art von Scam um Chris Produkt fertig zu machen oder warum das ganze als doppelpost:
LINK

Wieso muss hier unbedingt die Absicht bestehen jemanden Fertig zu machen? Anscheinend hat jemand genau das gleiche Problem!

karlchen · Post by *karlchen » 2012-03-15, 13:25 UTC

Hallo, Sir_SiLvA.

Sir_SiLvA wrote:Lol, ist das ne "clevere" Art von Scam um Chris Produkt fertig zu machen oder warum das ganze als doppelpost:
http://ghisler.ch/board/viewtopic.php?p=244214#244214

Diese Unterstellung beruht aber auch auf nicht viel mehr als auf einer gewissen zeitlichen Nähe der beiden Beiträge und der Tatsache, dass beide von neu registrierten Benutzern aufgegeben worden sind.

Das ist aber auch erklärbar, ohne den Postern unlautere Absichten zu unterstellen:
Ein Schlauberger bringt eine Schadsoftware in Umlauf. Um die Programmdatei seröser erscheinen zu lassen, klaut der Schreiberling die Herkunfts- und Versionsinformationen aus der tcadmin.exe und packt sie in seine Programmdatei.
Zwei Computerbenutzer, die nicht unbedingt vom Fach sind, fangen sich diese Schadsoftware ein und werden von ihrer AV-Software alarmiert. Da das Teil vorgibt, von der "Ghisler Software GmbH" zu stammen, fragen sie genau hier im Forum nach.

Erfahrenere Computerbenutzer hätten die Trojaner Programmdatei vielleicht erst einmal bei www.virustotal.com einer genaueren Prüfung unterzogen und den Schwindel durchschaut.

Grüße,
Karl

karlchen · Post by *karlchen » 2012-03-15, 13:31 UTC

Hallo, Benutzer.

Ich hoffe, du hast mittlerweile dein komplettes System mit Avira durchgecheckt (Volle Systemprüfung).
Ansonsten frage dich bitte, ob du immer brav alle Windows (Sicherheits)updates installiert hast und vor allem alle Software, die mit dem Internet kommuniziert (Browser, Mailprogramme, etc) hübsch auf dem aktuellsten Stand gehalten hast. Java und Flash Player nicht vergessen.

Grüße,
Karl

Benutzer · Post by *Benutzer » 2012-03-15, 13:51 UTC

karlchen wrote:Hallo, Benutzer.

Ich hoffe, du hast mittlerweile dein komplettes System mit Avira durchgecheckt (Volle Systemprüfung).
Ansonsten frage dich bitte, ob du immer brav alle Windows (Sicherheits)updates installiert hast und vor allem alle Software, die mit dem Internet kommuniziert (Browser, Mailprogramme, etc) hübsch auf dem aktuellsten Stand gehalten hast. Java und Flash Player nicht vergessen.

Grüße,
Karl

Hallo Karl,

erst einmal vielen Dank für deine Hilfe. Bin gerade dabei eine vollständige Systemprüfung zu machen und bei jeglichen Programmen sollte ich eigentlich auch alle Updates gemacht haben, ich schiebe sowas eigentlich nie auf.
Hab das Programm mal mit der Seite gecheckt und des wurde 2 Meldungen gemacht.

Ich will jetzt eigentlich nur noch versuchen das Programm endgültig von meinem PC zu löschen. Deswegen bin ich dazu in den Ordner gegangen und habe es gelöscht, aber in der msconfig wird die Datei trotz Neustart immer noch angezeigt aber ich finde sie einfach nirgendwo mehr was kann ich tun?

Post by *ghisler(Author) » 2012-03-15, 14:06 UTC

Wir bieten selbverständlich keine Trojaner an - und selbst wenn wir das würden, wären wir wohl kaum so blöd, das unter unserem eigenen Namen zu tun.

Trojaner, die sich als ein anderes Programm ausgeben, gibt es schon sehr lange, z.B. als Winzip oder WinRAR getarnt. Ich empfehle deshalb, Total Commander und andere bekannte Programme nur von den offiziellen Seiten der Hersteller und bekannten grossen Software-Seiten herunterzuladen.

Lefteous · Post by *Lefteous » 2012-03-15, 15:37 UTC

Wie sieht es bei diesem "Programm" mit der Signatur aus? Ist diese gültig?

Sir_SiLvA · Post by *Sir_SiLvA » 2012-03-15, 15:56 UTC

karlchen wrote:Diese Unterstellung beruht aber auch auf nicht viel mehr als auf einer gewissen zeitlichen Nähe der beiden Beiträge und der Tatsache, dass beide von neu registrierten Benutzern aufgegeben worden sind.

Und aufgrund der Tatsache das beide nicht angeben wo die Virus-Datei her sein soll (auch Url genannt)

Benutzer · Post by *Benutzer » 2012-03-15, 20:54 UTC

Gut, dass du weisst, dass man als neuer Member keine Links posten kann.

Post by *ghisler(Author) » 2012-03-15, 21:15 UTC

Kann man, einfach mit Leerzeichen zwischen den Teilen...

Mich würde die MD5-Quersumme der Datei interessieren - vielleicht hat ja jemand tcmadmin.exe geklaut und zweckentfremdet? Damit könnte das Virus in geschützte Verzeichnisse schreiben - allerdings muss es tcmadmin.exe dazu erst starten, und das geht nur mit UAC-Dialog, ist also nicht vor dem User versteckbar. Da kann man genauso gut das Virus selber mit Adminrechten starten, es bringt also keinen Vorteil...

Lefteous · Post by *Lefteous » 2012-03-16, 08:57 UTC

2ghisler(Author)

es bringt also keinen Vorteil...

Außer das im UAC-Dialog "Total Commander Administrator Tool" von "Ghisler Software" steht, statt "Happy Cracker" von "Machdeinenrechnerplatt Toolz GmbH". Das kann schon einen Unterschied machen...