wTM-Removal sucht nach der Schadsoftware "windowstoolbox" und entfernt diese von Ihrem Computer.
TLDR:
Bitte melden Sie dieses Repository: https://github.com/windowtoolbox/under_observation
Repo ist gelöscht. Danke für eure mithilfe 👍
- 1. windowToolboxMalwareRemoval
- 2. Nutzung
- 3. Untersuchungsbericht der SemperVideo Discord Community
- 4. Vielen Dank an
- Rechtsklick auf wTM-Removal.cmd
- "Als Administrator ausführen"
- Akzeptieren Sie das Popup der Benutzerkontensteuerung.
- Wenn Sie nach der Entfernung gefragt werden, antworten Sie mit Y/y und drücken Sie die Enter-Taste.
- Starten Sie Ihr System neu und führen Sie das Script erneut aus.
- Nach der dritten ausfführung sollten Sie die Meldung erhalten das nichts mehr gefunden wurde.
- Führen Sie die Windows Update Fehlersuche aus um den Vorgang abzuschließen.
Die Malware manipuliert in einzelnen Fällen den Windows Update Dienst. Dies soll verhindern das die Malware nach einem Update evtl. nicht mehr funktioniert.
Um die beschriebene Problematik in Issue wurde eine Farbliche abgrenzung eingefügt:
<img src="img/tutorial-6.png>
Die Meldung wird nun in rot/grün unterschieden und für Farbblinde mit [ ! ] / [ - ]. Wir haben nun auch gelbe Schrift für kurze Erklärungen hinzugefügt. Für Farbblinde mit [ ? ] zu identifizieren.
Die Schadsoftware um die es geht: https://github.com/windowtoolbox/powershell-windows-toolbox
Wayback Archive Link vor der Änderung des Repositories.
Zweiter Account: https://github.com/alexrybak0444
Hier könnte sich das originale Projekt befinden: https://github.com/WinTweakers/WindowsToolbox
Gelöschter Issue in der Repository:
Wayback Archive Link vor der Änderung des Repositories.
Vielen Dank an @ZerGo0
Stage 1: (@LinuxUserGD)
https://gist.github.com/ZerGo0/aa0984800fd6da0a9d9e7842a0dc3645
Erste Phase: Erklärt (Englisch)
Zweite Phase:
https://gist.github.com/ZerGo0/690175a1163bd4747d825491810c6ebb
Zweite Phase: Erklärt (Englisch)
Dritte Phase:
https://gist.github.com/ZerGo0/ce1d2786cdb5ecca248f309a98b1d987
Dritte Phase: Erklärt (Englisch)
Showcase 1 (Hängt sich bei Curl auf)
https://app.any.run/tasks/40c113ab-7908-4979-8810-8733fd67bf3a/
Showcase 2 / (Das Skript manuell weiterausführen)
https://app.any.run/tasks/b6f0d354-bce5-401a-b422-08d262b2be82/
Um herauszufinden, ob Sie betroffen sind:
Öffnen Sie PowerShell als Admin und führen Sie diesen Befehl aus:
Get-WinSystemLocale
Wenn der "Name" mit "en-" beginnt sind Sie nicht betroffen.
Andernfalls, überprüfen Sie ob diese Verzeichnisse auf Ihrem System existieren:
C:\systemfile\
C:\Windows\security\pywinvera
C:\Windows\security\pywinveraa
Oder ob die folgenden Aufgaben in der Windows Aufgabenplanung existieren:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup
Wenn ja, sind Sie betroffen!
Die dritte Phase überprüft ob die Systemsprache mit "en-" beginnt. Falls nicht, wird der cmd.exe Prozess beendet und der Angriff beendet.
Oben im ersten Showcase können Sie dieses Verhalten zurückverfolgen. Auf der rechten Seite in der Prozessliste führt 560 cmd.exe die PowerShell mit dieser Überprüfung aus.
Für uns Deutsche zum Beispiel, schlägt diese Überprüfung fehl und der Prozess wird beendet.
@BlockyTheDev
blubbablasen
Kay
Limn0
@LinuxUserGD
Mikasa
@OptionalM
Sonnenläufer
@Zergo0
@Zuescho
für die Untersuchung
Cirno
Harromann
Janmm14
@luzeadev
XplLiciT
für Bugfixes, Testing und QoS Verbesserungen
@Zeryther
für die deutsche README Übersetzung