[Wetter]

Hallo!

Da sich die Anzeichen stark vermehren und ich (und meine Firma) derzeit viele Firmen zur Not eilen müssen:

Trend Micro hat ein fehlerhaftes Update am 4.9.2008 veröffentlicht, welches dafür sorgt das wichtige Systemdateien aus dem Windows entfernt werden.


Dieses Problem betrifft folgende Virenscanner von Trend Micro: Trend Micro PC Cillin 14, Internet Security 2007 &2008!
Es betrifft vorallem XP Rechner mit SP2!
Laut Trend Micro, sollt mit den Update vom 5.09.08 mit der Platternfile 5.527.50 (oder höher) die fehlerhafte Erkennung behoben sein. Ob das wirklich so ist (weil es immer noch Rechner trotz ständiger Updates so ist, muss sich noch herausstellen. - Stand: 08.09.2008

Lage:
Es werden die Dateien netui0.dll, die pstorec.dll und (bei d.z. nur wenigen Rechnern) die Winsocks32.dll

als Trojaner Files erkannt und von Trend Micro entfernt (oder in Quarantäne geschmissen)

ggf bekommt der User eine Meldung von Windows, das eine Wichtige Windows Datei gelöscht wurde und man doch bitte die Sp2 CD einlegen soll (ganz toll für Leute ohne SP2 CD...).
Wer die Meldung ignoriert und den Rechner neustartet bekommt ein ernsthaftes Problem:

Das Netzwerk funktioniert nicht mehr! (bei winsocks32.dll sogar im schlimmsten Fall das Internet) - Netzwerkumgebung&Co sind auf einmal tot.


Derzeit gibt es folgende Möglichkeit:

1.Man stellt die Dateien in der Quarantäne wieder her - startet den Rechner dann neu - Netzwerk sollte wieder gehen. Trend Micro sollte man solang abgeschaltet lassen Nach dem Neustart, den Virenscanner manuell updaten lassen. Es MUSS anschließend ne Platternfile mit 5.527.50 (oder höher) installiert worden sein. Erst dann empfiehlt es sich wieder, den Virenscannen zu aktivieren. Und Daumen drücken.

2. Falls die Dll Wiederherstellung nicht funktioniert: Man geht auf http://www.dll-files.com und lädt sich die betroffenen Dateien neu herunter (Bitte Virenscanner solange abgeschaltet lassen!), die Trend Micro gelöscht hat - man kann dies unter der Ereignisanzeige von Windows nachlesen (WindowsFileProtection) oder im Trend Micro direkt unter Protokolle - Virensuche.

Die DLL Dateien gehören dann ins \Windows\sytsem32 und \Windows\sytsem32\dllcache.
Anschließend Rechner neustarten. Dann sollte das Netzwerk wieder gehen.
Nun den Virenscanner manuell updaten lassen. Es MUSS anschließend ne Platternfile mit 5.527.50 (oder höher) installiert worden sein. Erst dann empfiehlt es sich wieder, den Virenscannen zu aktivieren. Und Daumen drücken.

mfg
Wetter

1. Update

Wie nun auch hier und bei uns im laufe des Tages bekannt wurde, könnte auch noch eine dpcdll.dll von der Löschaktion betroffen werden. Das wäre besonders tükisch, da diese Datei wichtig für die Lizenzgeschichte für Windows ist...

Zudem gibt es ein weiteres Problem:
Für alle Betroffene mit winsocks32.dll
Lage: Wie wir zusätzlich feststellen durften, trifft es die User mit der winsocks32.dll Löschung besonders hart.
Nämlich, nach einen Neustart funktioniert Netz, sowie Internet nicht mehr, aber zum allen Übel startet auch das Trend Micro nicht mehr richtig. Legendlich der Hintergrund Dienst wird geladen und sorgt fleißig dafür, das weiter gelöscht wird.
Das hat zur Folge, das man nicht mehr verhindern kann, das eine neue Einspielung der gelöschten Dateien erfolgen kann (außer in Abgesiechteren Modus, was aber nach ein Restart einfach wieder gelöscht wird).

Derzeit gibt es nur diese Möglichkeit:
1. Trend Micro deinstallieren! Und zwar gibt es die Möglichkeit im Trend Micro Ordner (\Programme\Trend Micro) - dort gibt es ein Programm TISSuprt.exe - diese starten und dort das gesamte Programm beenden lassen. In der Leiste "Deinstallieren" kann man dann das Trend Micro vollständig und sauber deinstallieren lassen.
Danach kann man den Rechner neustarten und die gelöschten DDL Dateien wieder aufspielen.

Eine Systemwiederherstellung empfiehlt sich nur bedingt: Trend Micro behält nämlich seine aktuelle Platterfile und so gesehen wird nach einen vermeintlich "sauberen" Windows start die Dateien erneut entfernt, sofern man das Trend Micro nicht rechtzeitig zum Schweigen bringt!

Auch wenn der Tipp etwas mühselig klingt:
Um Trend Micro wieder richtig und ohne Probleme nutzen zu wollen, sollte man unbedingt SP3 installiert haben!

Ein Problem hat verhindert, dass die Lizenz überprüft werden konnte 0x8007007e - Hilfestellung:
Es gibt 2 Möglichkeiten:
1.: Beim Starten des Rechners, F8 Taste Drücken um in den Auswahlmenü auf "Letzte verfügbare Konfiguration laden" gehen und bestätigen.
Anschließend sollte Windows wieder normal hochfahren und keine Fehlermeldung mehr bringen. Danach sollte man den Virenscanner abschalten und die Tipps weiter oben durchprobieren.

2.: Windows CD einlegen und davon booten. Anschließend die Wiederherstellungskonsole starten (Im 1. Menü Taste "R").
Bei der Frage welches Windows man starten will, drückt man die 1 und Enter (sofern auch nur 1 Windows installiert ist ). Nach dem Adminkennwort entweder nur Enter drücken oder das Kennwort eingeben, falls man mal eins im Administrator Profil vergeben hat.

(mehr Folgt noch aus Zeitgründen)

2. Update
Trend Micro hat wohl endlich drauf reagiert: http://esupport.trendmicro.com/support/vie...ntID=EN-1038089 (Englisch).
Kurze Zusammenfassung: Platternfile 5.521.50 und 5.525.50 waren fehlerhaft und haben die besagten Dlls als Trojaner Files erkannt. Wenn man die oben beschriebenden Punkte durchgeht, anschließend den Virenscanner updaten lässt und die Platternfile 5.527.50 (oder höher) aufweist, sollten die Probleme ein Ende haben.

3. Update
Trend Micro hat in Laufe des Sonntags angefangen, sämtliche registrierte Trend Micro Internet Security User per Mail anzuschreiben.
Dadrin wird nochmal das ganze auf Deutsch erklärt, was im Link zum 2. Update Teil geschrieben wurde.

Zudem entschuldigt sich Trend Micro in der Mail für die Unanehmlichkeiten und versichert ein, das so eine Situation sich nicht nocheinmal wiederholen soll.

Stand: 8.09.2008 14:55Uhr.

Dieser Beitrag wurde von Wetter bearbeitet: 08. September 2008 - 13:56

[juemi]

Hallo,

wir haben genau dieselben Probleme, wie von Wetter beschrieben. Leider wird das Problem bei uns dadurch getoppt, dass eine Wiederherstellung aus der Quaratäne nicht vollzogen wird - also TM führt die Wiederherstellung schlicht nicht aus

@Wetter
Was hälst Du davon, das System mit einem Wiederherstellungspunkt vom Montag dieser Woche zu rekonstruieren. Lokal gespeicherte Daten vorher natürlich gesichert - versteht sich.

Ich habe auf einigen der Geräte jetzt nämlich den Mega-Gau, weil dort offenbar die Lizenz-Dateien des Systems in der Quaratäne gelandet sind und das Gerät mich somit mit der unerfreulichen Meldung begrüßt: "Ein Problem hat verhindert, dass die Lizenz für diesen Computer überprüft werden konnte".
Ich kann aber nicht erkennen, welche der dort befindlichen Dateien die sein könnte, die ich wiederherstellen muss ... zudem wüßte ich nicht sicher, wo die lag (..\system32 ?)

Und der hervorragende Support von TM, der mir bereits heute morgen um 9 Uhr eine eMail zugesagt hat, hat sich bis jetzt nicht bei mir gemeldet. Ich hatte diese Probleme nämlich bereits den gesamten vergangenen Tag und hatte daher gleich heute früh angerufen. Und die hatten daraufhin bereits heute morgen gesagt, dass die Pattern 517 die letzte und am sichersten funktionierende ist. Diese kannst Du Dir aber nicht einfach so auf dem Server von TM herunter laden (wozu auch, sind ja schätzungsweise nur ein paar millionen user, die jetzt vergeblich versuchen, den Support zu frequentieren ) ...


Ich kann also alle, die dieselben Probleme haben nur warnen! Wenn ihr könnt, macht das, was sonst jeder gute Admin für die dämlichste Idee hält: Schaltet TM komplett ab, bis klar ist, wie der Workaround aussehen kann.

Gruß
Jürgen

[juemi]

Hallo Leute,

also - ich hab es jetzt kurzerhand mal selbst probiert. Hab ein Gerät, bei dem so gut wie nichts mehr ging, mal auf einen Wiederherstellungspunkt vom Mittwoch zurückgesetzt. Ergebnis: Ich bekomme jetzt auch hier die bewußte Fehlermeldung mit der Lizenz und habe keinerlei Zugriff mehr auf das System. Werde wohl um eine erneute Installation (zumindest repair) nicht umhin kommen.

Und auf den Seiten von Trend Micro findet sich noch immer nicht ein einziger Hinweis auf die Probleme und worin nach Ansicht der Damen und Herren dort ein Lösungsweg bestehen könnte. Das ist die klare Aufforderung, sich künftig für andere Produkte zu entscheiden.

Gruss
Juergen

[DiG]

Genau das Selbe hier .. Donnerstag um Freitag nur am rumrennen und dlls wiederherstellen... Allerdings bisher nur die 2007er Versionen von TM IS und AV dabeigehabt. Wir haben ausserdem noch unzählige Installationen der Client-Server-Suite von TM, kein einziges Problem damit.

@juemi: Nicht die Lizenz wurde ungültig, sondern die Datei dpcdll.dll aus "system32" wurde Richtung Quarantäne verschoben.. Diese im abgesicherten Modus wiederherstellen, dann geht auch die Anmeldung wieder. Es werden aber noch ein Paar andere dlls verschoben worden sein. Die Systemwiederherstellung klappte nicht, weil die dll auch aus dem Wierherstellungszeitpunkt-Ordner verschoben wurde.

Zum Thema Wiederherstellen aus der Quarantäne: mehrmals erlebt, dass die verschobenen dlls dort einfach kaputt sind. Bei Windows XP SP2 einfach das SP2-Paket mit dem Schalter "-x" starten (damit entpackt man das Package), dann die entsprechende *.dl_ mit extract entpacken und nach "system32" kopieren.

Ach ja, bevor man überhaupt was macht, erst TM deaktivieren oder gleich ganz runterwerfen.

Dieser Beitrag wurde von DiG bearbeitet: 05. September 2008 - 20:05

[DiG]

Für die Statistik:

Bei mir waren es bisher NUR:
XP-Rechner mit SP2, XP Home und Professional gleichermaßen.
Immer nur 2007er Versionen von TM.

Umfang der verschobenen DLLs:
> "netui0.dll" (Kein Zugriff auf Netzlaufwerke möglich, keine neuen Netzlaufwerke einbindbar, "net use X: \\server\freigabe" bringt aussagekräftige Fehlermeldung).
> dpcdll.dll
> pstorec.dll (wie im OP)
> wsock.dll (nicht ganz sicher wie der Dateiname genau ist .. reimt sich auf WinSocket.dll, aber mit "w" statt "win". Zur Überprüfung ist kein Windows-System derzeit verfügbar.)


Bisher keine Probleme mit Client-Server-Suites (for SMB) gemeldet.

[Wetter]

Ich habe mal mein 1. Post geupdatet und die sache mit der dpcdll.dll erwähnt, sowie die Winsocks32.dll Sache genauer beschrieben. Den dieser Teil ist besonders tükisch.

[juemi]

Hi Leute,
hab jetzt einen WorkAround. Undzwar auch OHNE neu zu installieren und sogar ohne Repair-Install

Einschränkung:
Gilt nur für Leute, die sich in einem Netzwerk mit W2K oder W2k3-Server bewegen.
In diesem Fall auf dem Server anmelden, im AD auf das betreffende Gerät gehen, dann "Verwalten" und qusi remote die vier Dienste des TrendMicro stoppen (soweit sie laufen) und dann deaktivieren. Dann die folgenden DLLs händisch von einem funktionsfähigen Gerät oder einer externen Quelle auf den betreffenden Rechner kopieren:

-pstorec.dll
- dpcdll.dll
- wsock32.dll
- netui0.dll
- mprapi.dll

Wichtig: Diese DLLs sowohl in c:\windows\system32 kopieren als auch in c:\i386.
Adminrechte bei vorstehender Beschreibung selbstredend erforderlich.

Als nächstes prüfen, welche die aktuellste Patternversion im Programm-Verzeichnis von TrendMicro ist. Sollte das "lpt$vpn.527" sein, dann ist alles okay. Diese Version weist nach augenblicklichem Kenntnisstand nicht mehr den Fehler auf, der zu diesem ganzen Dilemma geführt hat.
Anderenfalls die "lpt$vpn.527" direkt von den Support-Seiten bei TrendMicro downloaden und in dieses Verzeichnis kopieren.

Rechner herunterfahren. Wieder hochfahren. Dann sollte sowohl die Fehlermeldung mit der fehlenden Lizenz weg sein als auch der Zugriff auf Netzwerkressourcen und Internet wieder funktionieren.

Viel Erfolg
Juergen

[cosmic22]

Hi,

habe hier die gleichen Probleme.

Aber was mir aufgefallen ist, hier sind es eine Menge mehr DLL Dateien gewesen die infiziert wahren.

Und nach einen Neustart funktionierten die Tastatur und Maus nicht mehr.
Nur im Abgesicherten Modus konnte man noch Eingaben machen.

Habe alle DLL Dateinen die gelöscht wurden wiederhergestellt. Danach liess sich das System wieder booten. Tastatur und Maus gingen auch wieder.

SP3 gepatcht und alles ist wieder gut.

Bei einem anderem Rechner wollte ich die Dateien auch auf diesem Weg wieder herstellen aber danach habe ich immer noch das Problem das meine Tastatur nicht funktioniert. Maus geht einwandfrei, alles per PS/2 angeschlossen.

Hier noch die DLL die bei mir als Infiziert angezeigt wurden.

Fail to Clean [TROJ_Generic.ADV]( 1) from C:\Programme\Movie Maker\MUI\0407\moviemk.chm
Success Delete [TROJ_Generic.ADV]( 1) from C:\Programme\Movie Maker\MUI\0407\moviemk.chm
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\$NtUninstallKB935839$\kernel32.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\$NtUninstallKB935839$\kernel32.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\$NtUninstallKB937894$\mqsec.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\$NtUninstallKB937894$\mqsec.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\Driver Cache\i386\sp2.cab,(adv01nt5.dll)
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\Driver Cache\i386\sp2.cab,(adv01nt5.dll)
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll.000
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll.000
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\SoftwareDistribution\Download\8d333cb458091558bf955796ab78bb53\SP2GDR\wininet.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\SoftwareDistribution\Download\8d333cb458091558bf955796ab78bb53\SP2GDR\wininet.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\moviemk.chm
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\moviemk.chm
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\autolfn.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\autolfn.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\cipher.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\cipher.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\cscript.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\cscript.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\autolfn.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\autolfn.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\cipher.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\cipher.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\compfilt.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\compfilt.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\cscript.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\cscript.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\evtgprov.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\evtgprov.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\exstrace.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\exstrace.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\httpmb51.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\httpmb51.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\iisadmin.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\iisadmin.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\isatq.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\isatq.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\mqrtdep.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\mqrtdep.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\mqsvc.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\mqsvc.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\pstorec.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\pstorec.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\rexec.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\dllcache\rexec.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\mqrtdep.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\mqrtdep.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\mqsvc.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\mqsvc.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\pstorec.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\pstorec.dll
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\rexec.exe
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\rexec.exe
Fail to Clean [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\wbem\CmdEvTgProv.dll
Success Delete [TROJ_Generic.ADV]( 1) from C:\WINDOWS\system32\wbem\CmdEvTgProv.dll

[Wetter]

Wie man bei Trend Micro schön beobachten kann, haben die sich nen nettes Ei gelegt:

http://www.trendmicro.com/vinfo/virusencyc...S&Period=7d

Wir hatten auch heute immer noch fälle, das auch mit neuster Platternfile die DDls als Viren erkannt werden. Erst nach Installation von Sp3 war ruhe O.o.

Zumal ist es beängstigend das immer mehr und neue DDL Dateien davon betroffen sein sollen.

Heute hatten wir sogar ein Rechner und neue Anrufe wo schon ganze Programme und Dienste nicht mehr starten können. Ohje, wohin das noch führt.

[networkerxmuc]

Hallo,

bei mir hats 5 Rechner erwischt, die nicht mehr zu starten waren
(Ein Problem hat verhindert, dass die Lizenz überprüft werden konnte 0x8007007e)

Ich bin ähnlich wie juemi vorgegangen.
Mit Hilfe der Wiederherstellungskonsole die dlls in das Systemverzeichnis\system32 hineinkopiert.
Aus dem Trend Micro Verzeichnis die Patterndatei lpt$vpn.525 (2 x ) gelöscht (quick$dirty).
Neustart und dann Trend Micro upgedatet

Die Repartur war nicht das schlimme, aber die Suche danach was passiert ist, wenn 5 PC gleichzeitig Ihren Dienst verweigern, und auf der HP von Trend Micro nix zu finden war.
Jetzt steht dort eine Anleitung, die suggeriert das ein Trojaner eingefangen wurde, obwohl das Pattern der Täter ist.

[Wetter]

Die Support Mitarbeiter von Trend Micro hatten wohl ein schweres Wochenende hinter sich *g*.
Mein Post habe ich wieder auf den Stand der Dinge gebracht .

Anscheind ist der Fehler endlich gefunden worden.