Ecosyste.ms: Awesome
An open API service indexing awesome lists of open source software.
https://github.com/pabumake/windowToolboxMalware-Removal
wTM-Removal searches and removes malicous files regarding the bad github repo
https://github.com/pabumake/windowToolboxMalware-Removal
Last synced: about 2 months ago
JSON representation
wTM-Removal searches and removes malicous files regarding the bad github repo
- Host: GitHub
- URL: https://github.com/pabumake/windowToolboxMalware-Removal
- Owner: pabumake
- License: mit
- Created: 2022-04-10T12:45:22.000Z (almost 3 years ago)
- Default Branch: main
- Last Pushed: 2023-07-28T18:18:29.000Z (over 1 year ago)
- Last Synced: 2024-05-23T00:32:38.190Z (8 months ago)
- Language: PowerShell
- Size: 320 KB
- Stars: 54
- Watchers: 4
- Forks: 13
- Open Issues: 0
-
Metadata Files:
- Readme: README.de.md
- License: LICENSE.md
Awesome Lists containing this project
- jimsghstars - pabumake/windowToolboxMalware-Removal - wTM-Removal searches and removes malicous files regarding the bad github repo (PowerShell)
README
# 1. windowToolboxMalwareRemoval
[](https://microsoft.com/PowerShell)
[](https://opensource.org/licenses/MIT)
wTM-Removal sucht nach der Schadsoftware "windowstoolbox" und entfernt diese von Ihrem Computer.
TLDR:
~~Bitte melden Sie dieses Repository: https://github.com/windowtoolbox/under_observation~~
Repo ist gelöscht. Danke für eure mithilfe 👍
## 1.1 Inhalt
- [1. windowToolboxMalwareRemoval](#1-windowtoolboxmalwareremoval)
- [1.1 Inhalt](#11-inhalt)
- [2. Nutzung](#2-nutzung)
- [2.1 Differentiation between OS Languages](#21-differentiation-between-os-languages)
- [3. Untersuchungsbericht der SemperVideo Discord Community](#3-untersuchungsbericht-der-sempervideo-discord-community)
- [3.1 Deobfuscated](#31-deobfuscated)
- [3.2 Sind Sie betroffen?](#32-sind-sie-betroffen)
- [3.3 Warum sind nur "en-" Nutzer betroffen?](#33-warum-sind-nur-en--nutzer-betroffen)
- [4. Vielen Dank an](#4-vielen-dank-an)
# 2. Nutzung
1. Rechtsklick auf wTM-Removal.cmd
2. "Als Administrator ausführen"
3. Akzeptieren Sie das Popup der Benutzerkontensteuerung.
4. Wenn Sie nach der Entfernung gefragt werden, antworten Sie mit Y/y und drücken Sie die Enter-Taste.
5. Starten Sie Ihr System neu und führen Sie das Script erneut aus.
6. Nach der dritten ausfführung sollten Sie die Meldung erhalten das nichts mehr gefunden wurde.
7. Führen Sie die Windows Update Fehlersuche aus um den Vorgang abzuschließen.
Die Malware manipuliert in einzelnen Fällen den Windows Update Dienst. Dies soll verhindern das die Malware nach einem Update evtl. nicht mehr funktioniert.
## 2.1 Differentiation between OS Languages
Um die beschriebene Problematik in [Issue](https://github.com/pabumake/windowToolboxMalware-Removal/issues/8) wurde eine Farbliche abgrenzung eingefügt:
%20vor%20der%20%C3%84nderung%20des%20Repositories.%0A%0AZweiter%20Account:%20https://github.com/alexrybak0444%20<br>%0AHier%20k%C3%B6nnte%20sich%20das%20originale%20Projekt%20befinden:%20https://github.com/WinTweakers/WindowsToolbox%20<br>%0A%0AGel%C3%B6schter%20Issue%20in%20der%20Repository:<br>%0A[Wayback%20Archive%20Link](https://web.archive.org/web/20220409165432/https://github.com/windowtoolbox/powershell-windows-toolbox/issues/32)%20vor%20der%20%C3%84nderung%20des%20Repositories.%0A%0A##%203.1%20Deobfuscated%0AVielen%20Dank%20an%20@ZerGo0%20<br>%0AStage%201:%20(@LinuxUserGD)%20<br>%0Ahttps://gist.github.com/ZerGo0/aa0984800fd6da0a9d9e7842a0dc3645%20<br>%0A[Erste%20Phase:%20Erkl%C3%A4rt%20(Englisch)](https://gist.github.com/ZerGo0/aa0984800fd6da0a9d9e7842a0dc3645?permalink_comment_id=4127278#gistcomment-4127278)%0A%0AZweite%20Phase:%20<br>%0Ahttps://gist.github.com/ZerGo0/690175a1163bd4747d825491810c6ebb%20<br>%0A[Zweite%20Phase:%20Erkl%C3%A4rt%20(Englisch)](https://gist.github.com/ZerGo0/690175a1163bd4747d825491810c6ebb?permalink_comment_id=4127295#gistcomment-4127295)<br>%0A%0ADritte%20Phase:%0Ahttps://gist.github.com/ZerGo0/ce1d2786cdb5ecca248f309a98b1d987%20<br>%0A[Dritte%20Phase:%20Erkl%C3%A4rt%20(Englisch)](https://gist.github.com/ZerGo0/ce1d2786cdb5ecca248f309a98b1d987?permalink_comment_id=4127311#gistcomment-4127311)%0A%0AShowcase%201%20(H%C3%A4ngt%20sich%20bei%20Curl%20auf)%20<br>%0Ahttps://app.any.run/tasks/40c113ab-7908-4979-8810-8733fd67bf3a/%0A%0AShowcase%202%20/%20(Das%20Skript%20manuell%20weiterausf%C3%BChren)%20<br>%0Ahttps://app.any.run/tasks/b6f0d354-bce5-401a-b422-08d262b2be82/%0A%0A##%203.2%20Sind%20Sie%20betroffen?%0AUm%20herauszufinden,%20ob%20Sie%20betroffen%20sind:%20<br>%0A%C3%96ffnen%20Sie%20PowerShell%20als%20Admin%20und%20f%C3%BChren%20Sie%20diesen%20Befehl%20aus:%0A```%0AGet-WinSystemLocale%0A```%0A%0AWenn%20der%20)
Andernfalls, überprüfen Sie ob diese Verzeichnisse auf Ihrem System existieren:
```
C:\systemfile\
C:\Windows\security\pywinvera
C:\Windows\security\pywinveraa
```
Oder ob die folgenden Aufgaben in der Windows Aufgabenplanung existieren:
```
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup
```
Wenn ja, sind Sie betroffen!
## 3.3 Warum sind nur "en-" Nutzer betroffen?
Die dritte Phase überprüft ob die Systemsprache mit "en-" beginnt. Falls nicht, wird der cmd.exe Prozess beendet und der Angriff beendet.
Oben im ersten Showcase können Sie dieses Verhalten zurückverfolgen. Auf der rechten Seite in der Prozessliste führt 560 cmd.exe die PowerShell mit dieser Überprüfung aus.
Für uns Deutsche zum Beispiel, schlägt diese Überprüfung fehl und der Prozess wird beendet.
# 4. Vielen Dank an
@BlockyTheDev
blubbablasen
Kay
Limn0
@LinuxUserGD
Mikasa
@OptionalM
Sonnenläufer
@Zergo0
@Zuescho
für die Untersuchung
Cirno
Harromann
Janmm14
@luzeadev
XplLiciT
für Bugfixes, Testing und QoS Verbesserungen
@Zeryther
für die deutsche README Übersetzung