Malware Remover 2.2.1

  • Vor allem habe ich dann gar keine Kontrolle mehr was und wie installiert und upgedatet wird. Und wenn dann auch wieder nicht protokolliert wird was gemacht wurde... Lieber nicht. Dann mache ich dies doch besser von Hand. Aber eine Art Infofenster über aktuelle Probleme könnte hilfreich sein.


    So habe den Lösungsvorschlag von QNAP bei meiner TS-231+ ausprobiert. Kurz das Ergebnis: Keine Änderung, habe immer noch die Meldung [MalwareRemover] Scan completed and malware deleted.


    Habe mir mal die MalwareRemover_cron.sh angesehen. Das ist die Orginaldatei:

    Code
    #! /bin/shCONF=/etc/config/qpkg.confQPKG_NAME="MalwareRemover"QPKG_ROOT=`/sbin/getcfg $QPKG_NAME Install_Path -f $CONF`[ -e /etc/profile.d/python3.bash ] && . /etc/profile.d/python3.bashPYTHON="python3"CLEAN="Y"$PYTHON $QPKG_ROOT/modules/01_xmrminer.pycif [ $? != 0 ]; then  CLEAN="N"fi$PYTHON $QPKG_ROOT/modules/02_autoupgrade.pycif [ $? != 0 ]; then  CLEAN="N"fi$PYTHON $QPKG_ROOT/modules/03_vpnfilter.pycif [ $? != 0 ]; then  CLEAN="N"fiif [ $CLEAN = "Y" ]; then  /sbin/write_log "[MalwareRemover] Scan completed." 4  /sbin/notice_log_tool -t 6 -E "[MalwareRemover] Scan completed."else  /sbin/write_log "[MalwareRemover] Scan completed and malware deleted." 4  /sbin/notice_log_tool -t 6 -E "[MalwareRemover] Scan completed and malware deleted."fi


    Die geänderte Datei sieht so aus:


    Die Änderung ist export LC_CTYPE="en_US.utf-8" oder habe ich was übersehen? Für mich sieht dies nach der Änderung des Zeichensatzes aus.


    Also bei mir hat die Änderung auf den US-Zeichensatz nichts gebracht.
    Getestet habe die den Remover durch deaktivieren und aktivieren (dann führt er eine erneute Prüfung durch) und mit einem Neustart. Bei mir bleibt es bei der alten Meldung.


    Bin gespannt ob Ihr was bessere vermelden könnt, aber bei mir hat der Lösungsvorschlag von QNAP abgelost.

  • Hast du die MalwareRemover_cron.sh mal an der Komandozeile ausgeführt?

    Nein, daran habe ich nicht gedacht. Werde es morgen versuchen, wenn ich Zeit finde. Allerdings erhoffe ich mir hierbei nicht all zu viel.


    Der Support schrieb was von deinstallieren, auch von Python, wurde das gemacht?

    Ja, hatte ich schon vor Wochen deinstalliert und den alten Remover wieder installiert. Aber zur Sicherheit habe ich auch den wieder deinstalliert. Allerdings habe ich noch Python 2.7 für Backup Versioning Beta installiert.



    Edit:
    Die Lösung


    Unglaublich, es funktioniert. Leider ist die Lösung des QNAP-Supports nur die halbe Lösung, aber doch nicht so verkehrt wie es am Anfang den Anschein hatte.


    Im Verzeichnis /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/ hat es 2 Scripts:
    - MalwareRemover_cron.sh
    - MalwareRemover.sh


    MalwareRemover_cron.sh ist für die Ausführung in der Nacht zuständig.
    Mit dem Befehl sed -i '6 a export LC_CTYPE="en_US.utf-8"' /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover_cron.sh wird hier die Zeile export LC_CTYPE="en_US.utf-8" hinzugefügt.


    MalwareRemover.sh ist für die Ausführung bei einem Neustart oder beim aktivieren/deaktivieren von MalwareRemover zuständig.
    Mit dem Befehl sed -i '6 a export LC_CTYPE="en_US.utf-8"' /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh wird hier die selbe Zeile auch beim 2 Script hinzugefügt.


    Nur wenn beide Scripts angepasst werden kommt die Meldung "[MalwareRemover] Scan completed" sowohl beim Scan über Nacht also auch bei einem Neustart des NAS bzw. aktiveren/deaktivieren des Removers.


    Wäre schön gewesen, wenn QNAP diese Kleinigkeit mit erwähnt hätte.


    Die originale MalwareRemover.sh:

    Code
    #! /bin/sh[ -e /etc/profile.d/python3.bash ] && . /etc/profile.d/python3.bashCONF="/etc/config/qpkg.conf"QPKG_NAME="MalwareRemover"QPKG_ROOT=`/sbin/getcfg $QPKG_NAME Install_Path -f $CONF`CLEAN="Y"if [ "$1" = "start" ]; then  modules=`ls $QPKG_ROOT/modules/[0-9][0-9]_*.sh $QPKG_ROOT/modules/[0-9][0-9]_*.pyc 2>/dev/null | sort -r`  for prog in $modules; do    echo $prog | grep -q '.pyc<span class="redactor-ie-paste"><br></span>    if [ $? = 0 ]; then      python3 $prog $QPKG_NAME $QPKG_ROOT      if [ $? != 0 ]; then        CLEAN="N"      fi    else      echo $prog | grep -q '.sh<span class="redactor-ie-paste"><br></span>      if [ $? = 0 ]; then         /bin/sh $prog $QPKG_NAME $QPKG_ROOT        if [ $? != 0 ]; then          CLEAN="N"        fi      else        /bin/sh -c $prog $QPKG_NAME $PKG_ROOT        if [ $? != 0 ]; then          CLEAN="N"        fi      fi    fi  done  if [ $CLEAN = "Y" ]; then    /sbin/write_log "[MalwareRemover] Scan completed." 4        /sbin/notice_log_tool -t 6 -E "[MalwareRemover] Scan completed."  else    /sbin/write_log "[MalwareRemover] Scan completed and malware deleted." 4    /sbin/notice_log_tool -t 6 -E "[MalwareRemover] Scan completed and malware deleted."  fi#else if [ "$1" = "stop" ]; then#else  exit 1fiexit 0

    Die angepasste MalwareRemover.sh:

    2 Mal editiert, zuletzt von Mavalok2 () aus folgendem Grund: Edit: Die Lösung

  • Habe es bei meiner TS-419P II mal getestet und kann es bestätigen. Es hat so wie du es beschrieben hast funktioniert.


    Es kommt nur mehr die Meldung "[MalwareRemover] Scan completed" nach einem Neustart.


    Den täglichen Scan muss ich noch abwarten.


    Gruß Charly

  • Ich weiß ja nicht, aber das Tool ist...


    Standardmäßig hatte ich folgendes Verhalten:


    TS-451A:
    Beim Start: "[MalwareRemover] Scan completed and malware deleted"
    Deaktivieren/aktivieren: "[MalwareRemover] Scan completed"
    über Nacht: "[MalwareRemover] Scan completed"


    TS-231+:
    Beim Start: "[MalwareRemover] Scan completed and malware deleted"
    Deaktivieren/aktivieren: "[MalwareRemover] Scan completed and malware deleted"
    über Nacht: "[MalwareRemover] Scan completed and malware deleted"


    TS-419P II:
    Beim Start: "[MalwareRemover] Scan completed and malware deleted"
    Deaktivieren/aktivieren: "[MalwareRemover] Scan completed and malware deleted"
    über Nacht: "[MalwareRemover] Scan completed"


    TS-809 Pro:
    Beim Start: "[MalwareRemover] Scan completed and malware deleted"
    Deaktivieren/aktivieren: "[MalwareRemover] Scan completed"
    über Nacht: "[MalwareRemover] Scan completed"


    Da ist für alle was dabei, immer was anderes. Abwechslung muss sein. :D


    Bei den TS-419P II und TS-809 Pro war der Pfad nicht /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/ sondern /share/MD0_DATA/.qpkg/MalwareRemover/. Der scheint ja nach Modell zu variieren.


    Bis jetzt scheint die Lösung aber für alle zu funktionieren. Bin aber noch am Testen. Werden dann mal eine Zusammenfassung im Blog schreiben.

    2 Mal editiert, zuletzt von Mavalok2 ()

  • Funktioniert leider beim Neustart weiterhin nicht. Für die täglichen Scans und deaktivieren/aktivieren schon. :cursing::cursing:


    Bleibe bei meiner ursprünglichen Lösung, da mir das alles zu unsicher ist: Deinstallieren und auf eine vernünftige Version warten.

  • Was soll das bringen? Wie ich schon auf der ersten Seite schrieb, sucht der Malwareremover nach bestimmten Scripten. Für einen Virenscanner wären das unschuldige Textdateien.

  • Es könnte sein, dass AntiMalware von Emsisoft das erkennen kann. Ich habe gerade nur keine Lust, dass zu testen.


    @Mavalok2 Du könntest dir das kostenlose Emergency-Kit von Emsisoft laden und das einfach mal testen!

  • Hin: Malware, die durch autorun gestartet wird??

    Schließe ich eigentlich aus, da die Geräte hinter mehreren Netzwerkfiltern und einer Pro-Firewall sind und nur zum App-Update ins Internet gehen und von Außen gar nicht erreichbar sind. Und beim manuellen Scan ein paar Minuten später wird nichts mehr gefunden.
    Ich vermute, dass der Zeichensatz beim Hochfahren noch nicht passt. Man müsste dem Remover wohl eine Verzögerung beim Start verpassen.


    Unterm Strich ist das Ganze noch nicht ausgegoren. So weiss man nie woran man ist.


    Wie ich schon auf der ersten Seite schrieb, sucht der Malwareremover nach bestimmten Scripten. Für einen Virenscanner wären das unschuldige Textdateien.

    Mit einem Contentfilter würde dies schon funktionieren. Der sucht und filtert auch nach Scripts und Befehlen. Allerdings wirst man dies nie in einem Heim-Antivirenprogramm finden. Bei solchen Programmen werden mal schnell 4-stellige Summen pro Jahr fällig.


    @Mavalok2 Du könntest dir das kostenlose Emergency-Kit von Emsisoft laden und das einfach mal testen!

    Für mich ist das Thema Remover eigentlich gegessen. Diese Version funktioniert einfach nicht vernünftig und ich habe schon zu viel Zeit aufgewendet. Und am Schluss weiß man nie hat man eine Malware oder nicht oder wurde sonst was gelöscht oder verändert.

    2 Mal editiert, zuletzt von Mavalok2 ()