Suisa Trojaner Windows 7

patrickch

Hallo,

habe seit 2 Jahren einen HP Pavilion dv6 Notebook mit Windows 7 Home Premium 64 Bit und mir kürzlich nachts beim Surfen ebenfalls den Suisa-Trojaner eingefangen. Vermutlich ist es der Trojaner SUISA/BKA Version 2.03, zumindest nach dem Screenshot zu urteilen auf

hxxp://bka-trojaner.de/screenshots/bka-trojaner14.png

Habe Avira Free Antivirus am Laufen, dieser erkannte die Gefahr aber offensichtlich nicht oder zu spät.

Folge: wenn ich als Standarduser eingeloggt war (was ich normalerweise immer bin), war plötzlich der Desktop in bekannter Weise mit der Suisa-Meldung gesperrt.

Nach dem Shutdown und Reboot kam der Blockade-Screen jedesmal wieder, sobald ich mich als Standarduser eingeloggt hatte. Dies aber nur, wenn ich das Ethernetkabel zum ADSL-Modem eingesteckt hatte. Hatte ich es vor dem Rebooten ausgesteckt, konnte ich so lange als Standarduser arbeiten, bis ich

a) das Ethernetkabel wieder einsteckte, oder
b) Ctrl-Alt-Del drückte und "Start Task Manager" aufrief.

Dann kam wieder der Blockade-Screen bzw. der Task Manager kam nicht. Dieses Problem betraf anscheinend nur den Standarduser, denn wenn ich mich als Admin einloggte, konnte ich nach wie vor ins Internet (um erste Informationen über das Problem zu ergoogeln) und z.B. auch regedit.exe aufrufen.


Bisher habe ich folgende Maßnahmen ergriffen:

1.)
Da das ct-Heft 9/2012 mit Desinfect 2012 leider vergriffen war, das Magazin "Windows Intern", Ausgabe 3/12, Juni-August gekauft, dem eine "DVD 2 - Windows retten" beiliegt.

Mit dieser Linux-Rettungs-DVD den Rechner neu gebootet, und zwar zunächst als Less-Linux-Notfall-CD. Hier hatte ich aber das Problem, nicht ins Internet zu können, "Kabelnetzwerk" funktionierte nicht. Oder muss ich es als "DSL" einstellen? Jedenfalls sollte die Erkennung des DSL-Kabelrouters angeblich automatisch funktionieren, tat aber nicht.

Ich habe ohnehin wenig Ahnung, wie man Netzwerke konfiguriert, kann mich aber erinnnern, daß ich nach dem Kauf des Notebooks vor 2 Jahren bei der Provider-Hotline anrufen und am Telefon manuell die DNS-, Proxy- und wasauchimmer-Settings machen mußte, damit das Internet endlich lief. Von wegen Plug-and-Play. Vielleicht liegt es an diesen Spezial-Settings, daß unter Linux das Kabelmodem nicht erkannt wurde.

Und die erkannten drahtlosen Netzwerke sind alle zu schwach oder gebührenpflichtig, ich habe ohne Paßwort keinen Zugang dazu.

2.)
Dasselbe Problem (keine Internetverbindung) hatte ich auch, als ich den Rechner wieder herunterfuhr und von der DVD die "Kaspersky Rescue Disk" (Version 10) bootete. Deshalb konnte ich "Update ausführen" nicht machen und machte deshalb die halbe Nacht lang eine Kaspersky-Durchsuchung aller Laufwerke, aber mit dem leider "stark veralteten" Stand der Virendefinitionen vom 31. März 2012. Dieser Scan ergab keinerlei Befund.

3.)
Dann fand ich den Tip, daß sich auf der Kaspersky Rescue Disk auch das Programm "windowsunlocker" befindet, welches vom "Terminal" aus zu starten ist, siehe

http://www.trojaner-board.de/106845-...sunlocker.html

Dieser landete tatsächlich einen Treffer und entfernte wohl eine Ransomware (denn um so eine handelt es sich ja offensichtlich bei dem Suisa-Trojaner), ähnlich wie auf Eurer Seite beschrieben. Den Inhalt der Logdatei des Windows-Unlockers vor und nach dem Aufruf von "windowsunlocker" habe ich als Anhang (.txt-Dateien) hochgeladen.

4.)
Auf

http://www.trojaner-board.de/112119-...entfernen.html

hatte ich noch den Tip gelesen, mit dem Kaspersky Registry Editor die Variablen

DisableTaskMgr
DisableRegistryTools
NoDesktop

zu suchen und zu löschen. Er fand nur die "DisableTaskMgr", die aber korrekterweise auf "0" gesetzt war. Ich löschte die Variable aber trotzdem, da sie ohnehin bei Fehlen neu angelegt wird.

5.)
Ein kurzer Test (Rechner herunterfahren, neu booten im normalen Windows-Modus, als Standarduser einloggen mit eingestecktem Ethernetkabel) zeigte einen ersten Erfolg: der Suisa-Blockade-Screen kam jetzt nicht mehr, auch nicht bei Aus- und Wiedereinstecken des Ethernetkabels. Ich konnte jetzt wieder ins Internet. Habe dann aber gleich wieder heruntergefahren, um weitere Analysen vorzunehmen.

6.)
Dann machte ich einen Neustart und bootete diesmal nicht von der Linux-Rettungs-CD, sondern Windows im abgesicherten Modus mit Eingabeaufforderung, und installierte Malwarebytes Anti-Malware, indem ich an der Eingabeaufforderung "explorer.exe" eingab, dann Start -> Computer klickte, auf das Laufwerk F: ging, wo ich meinen USB-Stick eingesteckt hatte, und auf diesem den Installer "mbam-setup.exe" startete. Dieses hatte ich zuvor von einem sauberen Rechner (Büro) auf den USB-Stick heruntergeladen, ebenso wie "OTL.exe".

7.)
Da ich auch im abgesicherten Windows-Modus (wie von der Linux-CD) kein Internetverbindung bekam (muss man dafür als "abgesicherter Modus mit Netzwerktreibern" booten?), fuhr ich den Rechner wieder herunter, im normalen Windows-Modus hoch und loggte mich als Administrator ein, wo ich immer noch Internetzugang hatte und auch keinen Suisa-Blockadescreen (kompromittiert schien ja vor allem mein Standarduser zu sein).

So konnte ich Malwarebytes Anti-Malware starten und via Internet die Viren-Datenbank auf den neuesten Stand bringen ("Suche nach Aktualisierungen" etc.). Ein "Quick Scan" ergab dann auch prompt drei Treffer, die in die Quarantäne geschickt wurden:


Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.12.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
**** :: ****-PC [Administrator]

12.06.2012 22:34:24
mbam-log-2012-06-12 (22-34-24).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 231349
Laufzeit: 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc|Start (Disabled.Cryptsvc) -> Bösartig: (4) Gut: (2) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\****\AppData\Local\Temp\72IyELok.exe.part (Trojan.BTMananger.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\****\AppData\Local\Temp\is259369358\IWantThis_IC_V3_ROW.exe (Adware.GamePlayLabs) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Später machte ich noch einen Vollscan. Der brachte keine Bedrohungen mehr:


Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.12.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
**** :: ****-PC [Administrator]

12.06.2012 22:46:03
mbam-log-2012-06-12 (22-46-03).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 845396
Laufzeit: 2 Stunde(n), 28 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Allerdings meldete während der Scans mein Avira mehrmals noch einen Trojaner, der ebenfalls zu dieser Ransomware-Klasse zu gehören schien. Die Avira-Berichte erwähnen

6x Trojanisches Pferd TR/Tobfy.A.57 unter 5 verschiedenen
.exe-Files in C:\Users\****\AppData\Local\Temp

1x HTML/ExpKit.Gen3

Diese Avira-Logfiles liegen als Attachments bei.


An dieser Stelle stellen sich mir zwei Fragen:

a)
Soll man während des Kaspersky-Scans und während des Malwarebytes-Scans alle Virenscanner (z.B. Avira) und die Windows-Firewall deaktivieren, damit die sich nicht gegenseitig ins Gehege kommen?

Was soll man eigentlich wie starten? Von Linux-CD oder Windows abgesichert mit/ohne Netzwerktreiber oder Windows normal? Eingeloggt mit Administrator-Account oder Standarduser-Account? Ich bin da oft nicht sicher, wenn ich die Anleitungen lese. Aber Ihr könnt mir das ja nochmal sagen, wenn konkrete weitere Schritte anstehen.

b)
Seit ich Windows im abgesicherten Modus hatte, habe ich jetzt beim normalen Start von Windows das Problem, daß der Bildschirm dunkler als normal wird (herunterdimmt), sobald ich beim Logon-Screen den Admin oder den Standarduser auswählen möchte, um mich einzuloggen. Schon sobald ich den Mauszeiger über eines der Account-Icons bewege, dimmt der Bildschirm herunter (zuvor war noch normale Helligkeit). Es bleibt dann auch leider so abgedimmt, wenn ich mich einlogge. Es ist, als sei ich auf Akku und im Energiesparmodus, aber dem ist nicht so; vielmehr habe ich den Akku entfernt und betreibe den Notebook permanent am Netzteil.

Gehe ich dann (egal ob als Standarduser oder Administrator) auf "Systemsteuerung", dann auf "Darstellung", "Anzeige", und klicke dann in der Liste links auf "Helligkeit anpassen", passiert gar nichts - kein neuer Fensterinhalt erscheint. Bei den anderen Links wie "Bildschirmauflösung" dagegen schon. Folglich kann ich die Helligkeit nicht mehr einstellen - die Energieverwaltung lässt sich via Systemsteuerung nicht mehr starten.

Mit Fn-F8 kann ich auf dem HP-Notebook manuell die Helligkeit etwas erhöhen, aber anscheinend nur um eine Stufe, und ich glaube das ist immer noch dunkler als ich es bisher hatte. Mit Fn-F7 kann ich die Helligkeit aber nicht erniedrigen. Oder liegt das daran, daß es schlichtweg nicht heller oder dunkler geht? Da ich die Helligkeit seit 2 Jahren nicht mehr geändert habe, bin ich da nicht sicher.

Ausserdem kann ich anscheinend die Lautstärkereglung nicht mehr benutzen - der Lautsprecher war auf "aus" gestellt, und ich kann ihn nicht mehr einschalten, denn schon wenn ich mit der Maus auf dem Desktop rechts unten über das Lautsprecher-Symbol gehe, kommt ein Tooltip mit der Meldung

"Der Audiodienst wird nicht ausgeführt"

und ein Klick auf das Symbol bewirkt nichts.

Außerdem startet Corel PaintShopPro nicht mehr (Standarduser), obwohl Desktop-Icon und Programm-Verzeichnisse und Executable in

C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo XI\

noch vorhanden sind. Ob noch weitere Applikationen nicht mehr laufen, kann ich noch nicht sagen; der Internet Explorer und MS Paint laufen z.B. noch.

Wurden da jetzt beim Reinigen aus Versehen (oder vom Trojaner, was ich eher nicht glaube, da vor dessen Entfernung die Helligkeit noch normal war) eventuell einige Registry-Einträge zuviel gelöscht?

Auf meinem (sauberen) Bürorechner wollte Malwarebytes Anti-Malware z.B. bei einem Testlauf den Registry-Eintrag "DisallowCpl" in Quarantäne stellen, was laut Google-Recherche ein "false positive", also Fehlalarm, ist. Anscheinend kann man mit diesem Registry-Wert bestimmte Einträge in der Systemsteuerung für Benutzer deaktivieren, z.B. sei

desk.cpl für Anzeige zuständig,
powercfg.cpl für Energieoptionen,
mmsys.cpl für Sounds und Audiogeräte.

Auf meinem befallenen Rechner zuhause habe ich das noch nicht geprüft, aber beim Scan mit Malwarebytes Anti-Malware kam ja u.a.

HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc|Start (Disabled.Cryptsvc) -> Bösartig: (4) Gut: (2) -> Erfolgreich ersetzt und in Quarantäne gestellt.

in Quarantäne. Wurde hierbei vielleicht zu aggressiv an der Registry geändert?

Ferner habe ich den Eindruck, daß die Fenster der Windows-Anwendungen jetzt einen grauen Rand zusätzlich um den Fensterrand herum haben, was bisher nicht so war. Und die Schrift auf dem "Start"-Button sieht etwas anders aus als bisher. Sind das vielleicht irgendwelche Default-Settings von Windows?

Würde eventuell das Zurücksetzen von Windows auf einen früheren Wiederherstellungspunkt (= einen Zeitpunkt, bevor ich den Trojaner einfing) etwas bringen? Ich nehme an, so ein Zurücksetzen macht man aber erst am Schluß der Prozedur, nachdem man alles vom Trojaner beseitigt hat?


Meine Daten scheinen noch alle da zu sein, sowohl auf den internen Festplatten B: und C: als auch auf der externen Festplatte H:, die Kopien all meiner Benutzerdaten enthält (und normalerweise während des Betriebs ebenfalls am Computer angeschlossen ist, was man vielleicht gar nicht machen sollte, für den Fall einer Infektion).

Sogar alle Icons auf dem Desktop sind da und in derselben Anordnung wie gewohnt. Ich hoffte ja eigentlich, daß der Suisa-Trojaner nur beim Logon bzw. Netzzugriff den Blockade-Screen startet und daß es nach dem Reinigen der Registry und dem Entfernen der verdächtigen .exe-Dateien in %LOCALAPPDATA% (z.B. C:\Users\...\AppData\Local bzw. \Roaming) keine weiteren Seiteneffekte gibt.


Gestern startete ich noch "defogger.exe":

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:00 on 13/06/2012 (****)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

und versuchte, "OTL.exe" laufen zu lassen, aber das klappte nicht so recht. OTL brachte beim "QuickScan" eine Fehlermeldung als Popup-Window, siehe Screenshot. Dann schien OTL zu hängen, ich brach es deshalb ab. Und msinfo32 ergab ebenfalls eine Fehlermeldung, siehe Screenshot. Da ich aber weiß, daß mein Windows eine 64-Bit-Version ist, wäre diese Abfrage eigentlich unnötig.

Vielen Dank für Euren Rat schonmal im voraus!

Angehängte Grafiken

	msinfo32error.jpg (30,9 KB, 444x aufgerufen)
	OTLerror.png (38,9 KB, 363x aufgerufen)