![]() |
|
Log-Analyse und Auswertung: Suisa Trojaner Windows 7Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() Suisa Trojaner Windows 7 Hallo, habe seit 2 Jahren einen HP Pavilion dv6 Notebook mit Windows 7 Home Premium 64 Bit und mir kürzlich nachts beim Surfen ebenfalls den Suisa-Trojaner eingefangen. Vermutlich ist es der Trojaner SUISA/BKA Version 2.03, zumindest nach dem Screenshot zu urteilen auf hxxp://bka-trojaner.de/screenshots/bka-trojaner14.png Habe Avira Free Antivirus am Laufen, dieser erkannte die Gefahr aber offensichtlich nicht oder zu spät. Folge: wenn ich als Standarduser eingeloggt war (was ich normalerweise immer bin), war plötzlich der Desktop in bekannter Weise mit der Suisa-Meldung gesperrt. Nach dem Shutdown und Reboot kam der Blockade-Screen jedesmal wieder, sobald ich mich als Standarduser eingeloggt hatte. Dies aber nur, wenn ich das Ethernetkabel zum ADSL-Modem eingesteckt hatte. Hatte ich es vor dem Rebooten ausgesteckt, konnte ich so lange als Standarduser arbeiten, bis ich a) das Ethernetkabel wieder einsteckte, oder b) Ctrl-Alt-Del drückte und "Start Task Manager" aufrief. Dann kam wieder der Blockade-Screen bzw. der Task Manager kam nicht. Dieses Problem betraf anscheinend nur den Standarduser, denn wenn ich mich als Admin einloggte, konnte ich nach wie vor ins Internet (um erste Informationen über das Problem zu ergoogeln) und z.B. auch regedit.exe aufrufen. Bisher habe ich folgende Maßnahmen ergriffen: 1.) Da das ct-Heft 9/2012 mit Desinfect 2012 leider vergriffen war, das Magazin "Windows Intern", Ausgabe 3/12, Juni-August gekauft, dem eine "DVD 2 - Windows retten" beiliegt. Mit dieser Linux-Rettungs-DVD den Rechner neu gebootet, und zwar zunächst als Less-Linux-Notfall-CD. Hier hatte ich aber das Problem, nicht ins Internet zu können, "Kabelnetzwerk" funktionierte nicht. Oder muss ich es als "DSL" einstellen? Jedenfalls sollte die Erkennung des DSL-Kabelrouters angeblich automatisch funktionieren, tat aber nicht. Ich habe ohnehin wenig Ahnung, wie man Netzwerke konfiguriert, kann mich aber erinnnern, daß ich nach dem Kauf des Notebooks vor 2 Jahren bei der Provider-Hotline anrufen und am Telefon manuell die DNS-, Proxy- und wasauchimmer-Settings machen mußte, damit das Internet endlich lief. Von wegen Plug-and-Play. Vielleicht liegt es an diesen Spezial-Settings, daß unter Linux das Kabelmodem nicht erkannt wurde. Und die erkannten drahtlosen Netzwerke sind alle zu schwach oder gebührenpflichtig, ich habe ohne Paßwort keinen Zugang dazu. 2.) Dasselbe Problem (keine Internetverbindung) hatte ich auch, als ich den Rechner wieder herunterfuhr und von der DVD die "Kaspersky Rescue Disk" (Version 10) bootete. Deshalb konnte ich "Update ausführen" nicht machen und machte deshalb die halbe Nacht lang eine Kaspersky-Durchsuchung aller Laufwerke, aber mit dem leider "stark veralteten" Stand der Virendefinitionen vom 31. März 2012. Dieser Scan ergab keinerlei Befund. 3.) Dann fand ich den Tip, daß sich auf der Kaspersky Rescue Disk auch das Programm "windowsunlocker" befindet, welches vom "Terminal" aus zu starten ist, siehe http://www.trojaner-board.de/106845-...sunlocker.html Dieser landete tatsächlich einen Treffer und entfernte wohl eine Ransomware (denn um so eine handelt es sich ja offensichtlich bei dem Suisa-Trojaner), ähnlich wie auf Eurer Seite beschrieben. Den Inhalt der Logdatei des Windows-Unlockers vor und nach dem Aufruf von "windowsunlocker" habe ich als Anhang (.txt-Dateien) hochgeladen. 4.) Auf http://www.trojaner-board.de/112119-...entfernen.html hatte ich noch den Tip gelesen, mit dem Kaspersky Registry Editor die Variablen DisableTaskMgr DisableRegistryTools NoDesktop zu suchen und zu löschen. Er fand nur die "DisableTaskMgr", die aber korrekterweise auf "0" gesetzt war. Ich löschte die Variable aber trotzdem, da sie ohnehin bei Fehlen neu angelegt wird. 5.) Ein kurzer Test (Rechner herunterfahren, neu booten im normalen Windows-Modus, als Standarduser einloggen mit eingestecktem Ethernetkabel) zeigte einen ersten Erfolg: der Suisa-Blockade-Screen kam jetzt nicht mehr, auch nicht bei Aus- und Wiedereinstecken des Ethernetkabels. Ich konnte jetzt wieder ins Internet. Habe dann aber gleich wieder heruntergefahren, um weitere Analysen vorzunehmen. 6.) Dann machte ich einen Neustart und bootete diesmal nicht von der Linux-Rettungs-CD, sondern Windows im abgesicherten Modus mit Eingabeaufforderung, und installierte Malwarebytes Anti-Malware, indem ich an der Eingabeaufforderung "explorer.exe" eingab, dann Start -> Computer klickte, auf das Laufwerk F: ging, wo ich meinen USB-Stick eingesteckt hatte, und auf diesem den Installer "mbam-setup.exe" startete. Dieses hatte ich zuvor von einem sauberen Rechner (Büro) auf den USB-Stick heruntergeladen, ebenso wie "OTL.exe". 7.) Da ich auch im abgesicherten Windows-Modus (wie von der Linux-CD) kein Internetverbindung bekam (muss man dafür als "abgesicherter Modus mit Netzwerktreibern" booten?), fuhr ich den Rechner wieder herunter, im normalen Windows-Modus hoch und loggte mich als Administrator ein, wo ich immer noch Internetzugang hatte und auch keinen Suisa-Blockadescreen (kompromittiert schien ja vor allem mein Standarduser zu sein). So konnte ich Malwarebytes Anti-Malware starten und via Internet die Viren-Datenbank auf den neuesten Stand bringen ("Suche nach Aktualisierungen" etc.). Ein "Quick Scan" ergab dann auch prompt drei Treffer, die in die Quarantäne geschickt wurden: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.12.08 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 **** :: ****-PC [Administrator] 12.06.2012 22:34:24 mbam-log-2012-06-12 (22-34-24).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 231349 Laufzeit: 5 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 1 HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc|Start (Disabled.Cryptsvc) -> Bösartig: (4) Gut: (2) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\****\AppData\Local\Temp\72IyELok.exe.part (Trojan.BTMananger.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\****\AppData\Local\Temp\is259369358\IWantThis_IC_V3_ROW.exe (Adware.GamePlayLabs) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Später machte ich noch einen Vollscan. Der brachte keine Bedrohungen mehr: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.12.08 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 **** :: ****-PC [Administrator] 12.06.2012 22:46:03 mbam-log-2012-06-12 (22-46-03).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 845396 Laufzeit: 2 Stunde(n), 28 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Allerdings meldete während der Scans mein Avira mehrmals noch einen Trojaner, der ebenfalls zu dieser Ransomware-Klasse zu gehören schien. Die Avira-Berichte erwähnen 6x Trojanisches Pferd TR/Tobfy.A.57 unter 5 verschiedenen .exe-Files in C:\Users\****\AppData\Local\Temp 1x HTML/ExpKit.Gen3 Diese Avira-Logfiles liegen als Attachments bei. An dieser Stelle stellen sich mir zwei Fragen: a) Soll man während des Kaspersky-Scans und während des Malwarebytes-Scans alle Virenscanner (z.B. Avira) und die Windows-Firewall deaktivieren, damit die sich nicht gegenseitig ins Gehege kommen? Was soll man eigentlich wie starten? Von Linux-CD oder Windows abgesichert mit/ohne Netzwerktreiber oder Windows normal? Eingeloggt mit Administrator-Account oder Standarduser-Account? Ich bin da oft nicht sicher, wenn ich die Anleitungen lese. Aber Ihr könnt mir das ja nochmal sagen, wenn konkrete weitere Schritte anstehen. b) Seit ich Windows im abgesicherten Modus hatte, habe ich jetzt beim normalen Start von Windows das Problem, daß der Bildschirm dunkler als normal wird (herunterdimmt), sobald ich beim Logon-Screen den Admin oder den Standarduser auswählen möchte, um mich einzuloggen. Schon sobald ich den Mauszeiger über eines der Account-Icons bewege, dimmt der Bildschirm herunter (zuvor war noch normale Helligkeit). Es bleibt dann auch leider so abgedimmt, wenn ich mich einlogge. Es ist, als sei ich auf Akku und im Energiesparmodus, aber dem ist nicht so; vielmehr habe ich den Akku entfernt und betreibe den Notebook permanent am Netzteil. Gehe ich dann (egal ob als Standarduser oder Administrator) auf "Systemsteuerung", dann auf "Darstellung", "Anzeige", und klicke dann in der Liste links auf "Helligkeit anpassen", passiert gar nichts - kein neuer Fensterinhalt erscheint. Bei den anderen Links wie "Bildschirmauflösung" dagegen schon. Folglich kann ich die Helligkeit nicht mehr einstellen - die Energieverwaltung lässt sich via Systemsteuerung nicht mehr starten. Mit Fn-F8 kann ich auf dem HP-Notebook manuell die Helligkeit etwas erhöhen, aber anscheinend nur um eine Stufe, und ich glaube das ist immer noch dunkler als ich es bisher hatte. Mit Fn-F7 kann ich die Helligkeit aber nicht erniedrigen. Oder liegt das daran, daß es schlichtweg nicht heller oder dunkler geht? Da ich die Helligkeit seit 2 Jahren nicht mehr geändert habe, bin ich da nicht sicher. Ausserdem kann ich anscheinend die Lautstärkereglung nicht mehr benutzen - der Lautsprecher war auf "aus" gestellt, und ich kann ihn nicht mehr einschalten, denn schon wenn ich mit der Maus auf dem Desktop rechts unten über das Lautsprecher-Symbol gehe, kommt ein Tooltip mit der Meldung "Der Audiodienst wird nicht ausgeführt" und ein Klick auf das Symbol bewirkt nichts. Außerdem startet Corel PaintShopPro nicht mehr (Standarduser), obwohl Desktop-Icon und Programm-Verzeichnisse und Executable in C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo XI\ noch vorhanden sind. Ob noch weitere Applikationen nicht mehr laufen, kann ich noch nicht sagen; der Internet Explorer und MS Paint laufen z.B. noch. Wurden da jetzt beim Reinigen aus Versehen (oder vom Trojaner, was ich eher nicht glaube, da vor dessen Entfernung die Helligkeit noch normal war) eventuell einige Registry-Einträge zuviel gelöscht? Auf meinem (sauberen) Bürorechner wollte Malwarebytes Anti-Malware z.B. bei einem Testlauf den Registry-Eintrag "DisallowCpl" in Quarantäne stellen, was laut Google-Recherche ein "false positive", also Fehlalarm, ist. Anscheinend kann man mit diesem Registry-Wert bestimmte Einträge in der Systemsteuerung für Benutzer deaktivieren, z.B. sei desk.cpl für Anzeige zuständig, powercfg.cpl für Energieoptionen, mmsys.cpl für Sounds und Audiogeräte. Auf meinem befallenen Rechner zuhause habe ich das noch nicht geprüft, aber beim Scan mit Malwarebytes Anti-Malware kam ja u.a. HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc|Start (Disabled.Cryptsvc) -> Bösartig: (4) Gut: (2) -> Erfolgreich ersetzt und in Quarantäne gestellt. in Quarantäne. Wurde hierbei vielleicht zu aggressiv an der Registry geändert? Ferner habe ich den Eindruck, daß die Fenster der Windows-Anwendungen jetzt einen grauen Rand zusätzlich um den Fensterrand herum haben, was bisher nicht so war. Und die Schrift auf dem "Start"-Button sieht etwas anders aus als bisher. Sind das vielleicht irgendwelche Default-Settings von Windows? Würde eventuell das Zurücksetzen von Windows auf einen früheren Wiederherstellungspunkt (= einen Zeitpunkt, bevor ich den Trojaner einfing) etwas bringen? Ich nehme an, so ein Zurücksetzen macht man aber erst am Schluß der Prozedur, nachdem man alles vom Trojaner beseitigt hat? Meine Daten scheinen noch alle da zu sein, sowohl auf den internen Festplatten B: und C: als auch auf der externen Festplatte H:, die Kopien all meiner Benutzerdaten enthält (und normalerweise während des Betriebs ebenfalls am Computer angeschlossen ist, was man vielleicht gar nicht machen sollte, für den Fall einer Infektion). Sogar alle Icons auf dem Desktop sind da und in derselben Anordnung wie gewohnt. Ich hoffte ja eigentlich, daß der Suisa-Trojaner nur beim Logon bzw. Netzzugriff den Blockade-Screen startet und daß es nach dem Reinigen der Registry und dem Entfernen der verdächtigen .exe-Dateien in %LOCALAPPDATA% (z.B. C:\Users\...\AppData\Local bzw. \Roaming) keine weiteren Seiteneffekte gibt. Gestern startete ich noch "defogger.exe": defogger_disable by jpshortstuff (23.02.10.1) Log created at 21:00 on 13/06/2012 (****) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- und versuchte, "OTL.exe" laufen zu lassen, aber das klappte nicht so recht. OTL brachte beim "QuickScan" eine Fehlermeldung als Popup-Window, siehe Screenshot. Dann schien OTL zu hängen, ich brach es deshalb ab. Und msinfo32 ergab ebenfalls eine Fehlermeldung, siehe Screenshot. Da ich aber weiß, daß mein Windows eine 64-Bit-Version ist, wäre diese Abfrage eigentlich unnötig. Vielen Dank für Euren Rat schonmal im voraus! Geändert von patrickch (14.06.2012 um 13:11 Uhr) |
Themen zu Suisa Trojaner Windows 7 |
antivirus, aufrufe, avira, benutzerdaten, betriebs, bildschirm, computer, dateisystem, desktop, down, energiesparmodus, fehlalarm, fehlermeldung, festplatte, frage, herunterfahren, heuristiks/extra, heuristiks/shuriken, home, hängen, internet, kaspersky, locker, maus, nicht sicher, problem, programm, registry, scan, start von windows, starten, suisa, suisa trojaner, temp, trojaner, trojanisches pferd, wenig ahnung, windows, windows 7, windows-firewall, windowsunlocker |