Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.03.2012, 09:25   #1
JamesBolivar
 
BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Standard

BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)



Habe mir gestern trotz Erkennung durch AVG die BKA-Erpresser-Malware eingefangen. AVG zeigte die Infektion an, stoppte sie aber nicht.

Vollscans mit aktuellen Scannern v. AVG, Malwarebytes, OTL und Avira zeigten keinen(!) Befall an. Die Malware lief über eine saubere(!) svchost.exe. Beenden der Malware über den parallell angemeldeten Adminaccount machte den betroffenen Account wieder nutzbar. Der Aufruf der Malware verbarg sich in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load. Das dort aufgerufene File befand sich unter dem Namen "mshuoaph.com" im Temp-Ordner des Benutzerprofils.

Anbei die Analyse von Virustotal:

https://www.virustotal.com/file/fd8e16e45427b334b9aaee0b648acb23ad243ddb08ff162a4f5a2358494f052b/analysis/1332831948/

Bei Bedarf mail ich das Teil dem Team. Ich muss jetzt nach lang durchfummelter Nacht erstmal was für meinen Lebensunterhalt tun. Ob das System damit wieder völlig sauber ist, check ich nachmittags. So wie ich das sehe, hilft nur manuelles Prüfen und Entfernen. Die bekannten Tools versagen derzeit wohl alle.

Mit besten Grüßen, JB, der sich später noch mal meldet.

Alt 27.03.2012, 12:35   #2
markusg
/// Malware-holic
 
BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Standard

BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)



hi
file mal hochladen bitte:
Trojaner-Board Upload Channel
und ein aktuelles otl log posten.
__________________

__________________

Alt 27.03.2012, 13:22   #3
JamesBolivar
 
BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Standard

BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)



Chronologisch: Exploit in aktuellem System (Popup beim Markieren einer Textzeile in einer amerikanischen Suchmaschine für Ebooks). Meldung durch AVG:

Code:
ATTFilter
"Infektion";"Objekt";"Ergebnis";"Erkennungszeit";"Objekttyp";"Vorgang"
"Trojaner: SHeur4.VLG";"u:\Users\Sophosaurus\AppData\Local\Temp\0.786941213450876h7i.exe";"Infiziert";"27.03.2012, 02:21:01";"Datei";"C:\Windows\System32\rundll32.exe"
"Trojaner: SHeur4.VLG";"u:\Users\Sophosaurus\AppData\Local\Temp\0.653671670591859h7i.exe";"Infiziert";"27.03.2012, 02:21:01";"Datei";"C:\Windows\System32\rundll32.exe"
         
AVG wurde aktiv, entfernte die Files, kurz darauf erschien der bekannte Screen. Eintrag in Systemregistrierung:

Code:
ATTFilter
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Device"="HP Deskjet F300 Series,winspool,Ne02:"
"UserSelectedDefault"=dword:00000001
"Load"="U:\\Users\\SOPHOS~1\\LOCALS~1\\Temp\\mshuoaph.com"
         
Die Berechtigungen des Zweigs "Windows" wurden offenbar entfernt und durch den Eintrag "nur lesen" für die Benutzergruppe "ALLE" ersetzt. Der Originaleintrag ist "vererbt von nächsthöherem Objekt". Die Veränderung muss rückgängig gemacht werden, bevor der Eintrag gelöscht wird.

Das File im Temp-Ordner hat das hidden-Attibut gesetzt. Der Task läuft als "svchost.exe" unter der Benutzerkennung des betroffenen Accounts, und sollte nach Möglichkeit von einem anderen Adminaccount aus beendet werden, ohne das System herunterzufahren. Danach kann der Schädling manuell aus dem wieder zugänglichen Account entfernt werden.

Scans zeigen weder bei aktivem Schädling, noch bei inaktivem Schädling etwas an. Den Eintrag Windows/Load nicht zu überprüfen, und die eindeutige Manipulation der Berechtigungen des Registrierungszweigs nicht zu bemerken disqualifiziert die Scanner, allerdings auch die UAC.

Mein 64 Bit Windows 7 ist gepflegt, enthält alle Updates und durchlief letzte Nacht jeweils zwei Fullscans mit den frisch heruntergeladenen Scannern: AVG, Avira, Malwarebytese und OTL ohne daß auch nur einer dieser Scanner reagiert hätte. Weder das File, noch der Registrierungseintrag wurde angezeigt, geschweige denn bemängelt.

Logs sind gezippt im Anhang.
__________________

Geändert von JamesBolivar (27.03.2012 um 13:29 Uhr)

Alt 27.03.2012, 13:35   #4
markusg
/// Malware-holic
 
BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Standard

BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)



combofix hätte es aber warscheinlich angezeigt.
naja, und das scanner nicht alle schädlinge erkennen sollte keine all zu große überraschung sein.
ich danke dir auf jeden fall erst mal für den upload.
ok, du hältst windows aktuell, aber java und diverse anderen progamme könnten fehlende updates und damit sicherheitslücken aufweisen :-)
kannst du sicherheitshalber noch combofix laufen lassen:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 27.03.2012, 17:24   #5
JamesBolivar
 
BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Standard

BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)



Das kann eine Weile dauern. Combofix hat 41 Abschnitte durchlaufen, danach aus unerfindlichen Gründen das Konfigurationsfile einer harmlosen Freeware namens mp3cut in einen Quarantäneordner verschoben, den dazugehörigen Ordner aus dem Roaming löschen wollen, und sich für volle 60 Minuten nicht weiter gerührt. Ich habe das Programm dann beendet. Ein Logfile hat es nicht angelegt, einen Wiederherstellungspunkt ebenfalls nicht.

Sämtliche meiner autorun.inis befinden sich in Quarantänerordnern der jeweiligen Partition, die aus dem Roaming-Ordner verschobenen Dateien aber auf der Partition C, obwohl sie von der Partition U stammen. Ich bin etwas irritiert. Kann es sein, das Combofix nicht damit zurechtkommt, wenn die Benutzerordner auf einer eigenen Partition liegen?

Auf C befindet sich offenbar so etwas wie ein NTFS-Link auf den Systemordner "Computer", in dem meine Laufwerke angezeigt werden. Ich nehme an, das muss ich erst mal manuell in Ordnung bringen. Für die 41 Abschnitte hat CF schon ziemlich lange benötigt. Ich bin entschieden zu müde, das heute noch mal in Angriff zu nehmen, werde also morgen nachmittag wieder posten.


Alt 27.03.2012, 17:55   #6
markusg
/// Malware-holic
 
BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Standard

BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)



das abbrechen war vllt keine so gute idee. das verschieben in den original ordner hätten wir dann schon hinbekommen, sorry aber für die unannemlichkeiten!
übrigens, danke für den hinweis mit dem reg schlüssel, werde ihn noch zusätzlich in mein otl script zum scannen einfügen
__________________
--> BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)

Alt 28.03.2012, 21:13   #7
JamesBolivar
 
BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Standard

BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)



Später geworden, habe mich erst mal ausschlafen müssen.

Das wichtigste vorweg: ComboFix hat den Schädling nicht als solchen erkannt!

Ich habe noch keine Liste, aber das interne Protokoll des letzten Laufs aus dem Ordner "Lastrun" vor dem ComboFix /uninstall gesichert:

Code:
ATTFilter
"C:\Windows\IsUn0407.exe"
"C:\Windows\iun6002.exe"
"C:\Windows\system32\drivers\etc\hosts.ics"
"C:\Windows\SysWow64\tmp4E1.tmp"
"C:\Windows\SysWow64\tmp510.tmp"
"C:\Windows\SysWow64\tmp81CE.tmp"
"C:\Windows\SysWow64\tmp81DF.tmp"
"C:\Windows\SysWow64\tmp8620.tmp"
"C:\Windows\SysWow64\tmp8D04.tmp"
"C:\Windows\SysWow64\tmp9F5B.tmp"
"C:\Windows\SysWow64\tmp9F6C.tmp"
"C:\Windows\SysWow64\wmploc.DLL.black"
"C:\Windows\SysWow64\wmploc.DLL.zero"
"C:\Windows\Tasks\At1.job"
"I:\autorun.inf"
"N:\autorun.inf"
"R:\Autorun.inf"
"S:\autorun.inf"
"T:\Autorun.inf"
"U:\Autorun.inf"
"U:\Users\Sophosaurus\AppData\Roaming\FFSJ\FFSJ.cfg"
"U:\Users\Sophosaurus\AppData\Roaming\Tykapo\iduq.lux"
"V:\autorun.inf"
"W:\autorun.inf"
"X:\autorun.inf"
         
Das sind Überrreste von Windows-Updates, selbsterstellte autorun.inis (für meine Partition-Icons, zwo Configs von Freeware, zwo alte uninstall-executables und ein Rest eines kontrollierten Testlaufs. Alles ohne Bezug zur Infektion.

System ist inzw. neu gestartet worden. Die Sicherheitseinstellungen des IE waren verbogen, Net. Framework 4 lief nicht mehr, und wurde per Reparaturinstallation instandgesetzt. Warum ComboFix nach dem Verschieben der Ordner rund eine Stunde ohne HD-Aktivität, ohne CPU-Aktivität (System läuft unter 5% passiv, Lüfter springt erst darüber an), und ohne Meldung lief, bis ich es per Closebutton beendete, entnahm ich der Ereignisanzeige. Demnach hat exakt zu Beginn der Untätigkeit der catchme-Treiber gemeldet, mein System sei nicht kompatibel. Ich vermute, das beenden des Tasks der virtuellen Laufwerke vor dem ComboFix-Lauf war nicht genug, und ich hätte sie ordentlich abschalten müssen. CF hat sich ordnungsgemäß entfernt, das System läuft unauffällig.

Wenn ich nachher ins Bett gehe, lasse ich ComboFix noch mal laufen, um ein ordentliches Protokoll zu bekommen, das ich dann morgen einstelle. Ich ziehe das Fazit, die eingeschickte Datei hat nicht viel mehr Funktionalität als den albernen Droh-Bildschirm anzuzeigen und Benutzereingriffe abzuwehren, sonst hätten die Scanner das File nicht als harmlos angesehen. Die Funktionen zur Injektion dieser Malware lagen wohl in den beiden Files, die den Alarm auslösten, weswegen sie ja auch von AVG erkannt wurden. Die beiden Files send ich gleich nach dem Absenden dieses Beitrags zu.

Alt 29.03.2012, 12:38   #8
markusg
/// Malware-holic
 
BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Standard

BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)



also die kontroll server der datei gehören zum sogenannten andromedar bootnetz.
dieses ist in der lage weitere plugins zu laden.
hier scheint aber nicht mehr viel interessantes zu passieren.
scanner hätten das schon erkennen können, avg ist aber zb nicht grad für eine vernünftige verhaltensanalyse bekannt.
emsisoft oder norton zb hkommen mit dieser malware ganz gut zurecht, obwohl das bei emsisoft noch eher zutrifft als bei norton, die lassen das ein oder andere sample auch mal durch rutschen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)
aktuelle, aufruf, avg, avira, beenden, befall, check, erkennung, file, infektion, mail, malwarebytes, microsoft, namen, prüfen, scanner, software, svchost.exe, system, tools, trotz, version, virus, virustotal, windows



Ähnliche Themen: BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)


  1. Data Found : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\ProgramData\SecurityUtility\SecurityUtility32.dll
    Plagegeister aller Art und deren Bekämpfung - 27.08.2015 (1)
  2. 2 Trojaner gefunden HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Ytnaopy
    Log-Analyse und Auswertung - 24.05.2013 (56)
  3. Trojaner in HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nicht dauerhaft löschbar
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (32)
  4. Trojaner Trojan.Agent.Gen in HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Run¦1
    Log-Analyse und Auswertung - 02.02.2013 (24)
  5. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dll (Trojan.Agent) -> Daten: C:\Users\Papa\AppData\Roaming\dll\svchost.exe -> Keine Aktio
    Log-Analyse und Auswertung - 13.01.2013 (10)
  6. Trojan.Ransom Registry Value HKCU\SOFTWARE\Microsoft\Windows\NT\CurrentVersion\Windows|Load
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (31)
  7. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|12843 (Trojan.Agent) lässt sich nicht entfernen :(
    Plagegeister aller Art und deren Bekämpfung - 16.10.2012 (9)
  8. Trojan.Ransom Registry Value HKCU\SOFTWARE\Microsoft\Windows\NT\CurrentVersion\Windows|Load
    Plagegeister aller Art und deren Bekämpfung - 26.08.2012 (10)
  9. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom)
    Plagegeister aller Art und deren Bekämpfung - 20.07.2012 (10)
  10. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    Log-Analyse und Auswertung - 22.04.2012 (3)
  11. Gleiches Problem wie Backdoor.Agent in HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Sh
    Plagegeister aller Art und deren Bekämpfung - 06.03.2012 (12)
  12. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer
    Plagegeister aller Art und deren Bekämpfung - 06.03.2012 (54)
  13. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-.....
    Plagegeister aller Art und deren Bekämpfung - 29.02.2012 (26)
  14. Backdoor.Agent in HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell
    Plagegeister aller Art und deren Bekämpfung - 28.01.2012 (13)
  15. Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (20)
  16. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (27)
  17. O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
    Mülltonne - 02.12.2008 (0)

Zum Thema BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) - Habe mir gestern trotz Erkennung durch AVG die BKA-Erpresser-Malware eingefangen. AVG zeigte die Infektion an, stoppte sie aber nicht. Vollscans mit aktuellen Scannern v. AVG, Malwarebytes, OTL und Avira zeigten - BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)...
Archiv
Du betrachtest: BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.