Windows: Unlöschbarer Autostart-Eintrag nach Malware-Befall

Manchmal ist es zum Verzweifeln: Ein Kunde hat sich Malware in der Form eingefangen, das Bitcoins (und/oder andere Crypto-Währungen, Namentlich „BitCoinMiner.sx“) auf seinem PC geschürft werden. G Data AntiVirus hat zwar immer wieder einen Teil des Schädlings erkannt und in die Quarantäne verschoben, das half allerdings wenig, da ein Downloader immer weider fleissig Payload nachgeschoben hat.

Den PC offline genommen, mit diversen Virenscannern durchleuchtet und alles entfernt was die Virenschutzprogramme und die eigene Erfahrung an „Müll“ gefunden hat. Es scheint, als sei das ursprüngliche Übel auch weg, aber einen Rest bekommen ich einfach nicht los:

Löscht man den „(Default)“-Eintrag bekommt man wahlweise sinngemäss ein geht nicht oder Fehler. Selbst wenn er mal verschwunden ist, taucht er nach einem „Aktualisieren“ oder Neustart von Autoruns wieder auf.

Via „regedit“ wird gar kein Wert angezeigt. Über die „reg“-Befehle der Eingabeaufforderung, via PowerShell, div. alternativen Registry-Editoren und selbst via FRED (von ct desinfect aus gestartet) bin ich nicht weitergekommen. Es wird als Wert null angezeigt, aber irgendwo muss ja irgendwas sein.

Falls jemand noch einen Tipp oder eine Idee hat, her damit!

Bemerkung am Rande: Der Screenshot wurde aus dem laufenden System heraus erstellt, die Verknüpfte Datei wurde zwischenzeitlich entfernt, so das nun bei „Image Path“ zusätzlich ein „Datei nicht gefunden…“ angezeigt wird.

17 Kommentare

  • Erinnert mich spontan an Fälle im Dateisystem vor Ewigkeiten, wo es an Sonderzeichen lag.
    Vielleicht kann man diese Einträge nicht mittels ihres Namens, sondern über ihren Index (wie auch immer man da technisch drauf zugreifen kann) löschen?

  • Über Sysinternals „Desktops“ ein umbenanntes procmon.exe auf einem anderen Desktop starten (um zu verhindern daß ein Trojaner den Prozess über Enumeration zu leicht findet), Noise wegfiltern, auf Desktop 1 mit Autoruns den Eintrag weglöschen und dann mit procmon.exe schauen, welcher Prozess den Eintrag wieder hingesetzt hat. Vermutlich läuft im User-Context noch ein Teil von dem Trojaner. Dann kann man sich auf die Suche machen, von wo aus der gestartet wird.

    Da aber nicht ausgeschlossen werden kann, daß die Kiste bereits ab MBR oder recht früh in der Boot-Kette z.B. in NTFS $boot infiziert ist, täte ich aus reiner Vorsicht trotzdem alle Daten sichern und OS/Apps neu installieren. Die erste Infektion per Dropper aus einem Attachment einer Mail kriegt man i.d.R. noch relativ leicht weg, aber dann wird der Zugriff auf den PC über Foren im 100er Pack vertickert und danach werden schwerere Brocken installiert, die sich tief vergraben. Findet man zwar auch noch, wenn man sich ne Stunde oder zwei vor einen Packet-Trace setzt und wartet, daß versucht wird, den Command and Control-Server anzusprechen, aber derweil habe ich das System 3x neu installiert.

    Vor allem wenn der Kunde sowas wie VR-Banking Software drauf hat/hatte, deren Logins er hoffentlich bereits geändert hat mitsamt TAN-Listen und sämtlichen Passwörtern, die je auf diesem PC und jemails angeschlossenen Handies verwendet wurden.

  • Das System wurde bereits offline bereinigt, eine Neuinfektion trat bislang nicht mehr auf. Einzig der Reg-Eintrag kann nicht zurückgesetzt/entfernt/geändert werden.

  • Wenn der Registry Eintrag sich nicht löschen lässt, (Zugriff verweigert, Fehler etc)
    Offline HKLMSoftware Struktur laden, Eintrag versuchen zu löschen.
    oder
    Online Registry Editor mit Psexec starten
    psexec.exe -i -d -s c:windowsregedit.exe
    Eintrag versuchen zu löschen.

  • Ist kein Rechte-Problem und Offline wurde unlängst erfolglos versucht.

  • Versuch mal combofix
    Ggf setzt auch ne andere Verknüpfung den Eintrag via Parameter….
    Das mit procmon ist also auch keine schlechte Idee

  • @all
    Danke für die Tipps.

    Aber wie bereits erwähnt, findet keine Neuinfektion oder Neusetzen dieses Eintrags mehr statt.

    Selbst offline (der Vollständigkeit halber erwähnt: Gemeint ist damit, der PC wird per Medium [CD/DVD/USB-Stick] gestartet) lässt keine Änderung oder Entfernen des Eintrags zu.

  • Auch nicht durch z.B. ein Powershell Script, welches, wie vorgeschlagen, den Eintrag nicht per Namen, sondern Index löscht?

  • Via Powershell habe ich den einen oder anderen Befehl ausprobiert, leider ohne Erfolg.
    Wie müsste das denn mit dem Index aussehen?

  • Ist ein rein theoretischer Ansatz, den ich noch nicht selber probiert habe.
    Ich kenne das aus anderen Programmiersprachen halt. Müsste eigentlich mit PowerShell auch gehen.
    Ich melde mich dazu nochmal.

  • Bevor ich mich nun mit PowerShell versuche ist mir gerade etwas aufgefallen:
    Der von dir eingerahmte „(Default)“-Eintrag existiert bei mir im Registry-Editor auch, allerdings ohne Wert.
    Ich kann mir vorstellen, dass du den gar nicht löschen kannst!
    Hast du schon mal probiert, den Wert des Eintrags einfach zu löschen, also zu leeren?

  • Ach so, noch was:
    Wenn das nicht klappt, würde mich mal ein Screenshot des Registry Editors von „ComputerHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun“ interessieren.
    Ist „(Default)“ da evtl. doppelt vorhanden?

  • Das war sogar der erste Versuch, aber ohne Erfolg (ganz gleich auf welchem Weg).

  • Kann ich leider nicht liefern, da der Kunde den PC nach zwei Tagen wieder haben wollte.
    Default wird nur einmal angezeigt. Je nachdem wie man versucht diesen zu löschen oder zu bearbeiten ggf. auch kurzzeitig mal doppelt, letzteres schien mir eher ein Anzeigefehler zu sein.

  • Ok, eine letzte Idee hätte ich noch:
    Vielleicht wurde der „(Default)“-Wert von „ComputerHKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun“ ja ebenfalls von der Schadsoftware modifiziert, was dann u.U. dazu führen könnte, dass er immer wieder entsprechend hergestellt wird…

    Mein ursprünglicher Lösch-Ansatz (per Index wie auch immer) ist ja hinfällig.

    Frohes Fest noch, Peter

  • Interessanter Gedanke, wenn ich den PC mal wieder im Zugriff habe, kann ich danach schauen. Danke dafür.

  • Auch wenn der Thread schon alt ist, meine Info.
    Bei solchen Problemen (ca. 10x) hat mir (priv. Rechner von Bekannten/Kollegen) immer adwcleaner geholfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.