Nach Befall, Regestry kann nicht bearbeitet werde, Defender durch admin deaktiviert

[Agba]

Hallo Leute,

eines meiner Notebooks hat wohl eine Infektion abbekommen. Es sind per se keine wichtigen Daten drauf, dennoch würde ich gern aus interesse Feststellen, was genau passiert ist, bzw. was verändert wurde.

Ich habe die Tage ganz noraml daran gearbeitet, als der defender eine bedrohung erkannte. Ich habe sie in die Quarantäne verschoben und einen neustart mit Scann veranlasst, welcher dann auch etwas gefunden hat.

Nach dem Neustart, war der Defender plötzlich nicht mehr im Menü verfügbar "Der Administrator, hat teile dieser app eingeschränkt"

Sfc /scannow
konnte nicht abgeschlossen werden
dism /online /cleanup-image /restorehealth klappte auch nicht

Dann startete der Laptop plötzlich alle 15 Sekunden nach dem Boot neu.
nach deaktivierung der gesamten Start programme, war zumindest dieses Problem weg.

ich habe dann ein windows upgrade gemacht mit datein behalten option.

Allerdings startete der defender auch danach immer noch nicht.

auch die regedit befehle zum löschen der DisableAnti Spyware: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /f etc, funktionieren nicht, geben "zugriff verweigert"

bzw. sind die jeweiligen schlüssel sowieso auf 0.

Malewarebytes findet soweit nichts, jedoch lässt sich weder Hijackthis öffnen, noch lässt sich etwas profanes wie der Gforce treiber installieren, während andere dinge gehen.


Ich würde den Laptop nun schlicht zurück setzen, da wie gesagt nichts wichtiges drauf ist, außer Premiere pro und lightroom
Aus interesse würde ich jedoch schon gern wissen was genau da am system gändert wurde bzw. was genau da los ist, gibt es sonst eine möglichkeit dies mit tools festzustellen?

liebe grüße

 

[madmax2010]

ohne zu wissen ob da einfach was kaput gegangen ist und welche / ob eine schadsoftware schuld war ist das eher schwierig.
Ich wuerde aber nicht einfach zurueck setzen, sondern an einemanderen rechner ein frisches WIndows image besorgen und dort einen sauberen Bootstick bauen.
Dann alles komplett platt machen

 

[Snoop7676]

Hast du Zugriff auf das versteckte Administrator Konto?

Kannst du die Eingabeaufforderung mit rechter Maustaste "Als Administrator starten" starten?

Wenn ja, dann CMD als Administrator starten und eingeben:
net user administrator /active:yes

Anschließend dich abmelden und mit dem jetzt sichtbaren Administrator anmelden

Danach mit diesem Konto nochmal Malwarebytes etc. durchlaufen lassen.

Aber deine Schilderung hört sich so schon mega "kaputtgefrickelt" an das ich hier einfach mit einer aktuellen .iso Datei und nem USB Stick kurzen Prozess machen würde (Windows sauber neu installieren | Vom Stick booten und die momentanen Partitionen alle löschen, anschließend neu anlegen und Windows clean installieren).

 

[duAffentier]

Hi,

https://www.trojaner-board.de/

Dort wird in solchen speziellen Themen gut geholfen! Alle Tools mit Erklärungen sind da. Das Forum wertet auch deine Logs aus.

Was geändert worden ist, kann man dir aus der Ferne weniger sagen.

 

[klalar]

Aus interesse würde ich jedoch schon gern wissen was genau da am system gändert wurde bzw. was genau da los ist, gibt es sonst eine möglichkeit dies mit tools festzustellen?

Du kannst dir z.B. die CT-Desinfekt holen.(kostenpflichtig) Das ist ein Live-Linux mit bis zu drei Scannern der deine Platte durchforstet ohne Windows zu booten. Dann bekommst du zumindest die "Namen" der Schädlinge und kannst lesen was die so alles machen.....

 

[der Unzensierte]

Mal abgesehen davon das ich das Teil sowas von platt machen würde - wenn du noch ins BIOS kommst und von einem Stick booten kannst - Linux auf einen Stick und du kannst hinter die Kulissen schauen.

 

[NatokWa]

Klingt schwer nach nem Rootkit, bei sowas hilft ein Zurücksetzen btw. idr. NICHT da die Infektion das einfach umgeht und bestehen bleibt. Festplatte komplett platmachen und mit nem USB-Stick (der ZWINGEND an einem anderen Rechner erstellt wurde) WIndows GANZ neu aufspielen !

 

[CoMo]

Aus interesse würde ich jedoch schon gern wissen was genau da am system gändert wurde bzw. was genau da los ist, gibt es sonst eine möglichkeit dies mit tools festzustellen?

Den besten Überblick bekommen wir mit FRST, vorausgesetzt, es lässt sich starten. Als Admin ausführen, Shortcut.txt und Addition.txt anklicken und den Suchlauf starten. Die generierten Logs können wir uns dann anschauen.

 

[chrigu]

Mhhh. Schon recht komisch, dass der defender anschlägt, die Datei in die Quarantäne schiesst aber trotzdem ein Infekt hat… kann es sein, das du den defender kastriert (registry manipuliert) oder Sachen manuell erlaubt hast? Weil von nichts kommt nichts

 

[purzelbär]

Ich wuerde aber nicht einfach zurueck setzen, sondern an einemanderen rechner ein frisches WIndows image besorgen und dort einen sauberen Bootstick bauen.
Dann alles komplett platt machen

das ich hier einfach mit einer aktuellen .iso Datei und nem USB Stick kurzen Prozess machen würde (Windows sauber neu installieren | Vom Stick booten und die momentanen Partitionen alle löschen, anschließend neu anlegen und Windows clean installieren).

Kann mich dem nur anschliessen das er Windows komplett neu installieren sollte und danach wenn Windows eingerichtet und alles weitere installiert ist, eine USB Festplatte anschliessen und dann regelmässig Systembackups/images vom Windows oder Festplattenbackups/images auf die USB Festplatte machen mit zum Beispiel dem hier: https://www.deskmodder.de/blog/2022...fessional-kostenlos-fuer-euch-bis-24-05-2023/ und nicht vergessen: ein Boot Medium des Backup Programms mit den Assistenten erstellen.

 

[Dr. McCoy]

Aus interesse würde ich jedoch schon gern wissen was genau da am system gändert wurde bzw. was genau da los ist, gibt es sonst eine möglichkeit dies mit tools festzustellen?

FRST. Beide Logfiles einem Posting anhängen. Durch das Upgrade sind aber Spuren verloren gegangen.

https://www.emsisoft.com/de/help/1743/einen-scan-mit-frst-durchfuehren/

 

[Agba]

Frst und eset melden mir ein wie von euch erwartetes rootkit bzw. Trojaner dropper.

Spannend, da der Laptop aufgrund seines Alters eigentlich nur zu Monitoring Zwecken in der Firma steht, Dokumente und ab und an eben Adobe, wenn nichts anderes verfügbar ist.

Ich werde mittels Stick die Partien platt machen und dann frisch installieren, wobei es immernoch spannend ist wie das da drauf gekommen ist.

Da würde mir eigentlich nur die Firmencloud einfallen. Blöd, dass ich das Upgrade gemacht habe, so hätte mir eset sicherlich sagen können aus welcher Datei das kam.

Mhhh. Schon recht komisch, dass der defender anschlägt, die Datei in die Quarantäne schiesst aber trotzdem ein Infekt hat… kann es sein, das du den defender kastriert (registry manipuliert) oder Sachen manuell erlaubt hast? Weil von nichts kommt nichts

Wie gesagt Ablauf:
Defender> Bedrohung gefunden
Neustart mit boot scann gemacht

Bedrohung entdeckt
Windows bootet
Defender deaktiviert + das oben beschriebene

 

[CoMo]

Frst und eset melden mir ein wie von euch erwartetes rootkit bzw. Trojaner dropper.

Ich kann kein Log in deinem Post finden.

 

[pvcf]

Dokumente und ab und an eben Adobe,

Na das ist ja schonmal ein sehr Valides Einfallstor.

 

[Dr. McCoy]

Alter PC? Welches Betriebssystem läuft denn darauf?

 

[purzelbär]

Spannend, da der Laptop aufgrund seines Alters eigentlich nur zu Monitoring Zwecken in der Firma steht, Dokumente und ab und an eben Adobe, wenn nichts anderes verfügbar ist.

Jetzt sag nur noch das es ein Laptop deiner Firma ist und nicht dein eigenes Gerät. Denn dann wäre deine Firma dafür verantwortlich den Laptop wieder in Ordnung zu bringen durch eine Neuinstallation und was für ein Windows ist da überhaupt drauf? ich befürchte fast Windows 7 oder älter.

 

[PC295]

Frst und eset melden mir ein wie von euch erwartetes rootkit bzw. Trojaner dropper.

Was wurde denn nun genau gefunden? Im welchem Pfad bzw. in welchen Dateien?