You are not logged in.

Thursday, July 31st 2014, 1:16am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

NiteHawk

Community member

  • "NiteHawk" started this thread

Date of registration:
Feb 14th 2006

Operating System:
XP Pro SP3, Windows 7 Pro - Ubuntu 10.04 LTS

  • Send private message

1

Thursday, December 17th 2009, 2:03pm

Systemrettung bei IFEO Malware (Bebloh/Bredolab)

In jüngster Zeit beobachten wir eine zunehmende Zahl von Fällen, in denen Malware einen bestimmten Registry-Schlüssel verwendet, um frühzeitig während des Windows-Anmeldevorgangs zu starten, und gleichzeitig die Entfernung des Schädlings zu erschweren. Der fragliche Schlüssel heißt "Image File Execution Options" oder kurz "IFEO". Unter http://www.avertlabs.com/research/blog/i…cution-options/ sind (auf Englisch) nähere Informationen zu diesem Mechanismus zu finden. Ein Beispiel für Malware, die sich dies zu Nutze macht, ist Bebloh/Bredolab.

Die ganze Geschichte hat einen fiesen Haken. Falls sich eine schädliche .EXE-Datei als "Debugger" für userinit.exe eingetragen hat und Sie es (z.B. mit Hilfe von AntiVir :D) schaffen, diese Datei zu entfernen ohne zugleich auch den Registry-Eintrag zu löschen, so führt dies dazu, dass dabei unbeabsichtigt der Windows-Anmeldevorgang beschädigt wird, weil anschließend das Starten der userinit.exe fehlschlägt. Die resultierenden, typischen Symptome sind, dass Ihnen ein Windows-"Willkommen"- bzw. Anmelde-Bildschirm präsentiert wird, aber nach Auswahl eines Benutzers (bestenfalls) nur kurz der Desktop gezeigt / initialisiert wird, und Windows dann umgehend wieder zur Anmeldung zurückkehrt, so dass Sie in einer 'Anmeldeschleife' gefangen sind. Auch der Start im "Abgesicherten Modus" hilft dabei nicht weiter (gleiches Problem).

Der einzige Ausweg aus dieser Situation ist, die Registry wieder auf einen brauchbaren Zustand zurück zu ändern (d.h. den schädlichen IFEO-Eintrag zu entfernen), oder alternativ unter dem Dateinamen des Trojaners eine andere .EXE-Datei als 'Dummy' / Ersatz zur Verfügung zu stellen, so dass der "Debugger"-Aufruf wieder funktionieren kann. Eine Kopie der cmd.exe oder explorer.exe ist für Letzteres geeignet, allerdings ist dies ein umständlicher und fehlerträchtiger Prozess (bei dem man ohnehin zunächst einmal den korrekten Dateinamen ermitteln müsste). Dementsprechend ist das Bearbeiten / Korrigieren der Registry unser bevorzugter Lösungsansatz.

Das bedeutet aber, dass Sie vor einem großen Problem stehen: Sie benötigen einen Weg, um die Registry zu bearbeiten, können aber Ihr Windows nicht starten, so dass Ihnen dessen mitgelieferter Registrierungs-Editor nicht zur Verfügung steht. Dementsprechend brauchen Sie ein eigenständiges Werkzeug, um diese Aufgabe gewissermaßen 'von außen' zu erledigen. Falls Sie über eine Bart PE-CD oder UBCD4Win verfügen und mit der Vorgehensweise vertraut sind, so können Sie die dort enthaltenen Tools verwenden, um Zugriff auf die Registry Ihres Systems zu erlangen. Sie müssen dann den (Unter-)Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe ausfindig machen und komplett löschen.

Ich möchte hier aber noch einen weiteren Weg vorstellen, um dies zu erreichen - mit einem großen Dankeschön an Petter Nordahl-Hagen, der dafür ein sehr brauchbares Werkzeug zur Verfügung stellt. [Ich demonstriere die ganze Prozedur hier an einer VM-Testinstallation von Windows Vista (32Bit).]
  • Besuchen Sie die Offline NT Password & Registry Editor Webseite, navigieren Sie zum Bereich Bootdisk. Laden Sie die neueste CD release-Version herunter (derzeit cd080802.zip), extrahieren Sie die im Archiv enthaltene .ISO-Image-Datei, und verwenden Sie diese mit Ihrem Brennprogram, um die entsprechende CD zu erstellen. (Das Freeware-Program ImgBurn ist z.B. dafür geeignet.)

  • Starten Sie Ihren PC von der auf diese Weise erstellten CD. Dieser Schritt erfordert ggf., dass Sie während des Startvorgangs eine bestimmte Taste (häufig F2, F8 oder F11) für das Menü "Boot Device Selection" drücken, oder dass Sie in den BIOS-Einstellungen die Startreihenfolge ("Boot Order") so ändern, dass Ihr System zuerst von CD-ROM zu booten versucht. Wenn Ihr PC erfolgreich von der CD gestartet wurde, sollten Sie folgenden Bildschirm sehen:

    Wenn Sie nicht gerade eine der besonderen, zusätzlichen Boot-Optionen benötigen, drücken Sie hier einfach die Eingabetaste (<Enter>, "Return").

  • Im nächsten Schritt müssen Sie die Systemrettung auf Ihre Windows-Installation verweisen. Normalerweise ist sie an dieser Stelle bereits automatisch erkannt / vorausgewählt worden. Ihr Windows-Laufwerk C: wird dabei wahrscheinlich als /dev/hda1 oder /dev/sda1 erscheinen:

    Wählen Sie die Nummer Ihrer Windows-Partition, oder drücken Sie einfach die Eingabetaste, um die Vorgabe [1] zu übernehmen.

  • Sie werden nun nach dem Pfad zu den Registry-Dateien gefragt, wobei erneut bereits ein Vorgabewert gesetzt ist. Es sollte wiederum ausreichen, diesen einfach per Eingabetaste zu übernehmen. Die Rettungs-CD wird dann die Registry-Dateien auflisten und fragen, welcher Teil der Registry bearbeitet werden soll:

    Da wir mit dem HKLM\SOFTWARE-Zweig der Registry arbeiten müssen, wählen Sie hier bitte die 2!

  • Sie benötigen im Folgenden vollen Zugriff auf die Registry, was bedeutet, dass Sie im nächsten Schritt "9 - Registry editor" auswählen müssen:


  • Jetzt wird's spannend: Sie müssen nun zum richtigen Unterschlüssel navigieren (\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\). Dazu dienen DOS-ähnliche Befehle - geben Sie bitte Folgendes ein:
    cd Microsoft (<Eingabetaste>)
    cd Windows NT (<Eingabetaste>, Achten Sie auf das 'Leerzeichen' zwischen "Windows" und "NT"!)
    cd CurrentVersion (<Eingabetaste>)
    cd Image (<Eingabetaste>)
    Da der Registry-Editor Ihre Eingabe automatisch auf den ersten passenden Schlüssel 'erweitert', sollte Letzteres Sie zu "Image File Execution Options" bringen (ist in der Eingabeaufforderung zu sehen/lesen):


  • An diesem Punkt sollten Sie prüfen, ob Sie es wirklich mit der besagten 'IFEO Malware' zu tun haben. Die Eingabe von
    ls userinit.exe (<Eingabetaste>)
    sollte typischerweise eine Auflistung anzeigen, in welcher der zuvor erwähnte "Debugger"-Wert auftaucht:

    Wichtig: Fahren Sie nicht fort, falls der Schlüssel "userinit.exe" nicht gefunden wird ("Key not found")! Sie haben es vermutlich mit einem anderen Schädling zu tun oder ein gänzlich anderes Problem mit Ihrer Windows-Anmeldung, und wahrscheinlich trifft diese Anleitung in Ihrem Fall nicht zu. (Hinweis: Bitte beachten Sie Beitrag #2 in diesem Fall!)

  • Löschen Sie den schädlichen Eintrag für userinit.exe, indem Sie
    rdel userinit.exe (<Eingabetaste>)
    eingeben. Falls alles klappt, sollte keine Fehlermeldung erscheinen, und der Registry-Editor zeigt wieder die Eingabeaufforderung an. Sie können sich durch erneute Eingabe von ls userinit.exe davon überzeugen, dass der Schlüssel wirklich entfernt wurde - diesmal sollte die Antwort dann "Key <userinit.exe> not found" lauten.

  • Jetzt ist es Zeit, den Registry-Editor zu verlassen und die von Ihnen vorgenommenen Änderungen auf die Festplatte zu schreiben! Geben Sie q (für "quit") gefolgt von der <Eingabetaste> ein, dann nochmal q (<Eingabetaste>), und bestätigen Sie das Speichern mit y ("yes"):


  • Die Rettungs-CD sollte nun "*** EDIT COMPLETE ***" melden, und fragt "New run? [n]". Vorausgesetzt, Ihnen ist kein Fehler unterlaufen, und Sie wollen den gesamten Vorgang nicht noch einmal starten, sollten Sie hier einfach noch ein letztes Mal wieder die <Eingabetaste> betätigen. Nach der abschließenden Meldung führen Sie dann bitte einen Neustart des PC durch (Strg+Alt+Entf drücken, und entfernen Sie dann bitte ggf. auch die CD), und hoffen auf das Beste. Falls Sie erfolgreich waren, sollte Ihr Windows wieder normal hochfahren! 8o

Beachten Sie bitte, dass diese Anweisungen nur dazu dienen, Ihr Windows wieder 'auf die Beine' zu bringen. Höchstwahrscheinlich werden Sie nun Ihr System gründlich auf Überreste schädlicher Software untersuchen / scannen müssen. Ihr PC wurde kompromittiert, d.h. er ist nicht länger vertrauenswürdig. In diesem Zustand taugt das System möglicherweise nur noch zur Sicherung Ihrer persönlichen Daten und Dokumente, bevor Sie eine Neuinstallation in Angriff nehmen... Bitten Sie im Zweifelsfall im entsprechenden Teil des Forums um Hilfe - die freiwilligen Helfer/innen stehen Ihnen ggf. gern mit Rat und Tat zur Seite.

Gruß, NiteHawk

This post has been edited 5 times, last edit by "NiteHawk" (Dec 24th 2009, 10:47am)


NiteHawk

Community member

  • "NiteHawk" started this thread

Date of registration:
Feb 14th 2006

Operating System:
XP Pro SP3, Windows 7 Pro - Ubuntu 10.04 LTS

  • Send private message

2

Thursday, December 24th 2009, 10:45am

svensl weist darauf hin (Danke!), dass die oben geschilderten Symptome und Schritte auch zutreffen können, falls ein anderer Registry-Schlüsssel durch Malware manipuliert wurde. Streng genommen handelt es sich dabei nicht um "IFEO malware", aber der Mechanismus ist sehr ähnlich, und der Offline Registry-Editor hilft auch in diesem Fall, das Problem los zu werden.

Wenn Sie den IFEO\userinit.exe - Zweig nicht finden können, oder dort kein Debugger - Wert gesetzt ist, lohnt es sich, noch einen anderen Registry-Schlüssel zu untersuchen. Nagivieren Sie bitte zu [HKLM\Software]\Microsoft\Windows NT\CurrentVersion\Winlogon:

cd \ (<Eingabetaste>)
cd Microsoft (<Eingabetaste>)
cd Windows NT (<Eingabetaste>)
cd CurrentVersion (<Eingabetaste>)
cd Winlogon (<Eingabetaste>)

Lassen Sie sich dort den Wert für Userinit anzeigen und prüfen Sie die entsprechende Ausgabe:

cat Userinit (<Eingabetaste>)



Falls Userinit auf irgend etwas anderes als %SYSDIR%\userinit.exe verweisen sollte, benutzen Sie den Editor, um den Eintrag wieder auf den korrekten Wert zurück zu ändern:

ed Userinit (<Eingabetaste>)

Danach machen Sie bitte - wie oben beschrieben - mit dem Verlassen des Registry-Editors und dem Speichern der Änderungen weiter.

Regards, NiteHawk