Ungeziefer hat sich im Taskplaner engenistet

[AchtBit]

Hallöle,

Ja, bei mir hängt ein Shell Script, in 3 - facher Ausfertigung, im Taskplaner. Siehe Screenshoot. Es hat sich in orig. Windows Task Ordner kopiert, welche kaum o. gar nicht mehr getriggert werden. Dabei hat es einfach den Namen des Tasks kopiert und einen Buchstaben Suffix rangehängt.

Bei den Aufgaben handelt es sich um,
"HelloFace Script : FODCleanUpTask" ,
"PLA Script : ohci",
"RemoteAssistance Script : RemoteAssistanceTask"

Wer weis was genau dieser Task bewirken soll. P.S. Bei der sys.txt Datei handelt es sich um 5k binäre Daten.


Im ersten Screen ist unten in der Mitte das Script zu sehen. Es handelt sich 3x um das Gleiche.
Der 2. Screen ist aus der Sicht des Taskplaners.

 

[Dooma]

Das ist ernst, sieht ähnlich aus wie: https://www.fortinet.com/blog/threat-research/bioload-fin7-boostwrite-lost-twin

So oder so, das ist auf jeden Fall obfuskierte Malware, du kannst davon ausgehen das alle deine Session Tokens und Passwörter nun geklaut sind.

Vielleicht mal einen Offline Virus Scan machen und versuchen das Ding zu entfernen, oder gleich Windows neu aufsetzen.

Danach unbedingt alle Geräte abmelden bei Konten die Session Tokens nutzen und die Passwörter tauschen.

 

[AchtBit]

Das Ding konnte seine Arbeit nicht beenden. Vor Urzeiten hab ich nämlich die Hypernate Funktion unumkehrbar abgemurkst. Genau da produziert das Script einen Fehler und hängt in einer Endlosschleife. Es wird immer versucht auf die Funktion zuzugreigen, was einen Fehler verursacht. Der Fehler wiederholte sich bis er 60 GB Speicher gefressen hat. Da hab ich es dann gemerkt.

Hier mal ein Versuch das Script mauell zu starten. So bekommt man ein paar Infos von den Funktionen.

 

[Dooma]

Was du da siehtst sind nur die Fehler im Script der Rest läuft unsichtbar, das Kommando ist verschlüsselt aber allein der invoke Befehl sagt schon, dass dort weitere Prozesse gestartet werden.
Der einzige Grund warum jemand obfuskiert Kommandos per Powershell ausführt ist Malware.
Womit ich nochmal auf meinen vorherigen Beitrag verweise: Sieh zu dass du das Ding wegbekommst und kümmere dich dann darum dass dir nicht deine Konten geklaut werden.

 

[Poulton]

"HelloFace

Das ist die Gesichtserkennungsfunktion von Windows Hello zur Anmeldung.

FODCleanUpTask" ,

Ist der eigentliche TaskName von HelloFace. Normaler Windows Task.

ohci",

Open Host Controller Interface. Dient u.a. der Kommunikation mit USB Geräten, z.B. Webcams.

"RemoteAssistance Script : RemoteAssistanceTask"

Prüft ob es Änderungen an den Gruppenrichtlinien zu RemoteAssistance gegeben hat. Normaler Windows Task.

An der Stelle erstmal das übliche vorgehen: Administrative cmd öffnen und nacheinander folgende Befehle ausführen, um Windows auf irgendwelche Beschädigung zu prüfen und ggf. zu reparieren:

sfc /scannow
dism /Online /Cleanup-Image /AnalyzeComponentStore
dism /Online /Cleanup-Image /ScanHealth
dism /Online /Cleanup-Image /CheckHealth
dism /Online /Cleanup-Image /RestoreHealth

c:
cd C:\Windows\Microsoft.NET\Framework64\v4.0.30319
ngen.exe executequeueditems
cd C:\Windows\Microsoft.NET\Framework\v4.0.30319
ngen.exe executequeueditems

Reboot nicht vergessen.

Vor Urzeiten hab ich nämlich die Hypernate Funktion unumkehrbar abgemurkst

Einfach mit den entsprechenden Befehl via administrative cmd ganz oder teilweise (hiberboot) wieder aktivieren:

#Hibernate deaktivieren
powercfg /hibernate off
#nur Hiberboot
powercfg /hibernate /type reduced
#Hybernate aktivieren
powercfg.exe /hibernate on

 

[Dooma]

Das ist die Gesichtserkennungsfunktion von Windows Hello zur Anmeldung.


Ist der eigentliche TaskName von HelloFace. Normaler Windows Task.


Open Host Controller Interface. Dient u.a. der Kommunikation mit USB Geräten, z.B. Webcams.


Prüft ob es Änderungen an den Gruppenrichtlinien zu RemoteAssistance gegeben hat. Normaler Windows Task.

An der Stelle erstmal das übliche vorgehen: Administrative cmd öffnen und nacheinander folgende Befehle ausführen, um Windows auf irgendwelche Beschädigung zu prüfen und ggf. zu reparieren:

sfc /scannow
dism /Online /Cleanup-Image /AnalyzeComponentStore
dism /Online /Cleanup-Image /ScanHealth
dism /Online /Cleanup-Image /CheckHealth
dism /Online /Cleanup-Image /RestoreHealth

c:
cd C:\Windows\Microsoft.NET\Framework64\v4.0.30319
ngen.exe executequeueditems
cd C:\Windows\Microsoft.NET\Framework\v4.0.30319
ngen.exe executequeueditems

Reboot nicht vergessen.


Einfach mit den entsprechenden Befehl via administrative cmd ganz oder teilweise (hiberboot) wieder aktivieren:

#Hibernate deaktivieren
powercfg /hibernate off
#nur Hiberboot
powercfg /hibernate /type reduced
#Hybernate aktivieren
powercfg.exe /hibernate on

Du möchtest mir aber jetzt nicht erzählen das ein normaler Windows Task verschlüsslte Daten aus einer sys.TXT zieht und diese dann ausführt....

 

[AchtBit]

Alles gut. Ist nicht mehr aktiv und dem image fehlt auch nix..
Der letzte Fehler hängt in einer Schleife fest. Ich hab in dem Bsp. das Script nur mit Strg-C abgebrochen.
Als ich den Process erkannte, hab ich das CON Fenster sichtbar gemacht und es lief eine endlose Flut dieser Fehlermeldung durch. 60gb nur dieser Fehler, warscheinlich fast ne milliarde mal.

P.S. nope hibernate lässt sich nicht mehr wieder herstellen. An dieser Stelle hat die Image Datenbank einen Fehler. Die Datei wird zwar erzeugt aber in den Schlafmode lässt sich das Win nicht mehr versetzen. Die Aktivierung verursacht keinen Fehler aber ausser Moni aus, passiert absolut gar nix.