Hallo zusammen,
ich habe mir den Bundespolizei-Virus eingefangen und mittlerweile wieder beseitigt, bekomme aber noch Fehlermeldungen und Bedrohungsanzeigen.

Ich habe einen Rechner mit Windows XP prof, der auch als Windows Terminal Server an an einem Server mit Winows Server 2003 angeschlossen ist. Zum Zeitpunkt, als ich den Virus eingefangen habe, war ich nicht am Server angemeldet. Auf dem Rechner sind neben APL7.FISCHER noch der Administrator und ein weiterer User eingerichtet. Als Sicherheitssoftware war und ist Trend Micro CLient Server Security Agent installiert.

Ich habe mich zunächst unter dem anderen Benutzer angemeldet und hatte dann wieder Zugriff auf den Rechner. Ein Scan mit Trend Micro ergab folgende Funde im Pfad
C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployement\6.0\....
Verzeichnis\Dateiname Virusname
...4\d1b7144-4c7b8b44(ER.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(Inc.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(c.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(a.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(b.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(t.class) JAVA_BLACOLE.ECD
...50\2e66b72-26818df5(a.class) JAVA_BLACOLE.DRW
...50\2e66b72-26818df5(b.class) JAVA_BLACOLE.DRW
...50\2e66b72-26818df5(Photo.class) JAVA_BLACOLE.DRW
...59\3963883b-3857aba8(E.class) JAVA_EXPLT.NN
jeweils mit dem Zusatz, dass ein Virus endeckt wurde, die infizierte Datei aber nicht gesäubert werden kann.

Daraufhin habe ich mir AVG herundergeladen und installiert. Ein Scan ergab die Funde
"Scan ""Gesamten Computer scannen"" wurde beendet."
"Infektionen";"1";"1";"0"
"Warnungen";"2";"2";"0"
"Ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Dienstag, 3. April 2012, 21:42:39"
"Ende des Scans:";"Dienstag, 3. April 2012, 22:33:17 (50 Minute(n) 37 Sekunde(n))"
"Gescannter Objekte:";"664278"
"Benutzer:";"APL7"

"Infektionen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0AU995G4\main[1].htm";"Virus gefunden: Script/Exploit.Kit";"In Virenquarantäne verschoben"

"Warnungen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\Dokumente und Einstellungen\APL7\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P46DG2R7\avg_free_x86_all_2012_2126a4890[2].exe";"Beschädigte ausführbare Datei";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P46DG2R7\avg_free_x86_all_2012_2126a4890[1].exe";"Beschädigte ausführbare Datei";"In Virenquarantäne verschoben"

Ein zweiter, eingeschränkter Scan ergab folgendes Ergebnis:

"Scan ""Bestimmte Dateien/Ordner scannen"" wurde beendet."
"Infektionen";"6";"6";"0"
"Ausgewählte Ordner:";"C:\Dokumente und Einstellungen\APL7.FISCHER\;"
"Start des Scans:";"Dienstag, 3. April 2012, 22:34:28"
"Ende des Scans:";"Dienstag, 3. April 2012, 22:49:32 (15 Minute(n) 3 Sekunde(n))"
"Gescannter Objekte:";"57316"
"Benutzer:";"APL7"

"Infektionen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\3963883b-3857aba8:\N.class";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\3963883b-3857aba8";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38\3754a6e6-7e222a48:\a.class";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38\3754a6e6-7e222a48";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\59748f0f-640231c2:\K.class";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\59748f0f-640231c2";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"

Neun weitere Scans waren O.K.der zwöfte Scan brachte folgende Funde:

"Scan ""Gesamten Computer scannen"" wurde beendet."
"Infektionen";"8";"4";"4"
"Ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Dienstag, 3. April 2012, 23:40:14"
"Ende des Scans:";"Mittwoch, 4. April 2012, 00:55:22 (1 Stunde(n) 15 Minute(n) 7 Sekunde(n))"
"Gescannter Objekte:";"655206"
"Benutzer:";"APL7"

"Infektionen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\WINDOWS\system32\rundll32.exe (3924)";"Trojaner: Delf.ADWX";"Gelöscht"
"";"C:\WINDOWS\system32\notepad.exe (5656)";"Trojaner: Delf.ADWX";"Gelöscht"
"";"C:\WINDOWS\system32\notepad.exe (504)";"Trojaner: Delf.ADWX";"Gelöscht"
"";"C:\Programme\Internet Explorer\iexplore.exe (2316)";"Trojaner: Delf.ADWX";"Gelöscht"
"";"C:\WINDOWS\system32\rundll32.exe (3924):\memory_00a70000";"Trojaner: Delf.ADWX";"Infiziert"
"";"C:\WINDOWS\system32\notepad.exe (5656):\memory_009c0000";"Trojaner: Delf.ADWX";"Infiziert"
"";"C:\WINDOWS\system32\notepad.exe (504):\memory_009c0000";"Trojaner: Delf.ADWX";"Infiziert"
"";"C:\Programme\Internet Explorer\iexplore.exe (2316):\memory_02720000";"Trojaner: Delf.ADWX";"Infiziert"

Das Icon dieses Scans ist in der Liste der Scan-Ergebnis ist zur Zeit noch rot.
Die als infiziert gemeldeten Dateien lassen sich über die angezeigten Buttons in der AVG-Übersicht nicht löschen.

Weitere Scans blieben ergebnislos

Anschließende habe ich Malwarebytes installiert. Hier die logfile vom ersten Komplett-Scan:

Malwarebytes Anti-Malware (Trial) 1.60.1.1000
www.malwarebytes.org

Database version: v2012.04.04.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
APL7 :: PC07 [administrator]

Protection: Enabled

04.04.2012 11:09:47
mbam-log-2012-04-04 (11-09-47).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 220515
Time elapsed: 5 minute(s), 16 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and repaired successfully.

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Ein weiterer Komplett- und ein Quick-Scan blieben ergebnislos.

Folgende Probleme bestehen noch:

Beim Neustart / Anmelden unter APL7.FISCHER öffnet sich ein Fenster
RUNDLL32 mit der Meldung: C:\DOKUME~1\APL7~1.FIS\LOKALE~1\TEMP\ch8l0.exe Das angegebene Modul wurde nicht gefunden. Nach Bestätigung mit OK fährt der Rechner weiter hoch.

Gelegentlich kommt meist kurz ( 2-3 min.) nach dem Anmelden eine Bedrohungsmeldung von AVG Identy Protection:
C:\Programme\Trend Micro\Client Server Security Agent\Temp\VSLQ163.O07
oder ...\VSUQH638.G07
Art der Bedrohung IDP.Generic.D3E7EBBF ist bei den Dateien gleich. Ich habe die Dateien immer in Quarantäne verschoben und die Meldung erhalten, dass Sie gelöscht wurden.
Der Pfad ist bei den Meldungen immer gleich, die Dateinamen ändern sich.

Malwarebytes hat noch einen Virus "PUM.Hijack.TaskManager in Quarantäne.

Die Dateien dds.txt, attach.txt und Gmer.txt habe ich im Anhang hochgeladen.


Wie bekomme ich die beschriebenen Probleme weg und kann ich danach sicher sein, dass der Rechner sauber ist.
Kann der Server auch befallen sein?

Vielen Dank schonmal für die Hilfe.

Zitat:

Ich habe einen Rechner mit Windows XP prof, der auch als Windows Terminal Server an an einem Server mit Winows Server 2003 angeschlossen ist. Zum Zeitpunkt, als ich den Virus eingefangen habe, war ich nicht am Server angemeldet. Auf dem Rechner sind neben APL7.FISCHER noch der Administrator und ein weiterer User eingerichtet. Als Sicherheitssoftware war und ist Trend Micro CLient Server Security Agent installiert.

Bist du da der Admin der Firma oder darfst du das jetzt nur ausbaden?
Normalerweise bereinigen wir hier nämlich keine gewerblich genutzten Rechner => http://www.trojaner-board.de/108422-...-anfragen.html

Hallo Arne,
danke für die schnelle Antwort und den Hinweis.
Ich habe mich entschlossen, den Rechner neu aufzusetzen.