Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verschlüsselungstrojaner auf XenApp Server!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 22.05.2012, 14:32   #1
OliverA
 
Verschlüsselungstrojaner auf XenApp Server! - Standard

Verschlüsselungstrojaner auf XenApp Server!



Hallo,

auf einem unserer XenApp5 Servern (Windows 2008 Server) hat sich der Verschlüsselungs Trojaner ebenfalls eingenistet.

Wir benötigen daher dringen und schnell hilfe den Trojaner wieder los zu werden.
Ich kann nur hoffen das unsere anderen Server noch Clean bleiben.

Hier die Log Datei von MalwareBytes
Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.01

Windows Server 2008 Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.19170
Administrator :: XENAPP-2 [Administrator]

Schutz: Deaktiviert

22.05.2012 14:54:49
mbam-log-2012-05-22 (14-54-49).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 804996
Laufzeit: 24 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\Windows\system32\userinit.exe,C:\Windows\system32\0EC911D90613A2D42F73.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Da der Abgesicherte Modus noch funktioniert, nehme ich an das wir uns die "alte" Version des Virus eingefangen haben. (Info: hxxp://webcyclus.de/sie-haben-sich-mit-einem-windows-verschlusselungs-trojaner-infiziert/)
Die Funde habe ich bereinigen lassen.
Wie weiter Vorgehen? Was braucht ihr noch für Infos?
Habt ihr schon was neues herausgefunden?(scheint ja zur Zeit umzugehen das schei* ding)


Das merkwürdige ist, dass ich heute morgen einen Ähnlichen Vorfall auf einem CLient hatte. Dort hatte sich der "My Security Shield" Virus eingenistet, nachdem ein Mitarbeiter in der Frühstückspause auf einer ausländischen Seite gesurft hatte. Den Rechner konnte ich bis jetzt auch noch nicht 100% wieder säubern (aber er läuft wieder einigermaßen), da eben nun der Vorfall mit dem Xenapp Server dazugekommen ist.

Gibt es schon Hotfixes die die Sicherheitslücke schließen? Denn zur Zeit kann ich nur beten, dass unsere anderen 3 Xenapp Server nicht infiziert werden.
Bzw. wie kann ich mich vor dem Ding schützen? Anscheinend reicht schon das Surfen auf den falschen Websites um sich den Virus einzufangen?


Gruß,
Oliver


Edit: Sorry ich habe mir gerade nochmal die Checkliste durchgelesen und werde die anderen Logfiles gleich nachreichen. (Bitte verständnis, bin bisschen in Panik )

Und hier die GMER Log:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-23 07:56:11
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 QEMU_HARDDISK rev.0.10.2
Running: trmq4ry5.exe; Driver: C:\uxdyipow.sys
 
 
---- Kernel code sections - GMER 1.0.15 ----
 
?  C:\uxdyipow.sys  Das System kann die angegebene Datei nicht finden. !
 
---- EOF - GMER 1.0.15 ----
         
--- --- ---


DDS läuft leider nicht unter W2008.
Defogger meldet immer das ich Administrator Rechte benötige, obwohl ich mit DomainAdmin Konto angemeldet bin.

Die Achtung Lesen.txt habe ich übrigens auch im Desktop Ordner des Domänen Admin logins.

Im Anhang nun auch die OTL Logs.

So, ich konnte einen kleinen Durchbruch erlangen.

Nachdem ich die oben genannten Scans ausgeführt hatte und auf C:\ 2 Merkwürdige Dateien umbenannt hatte, führte ich einen Neustart aus. Plötzlich war der Screen nicht mehr da. Ich habe zum test die 2 Datein wieder zurück umbenannt aber immer noch kein Screen nach einem Neustart.
Da der Virus aber noch nicht weg sein konnte habe ich einen Eset OnlineScan druchgeführt und siehe da 3x trustezeb.b Trojaner gefunden.
(Log im Anhang)

Diese wurden nun entfernt, aber was ist nun weiterhin zu machen?
1.Wie kann ich weitestgehend sichergehen das das System wieder Clean ist?
2.Wie kann ich mich vor dem Virus schützen? (Nutzt er irgendeine bekannte Sicherheitslücke die durch ein Update behoben werden kann?)

Außerdem scheint sich der Trojaner auf jedem System etwas anders auszuwirken. Bei uns war lediglich der Zugriff durch den Screen gesperrt. Abgesicherter Modus funktionierte noch einwandfrei und auch verschlüsselte Daten konnte ich nicht entdecken.


Gruß,
OliverA

 

Themen zu Verschlüsselungstrojaner auf XenApp Server!
100%, anti-malware, autostart, c:\windows, checkliste, clean, datei, dateien, dateisystem, explorer, file, gelöscht, heuristiks/extra, heuristiks/shuriken, hijack.userinit, image, log, microsoft, neustart., rechner, schnell, seite, server, software, speicher, system32, trojaner, virus, windows




Ähnliche Themen: Verschlüsselungstrojaner auf XenApp Server!


  1. (2x) Verschlüsselungstrojaner
    Mülltonne - 27.10.2012 (1)
  2. verschlüsselungstrojaner!
    Log-Analyse und Auswertung - 02.07.2012 (2)
  3. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (21)
  4. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (3)
  5. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 18.06.2012 (1)
  6. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 18.06.2012 (2)
  7. (2x) Verschlüsselungstrojaner
    Mülltonne - 18.06.2012 (1)
  8. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 15.06.2012 (44)
  9. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 14.06.2012 (5)
  10. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (2)
  11. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (5)
  12. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (2)
  13. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  14. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 01.05.2012 (2)
  15. Ftp server (Filezilla / Quick n´easy FTP server lite)
    Alles rund um Windows - 10.01.2009 (7)
  16. W2K Server mit Exchange Server, Was ist los?
    Log-Analyse und Auswertung - 31.01.2005 (1)
  17. 802.1.x Radius Server, Wlan und Win 2000 server
    Alles rund um Windows - 19.10.2003 (5)

Zum Thema Verschlüsselungstrojaner auf XenApp Server! - Hallo, auf einem unserer XenApp5 Servern (Windows 2008 Server) hat sich der Verschlüsselungs Trojaner ebenfalls eingenistet. Wir benötigen daher dringen und schnell hilfe den Trojaner wieder los zu werden. Ich - Verschlüsselungstrojaner auf XenApp Server!...
Archiv
Du betrachtest: Verschlüsselungstrojaner auf XenApp Server! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.