| |
| |||||||
Log-Analyse und Auswertung: Verschlüsselungstrojaner auf XenApp Server!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.05.2012, 14:32
| #1 | |
 |  Verschlüsselungstrojaner auf XenApp Server! Hallo, auf einem unserer XenApp5 Servern (Windows 2008 Server) hat sich der Verschlüsselungs Trojaner ebenfalls eingenistet. Wir benötigen daher dringen und schnell hilfe den Trojaner wieder los zu werden. Ich kann nur hoffen das unsere anderen Server noch Clean bleiben. Hier die Log Datei von MalwareBytes Zitat:
Die Funde habe ich bereinigen lassen. Wie weiter Vorgehen? Was braucht ihr noch für Infos? Habt ihr schon was neues herausgefunden?(scheint ja zur Zeit umzugehen das schei* ding) Das merkwürdige ist, dass ich heute morgen einen Ähnlichen Vorfall auf einem CLient hatte. Dort hatte sich der "My Security Shield" Virus eingenistet, nachdem ein Mitarbeiter in der Frühstückspause auf einer ausländischen Seite gesurft hatte. Den Rechner konnte ich bis jetzt auch noch nicht 100% wieder säubern (aber er läuft wieder einigermaßen), da eben nun der Vorfall mit dem Xenapp Server dazugekommen ist. Gibt es schon Hotfixes die die Sicherheitslücke schließen? Denn zur Zeit kann ich nur beten, dass unsere anderen 3 Xenapp Server nicht infiziert werden. Bzw. wie kann ich mich vor dem Ding schützen? Anscheinend reicht schon das Surfen auf den falschen Websites um sich den Virus einzufangen? Gruß, Oliver Edit: Sorry ich habe mir gerade nochmal die Checkliste durchgelesen und werde die anderen Logfiles gleich nachreichen. (Bitte verständnis, bin bisschen in Panik  )Und hier die GMER Log: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-23 07:56:11
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 QEMU_HARDDISK rev.0.10.2
Running: trmq4ry5.exe; Driver: C:\uxdyipow.sys
---- Kernel code sections - GMER 1.0.15 ----
? C:\uxdyipow.sys Das System kann die angegebene Datei nicht finden. !
---- EOF - GMER 1.0.15 ----
DDS läuft leider nicht unter W2008. Defogger meldet immer das ich Administrator Rechte benötige, obwohl ich mit DomainAdmin Konto angemeldet bin. Die Achtung Lesen.txt habe ich übrigens auch im Desktop Ordner des Domänen Admin logins. Im Anhang nun auch die OTL Logs. So, ich konnte einen kleinen Durchbruch erlangen. Nachdem ich die oben genannten Scans ausgeführt hatte und auf C:\ 2 Merkwürdige Dateien umbenannt hatte, führte ich einen Neustart aus. Plötzlich war der Screen nicht mehr da. Ich habe zum test die 2 Datein wieder zurück umbenannt aber immer noch kein Screen nach einem Neustart. Da der Virus aber noch nicht weg sein konnte habe ich einen Eset OnlineScan druchgeführt und siehe da 3x trustezeb.b Trojaner gefunden. (Log im Anhang) Diese wurden nun entfernt, aber was ist nun weiterhin zu machen? 1.Wie kann ich weitestgehend sichergehen das das System wieder Clean ist? 2.Wie kann ich mich vor dem Virus schützen? (Nutzt er irgendeine bekannte Sicherheitslücke die durch ein Update behoben werden kann?) Außerdem scheint sich der Trojaner auf jedem System etwas anders auszuwirken. Bei uns war lediglich der Zugriff durch den Screen gesperrt. Abgesicherter Modus funktionierte noch einwandfrei und auch verschlüsselte Daten konnte ich nicht entdecken. Gruß, OliverA |
| Themen zu Verschlüsselungstrojaner auf XenApp Server! |
| 100%, anti-malware, autostart, c:\windows, checkliste, clean, datei, dateien, dateisystem, explorer, file, gelöscht, heuristiks/extra, heuristiks/shuriken, hijack.userinit, image, log, microsoft, neustart., rechner, schnell, seite, server, software, speicher, system32, trojaner, virus, windows |
Baum-Darstellung