Hallo,

auf einem unserer XenApp5 Servern (Windows 2008 Server) hat sich der Verschlüsselungs Trojaner ebenfalls eingenistet.

Wir benötigen daher dringen und schnell hilfe den Trojaner wieder los zu werden.
Ich kann nur hoffen das unsere anderen Server noch Clean bleiben.

Hier die Log Datei von MalwareBytes

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.01

Windows Server 2008 Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.19170
Administrator :: XENAPP-2 [Administrator]

Schutz: Deaktiviert

22.05.2012 14:54:49
mbam-log-2012-05-22 (14-54-49).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 804996
Laufzeit: 24 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\Windows\system32\userinit.exe,C:\Windows\system32\0EC911D90613A2D42F73.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Da der Abgesicherte Modus noch funktioniert, nehme ich an das wir uns die "alte" Version des Virus eingefangen haben. (Info: hxxp://webcyclus.de/sie-haben-sich-mit-einem-windows-verschlusselungs-trojaner-infiziert/)
Die Funde habe ich bereinigen lassen.
Wie weiter Vorgehen? Was braucht ihr noch für Infos?
Habt ihr schon was neues herausgefunden?(scheint ja zur Zeit umzugehen das schei* ding)


Das merkwürdige ist, dass ich heute morgen einen Ähnlichen Vorfall auf einem CLient hatte. Dort hatte sich der "My Security Shield" Virus eingenistet, nachdem ein Mitarbeiter in der Frühstückspause auf einer ausländischen Seite gesurft hatte. Den Rechner konnte ich bis jetzt auch noch nicht 100% wieder säubern (aber er läuft wieder einigermaßen), da eben nun der Vorfall mit dem Xenapp Server dazugekommen ist.

Gibt es schon Hotfixes die die Sicherheitslücke schließen? Denn zur Zeit kann ich nur beten, dass unsere anderen 3 Xenapp Server nicht infiziert werden.
Bzw. wie kann ich mich vor dem Ding schützen? Anscheinend reicht schon das Surfen auf den falschen Websites um sich den Virus einzufangen?


Gruß,
Oliver


Edit: Sorry ich habe mir gerade nochmal die Checkliste durchgelesen und werde die anderen Logfiles gleich nachreichen. (Bitte verständnis, bin bisschen in Panik )

Und hier die GMER Log:
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-23 07:56:11
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 QEMU_HARDDISK rev.0.10.2
Running: trmq4ry5.exe; Driver: C:\uxdyipow.sys
 
 
---- Kernel code sections - GMER 1.0.15 ----
 
?  C:\uxdyipow.sys  Das System kann die angegebene Datei nicht finden. !
 
---- EOF - GMER 1.0.15 ----
         

--- --- ---


DDS läuft leider nicht unter W2008.
Defogger meldet immer das ich Administrator Rechte benötige, obwohl ich mit DomainAdmin Konto angemeldet bin.

Die Achtung Lesen.txt habe ich übrigens auch im Desktop Ordner des Domänen Admin logins.

Im Anhang nun auch die OTL Logs.

So, ich konnte einen kleinen Durchbruch erlangen.

Nachdem ich die oben genannten Scans ausgeführt hatte und auf C:\ 2 Merkwürdige Dateien umbenannt hatte, führte ich einen Neustart aus. Plötzlich war der Screen nicht mehr da. Ich habe zum test die 2 Datein wieder zurück umbenannt aber immer noch kein Screen nach einem Neustart.
Da der Virus aber noch nicht weg sein konnte habe ich einen Eset OnlineScan druchgeführt und siehe da 3x trustezeb.b Trojaner gefunden.
(Log im Anhang)

Diese wurden nun entfernt, aber was ist nun weiterhin zu machen?
1.Wie kann ich weitestgehend sichergehen das das System wieder Clean ist?
2.Wie kann ich mich vor dem Virus schützen? (Nutzt er irgendeine bekannte Sicherheitslücke die durch ein Update behoben werden kann?)

Außerdem scheint sich der Trojaner auf jedem System etwas anders auszuwirken. Bei uns war lediglich der Zugriff durch den Screen gesperrt. Abgesicherter Modus funktionierte noch einwandfrei und auch verschlüsselte Daten konnte ich nicht entdecken.


Gruß,
OliverA

Gerade nochmal Malwarebytes laufen lassen und er konnte nochmal was in der Registry finden:

Zitat:

Malwarebytes Anti-Malware (Trial) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.05.23.04

Windows Server 2008 Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19170
Administrator :: XENAPP-2 [administrator]

Protection: Enabled

23.05.2012 16:10:56
mbam-log-2012-05-24 (08-08-04).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 2088462
Time elapsed: 1 hour(s), 3 minute(s), 25 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Data: 1 -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|0613A2D4 (Trojan.Agent.RNSGen) -> Data: \\Fileserver\users$\administrator\AppData\Lncmh\6B5DD12A0613A2D4615E.exe -> No action taken.

Registry Data Items Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDrives (PUM.Hijack.Drives) -> Bad: (4) Good: (0) -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Der Eintrag

Zitat:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDrives

Ist von uns selbst so eingestellt und gewollt. Nach einem 3ten Scan konnte Malwarebytes nichts mehr finden.
Am interessantesten ist wohl der Eintrag

Zitat:

\\Fileserver\users$\administrator\AppData\Lncmh\6B5DD12A0613A2D4615E.exe

Der Virenscanner auf dem Fileserver Server hat auch alarm geschlagen und die Datei gelöscht. DAber keine Panik, der Virus hat sich jetzt nicht auf ein 2tes System verbreitet, er ist nur dort gelandet, da die Userprofile aller auf dem Fileserver liegen und eben dann die Viren vom Xenapp server Physikalisch auf dem Fileserver liegen.

hi
hatt er dateien verschlüsselt?

Also ich habe bis jetzt nicht feststellen können, dass irgendwas verschlüsselt wurde.

ok

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

The Opperation System is not Supported.
ComboFix is not meant for Servers

sorry!


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

Bitteschön.

Ich werde allerdings nochmal schaun wie der Aufwand für eine Neuinstallation zu bewerten ist. Gerade in einem Firmennetzwerk ist mit so einem Virus nicht zu spaßen.

naja, wäre schon sicherer.
aber um sicher zu gehen, ein komplettes image ziehen mit true image, vllt benötigt man infos vom infizierten system.

Doch zu früh gefreut. Ich konnte nun doch ein verzeichniss finden, in der ein Haufen verschlüsselter Dateien liegen. Aber anscheinend hat er nicht das ganze System befallen. Ich hatte mich hauptsächlich auf Bilder etc. konzentriert und da war alles noch da.

Jedoch im Verzeichnis unseres ERP Programms hat er sein unheil getrieben.
Wir haben die Daten allerdings noch alle auf den anderen Servern 1:1 Vorliegen.
So wie ich das erkennen kann, sind die Dateien aber alle exakt gleich groß.
Das Erstellungsdatum der infizierten Dateien beträgt 13. Februar 1601.