Zitat:

Da sich der Ordner am Server befindet,

Wo sich der Schädling befindet ist im Prinzip egal. Es kommt darauf an, welcher Rechner diese Datei ausgeführt hat und das wird wohl nur der Client gewesen sein oder macht ihr auch Remotedesktop (Terminalserver) auf der Windows 2008 Server?

Vllt postest du auch mal alle Logs des Servers

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Vollkommen richtig.

Ich glaube, ich habe den Vorfall nicht detailliert genung beschrieben.

Es gab einen Befall auf einem Client und diesen habe ich analysiert und gesäubert.
Da ich zufälligerweise am Vortag bei einem Bekannten die gleiche Meldung gesehen habe,
wusste ich, dass dieser Trojaner einige Dateien und Ordner unter Anwendungsdaten ablegt.

Während der Säuberungsaktion am Client, habe ich am Server in den Schattenkopien den Profilordner des Users, vgl. servergespeicherte Profile, angeschaut, um zu prüfen, wann die Infektion stattfand.
Als ich mir die Eigenschaften einer der betroffenen Dateien (rechte Maustaste) angesehen habe, wurden die oben beschriebenen Einträge in der Ereignisanzeige produziert.

Ereignisanzeige/Anwendung

Code: Alles auswählenAufklappen

ATTFilter

Informationen	15.03.2013 09:41:50	Microsoft-Windows-RestartManager	10001	Keine	Sitzung wird beendet: 2. 2013-03-15T08:41:50.086171900Z wird gestartet.
Informationen	15.03.2013 09:41:50	Microsoft-Windows-RestartManager	10005	Keine	Der Computer muss neu gestartet werden.
Informationen	15.03.2013 09:41:50	Microsoft-Windows-RestartManager	10000	Keine	Sitzung wird gestartet: 2 - 2013-03-15T08:41:50.086171900Z.
Informationen	15.03.2013 09:40:46	Microsoft-Windows-RestartManager	10001	Keine	Sitzung wird beendet: 2. 2013-03-15T08:40:46.897695300Z wird gestartet.
Informationen	15.03.2013 09:40:46	Microsoft-Windows-RestartManager	10005	Keine	Der Computer muss neu gestartet werden.
Informationen	15.03.2013 09:40:46	Microsoft-Windows-RestartManager	10000	Keine	Sitzung wird gestartet: 2 - 2013-03-15T08:40:46.897695300Z.
Fehler	15.03.2013 09:40:34	Symantec AntiVirus	51	Keine	Security Risk Found!Trojan.Gen.2 in File: \Device\HarddiskVolumeShadowCopy47\XXX\UserData\XXX\Anwendungsdaten\KB00205287.exe by: Auto-Protect scan.  Action: Clean failed : Quarantine failed : Access denied.  Action Description: The file was left unchanged.
         

Ereignisanzeige/System

Code: Alles auswählenAufklappen

ATTFilter

Warnung	15.03.2013 09:40:05	Ntfs	141	Keine	"Die Beschreibung für die Ereignis-ID ""141"" aus der Quelle ""Ntfs"" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert: \Device\HarddiskVolumeShadowCopy47\XXX\UserData\XXX\Anwendungsdaten\KB00205287.exe
Die Meldungressource ist vorhanden, aber die Meldung wurde nicht in der Zeichenfolge-/Meldungstabelle gefunden

Informationen	15.03.2013 09:40:05	Application Popup	26	Keine	Anwendungspopup: Windows - Fehler beim verzögerten Schreibvorgang: Exception Processing Message 0xc000a082 Parameters 0x000007FEFD81718C 0x000007FEFD81718C 0x000007FEFD81718C 0x000007FEFD81718C

Warnung	15.03.2013 09:39:56	Ntfs	141	Keine	"Die Beschreibung für die Ereignis-ID ""141"" aus der Quelle ""Ntfs"" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert: \Device\HarddiskVolumeShadowCopy47\XXX\UserData\XXX\Anwendungsdaten\KB00205287.exe
Die Meldungressource ist vorhanden, aber die Meldung wurde nicht in der Zeichenfolge-/Meldungstabelle gefunden

Informationen	15.03.2013 09:39:56	Application Popup	26	Keine	Anwendungspopup: Windows - Fehler beim verzögerten Schreibvorgang: Exception Processing Message 0xc000a082 Parameters 0x000007FEFD81718C 0x000007FEFD81718C 0x000007FEFD81718C 0x000007FEFD81718C