Hallo,

leider bin ich mir nach einer Neuinstallation immer noch nicht sicher...ZeroAcess der üblen Sorte - OTL Log als Anhang.
Danke.

Hi,

Zitat:

OTL Log als Anhang.

Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].

Hi,

habe ich probiert - dann kam die Fehlermeldung bitte anhängen.

Ich liefere später noch mehr Infos über das elendige Viech - hat wirklich ein seltsames Verhalten.
Und das elendige Teil lernt...!
Echt finster...

Hi,

Zitat:

dann kam die Fehlermeldung bitte anhängen.

Ok, dann packe die Logfiles bitte in ein zip-Archiv (nicht rar) und hänge sie an.

Ok - was mir auffällt ist das keine extras.txt erstellt wurde.

Ich hab ESETSirefefEVCleaner.exe zu anfangs laufen lassen und tatsächlich war nach ein paar läufen das Vieh vermeintlich weg.
Leider war es nicht so.
Sämtliche Server waren befallen...(bzw. sind noch?)

Also du hast deine Festplatte komplett formatiert und danach Windows neu installiert, aber ZeroAccess soll weiterhin drauf gewesen sein?
Was hast du denn für Hinweise, dass das so ist? Gibt es Logs von Scannern, welche das untermauern?

Ja, den MBR hab ich auch neu erstellt...

OTL hat bei den Zeroaccess check

Code: Alles auswählenAufklappen

ATTFilter

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
         

Aber kann auch normal sein...who knws.

Ich spüre einfach das auf dem Rechner was stinkt.

Die zeroaccess Ports sind geblockt und werden gedroppt - meine FW hat aber trotzdem ziemlich viele IPS Alerts und anderen Müll auf dem Monitor:

Die .25 ist der Rechner wo das OTL erstellt wurde - die Ports sind nicht normal:

Code: Alles auswählenAufklappen

ATTFilter

outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="180.190.220.99" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="47058"
/var/log/packetfilter.log:2013:04:05-12:19:04 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="78.213.74.91" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="48876"
/var/log/packetfilter.log:2013:04:05-12:19:04 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.1.200" proto="17" length="72" tos="0x00" prec="0x00" ttl="128" srcport="51510" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.1.200" proto="17" length="72" tos="0x00" prec="0x00" ttl="128" srcport="51510" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="180.190.220.99" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="47058"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="78.213.74.91" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="48876"
/var/log/packetfilter.log:2013:04:05-12:24:24 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="90" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:24 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="89" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:24 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="90" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:26 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="195" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:26 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="89" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:28 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="91" tos="0x00" prec="0x00" ttl="128" srcport="57846" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:28 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="94" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:28 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="97" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:28 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="279" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:34 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="211" tos="0x00" prec="0x00" ttl="128" srcport="50110" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:40 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="159" tos="0x00" prec="0x00" ttl="128" srcport="50111" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:40 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="297" tos="0x00" prec="0x00" ttl="128" srcport="50111" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:40 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="220" tos="0x00" prec="0x00" ttl="128" srcport="50111" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:47 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="159" tos="0x00" prec="0x00" ttl="128" srcport="50112" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:47 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="297" tos="0x00" prec="0x00" ttl="128" srcport="50112" dstport="53"
         

IPS Top 10 (snort)

Code: Alles auswählenAufklappen

ATTFilter

1	24094	APP-DETECT Teamviewer control server ping	Malware	23 834	99.67
2	19187	BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt	Malware	76	0.32
3	24304	DNS dead alive6 DNS attempt	Server / Misc / DNS	3	0.01
4	17567	SERVER-OTHER LANDesk Management Suite Alerting Service buffer overflow	Malware	1	0.00
         

Die Teamviewer activity kann gewollt sein - muss ich erst prüfen.

Noch am Rande - grundsätzlich ist die FW völlig Paranoid eingestellt.
Das gilt sowohl für den internen Traffic als auch den WAN -> LAN.

Die SD-Karte im slot war natürlich auch draußen bei jeden Neustart...

IP .200 ist die FW.
Neuinfektion vom LAN kann (fast) ausgeschlossen werden normalerweise. Grundsätzlich ist alles erstmal dropped im Netz.

Hi,

Zitat:

Ja, den MBR hab ich auch neu erstellt...

Dann hat da wohl kaum was überlebt..
Wenn schon, dann hättest du dich neu infiziert.

Zitat:

OTL hat bei den Zeroaccess check
Aber kann auch normal sein...who knows.

I do. In dieser Sektion Zeroaccess Check ist weit und breit nichts Auffälliges zu sehen.

Zitat:

Ich hab ESETSirefefEVCleaner.exe zu anfangs laufen lassen und tatsächlich war nach ein paar läufen das Vieh vermeintlich weg.

Gibt es davon ein Log, was der entfernt haben will...?
Oder sonst irgendein Log, wo klare Hinweise darauf zu sehen wären?

Sorry hab noch nicht alle Infos zusammengetragen gehabt - hatte noch einiges zu erledigen.

Ja, ist durchaus unwahrscheinlich - aber nicht ausgeschlossen genau wie eine Neuinfektion - wenn dann weiß ich aber nicht wie ehrlich gesagt.

Auf einer VM hab ich das Teil noch und mal das Tool ausprobiert.
Zu anfangs hat es noch geklappt es auszuführen - ein paar mal neuzustarten und es meldete ein sauberes System.
Später auf einem anderen System (gleiche Bedingungen und Vorgehensweise).

Was auf einem anderen Server geklappt hat - roguekiller64 von tigzy starten und rödeln lassen er hat ein paar registry Einträge gefunden (siehe unten waren fast identisch).
Nach dem ausführen und löschen der Einträge habe ich unter c:\recycle-bin$ die SID Folder gelöscht die leider vorhanden waren (shift+entf).
Anschliessend reboot des Systems - danach liess sich etwas mit dem unten angebenen Tool bewirken (rechte Maustaste admin rechte).
Ohne ausführen von roguekiller und löschen der files hat es auch nichts bewirkt.


Ja von dem Tool gibt es das:

Code: Alles auswählenAufklappen

ATTFilter

    ....................................
  ..::::::::::::::::::....................
  .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Sirefef.EV
 .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 1.0.0.8
 .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Mar  1 2013
 .::EE:::::::::::::SS:.EE..........TT......
  .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.
  ..::::::::::::::::::....................    1992-2013. All rights reserved.
    ....................................

-------------------------------------------------------------------------------

INFO: OS: 6.2.9200 SP0
INFO: Product Type: Workstation
INFO: WoW64: True
INFO: Machine guid: 569BFEF4-6A5C-426C-92AE-533AED9FCABB 

INFO: Scanning for system infection...
-------------------------------------------------------------------------------

INFO: Detect: 1
INFO: Win32/Sirefef.EV found
INFO: Created non existing registry key [Software\Classess\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
INFO: Replaced value for registry key [Software\Classess\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
INFO: Old Value: 
INFO: New Value: %systemroot%\system32\wbem\fastprox.dll
INFO: Replaced value for registry key [CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]
INFO: Old Value: %SystemRoot%\system32\shell32.dll
INFO: New Value: %systemroot%\system32\shell32.dll
INFO: Created non existing registry key [Software\Classess\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]
INFO: Replaced value for registry key [Software\Classess\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]
INFO: Old Value: 
INFO: New Value: %systemroot%\system32\shell32.dll
INFO: Replaced value for registry key [CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
INFO: Old Value: %SystemRoot%\system32\shell32.dll
INFO: New Value: %SystemRoot%\system32\shdocvw.dll
INFO: Created non existing registry key [Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
INFO: Replaced value for registry key [Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
INFO: Old Value: 
INFO: New Value: %SystemRoot%\system32\shdocvw.dll
INFO: services.exe appears to be clean
INFO: Attempting to remove malware files...
INFO: Successfully registered for start after reboot for services restoration.
INFO: Cleaning status: 2
INFO: Win32/Sirefef.EV was successfully removed from your system.
         

Code: Alles auswählenAufklappen

ATTFilter

    ....................................
  ..::::::::::::::::::....................
  .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Sirefef.EV
 .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 1.0.0.8
 .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Mar  1 2013
 .::EE:::::::::::::SS:.EE..........TT......
  .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.
  ..::::::::::::::::::....................    1992-2013. All rights reserved.
    ....................................

-------------------------------------------------------------------------------

INFO: OS: 6.2.9200 SP0
INFO: Product Type: Workstation
INFO: WoW64: True
INFO: Machine guid: 569BFEF4-6A5C-426C-92AE-533AED9FCABB 

INFO: Scanning for system infection...
-------------------------------------------------------------------------------

INFO: Win32/Sirefef.EV forced clean
INFO: services.exe appears to be clean
INFO: Attempting to remove malware files...
INFO: Cleaning status: 2
INFO: Win32/Sirefef.EV was successfully removed from your system.
INFO: Reboot canceled by user.
         

EDIT: Auf einigen Maschinen waren die Veränderungen ganz unterschiedlicher Art.

Zum Teil wurde die hosts verändert, bei einigen wird/wurde der Zugriff auf Systemdateien bzw. andere mit OTL vom "system" verweigert.
Ziemlich strange.

Der Traffic der Teilweise über das Netz versucht zu laufen ist auch seltsam.

Das ist auch nicht Normal - teilweise werden IPS alerts ausgelöst:

Code: Alles auswählenAufklappen

ATTFilter

outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="180.190.220.99" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="47058"
/var/log/packetfilter.log:2013:04:05-12:19:04 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="78.213.74.91" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="48876"
/var/log/packetfilter.log:2013:04:05-12:19:04 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.1.200" proto="17" length="72" tos="0x00" prec="0x00" ttl="128" srcport="51510" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.1.200" proto="17" length="72" tos="0x00" prec="0x00" ttl="128" srcport="51510" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="180.190.220.99" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="47058"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="78.213.74.91" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="48876"
         

Update Update:



Und:

Code: Alles auswählenAufklappen

ATTFilter

This email was sent by your Sophos UTM software to notify you that you have exceeded 110% of the user count for your license!

Licensed Users/IPs: 50
Counted  Users/IPs: 284

All additional users/ips except the ones listed below will be blocked.
A 10% tolerance has already been deducted.

Please contact your Sophos Partner or Sophos to upgrade your license.

Thank you,

   Sophos
   hxxp://www.sophos.com
        
ZR Main Firewall

-- 
System Uptime      : 3 days 20 hours 5 minutes
System Load        : 1.66
System Version     : Sophos UTM 9.005016

Please refer to the manual for detailed instructions.
         

FYI noch.

vor dem Reinstall habe ich im safe mode mit hijack this die ADS streams anzeigen lassen - auffällig (oder auch nicht ?!) waren hier tausende von file streams aus c:\anwendungsdaten\anwendungsdaten\anwendungsdaten...\anwedungsdaten...usw. (nicht physikalisch wiederholt - nur logisch).

Nach dem entfernen und reboot im normal mode war es zwar besser, aber immer noch kompromittiert.

Zitat:

Oder sonst irgendein Log, wo klare Hinweise darauf zu sehen wären?

Code: Alles auswählenAufklappen

ATTFilter

Farbar Service Scanner Version: 03-03-2013
Ran by admin (administrator) on 05-04-2013 at 21:01:21
Running from "C:\Users\admin\Downloads"
Windows 8 Enterprise N  (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Action Center:
============

Windows Update:
============
wuauserv Service is not running. Checking service configuration:
The start type of wuauserv service is set to Demand. The default start type is Auto.
The ImagePath of wuauserv service is OK.
The ServiceDll of wuauserv service is OK.


Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend: ""%ProgramFiles%\Windows Defender\MsMpEng.exe"".


Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys
[2013-04-01 07:08] - [2013-02-02 12:28] - 2226408 ____A (Microsoft Corporation) F4F78B7F39BD56BD0BFE4C4399398F6F

C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2013-04-01 07:07] - [2013-01-29 01:08] - 1555920 ____A (Microsoft Corporation) 905601FFF40D8DA9FA82CBE77D1F5EB1

C:\Program Files\Windows Defender\MsMpEng.exe
[2013-04-01 07:07] - [2013-01-29 03:57] - 0014920 ____A (Microsoft Corporation) 473B9548568BA927ACE0B77EC208A561

C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****
         

Hi,

ich hab im Moment absolut keinen Überblick über die Situation.

Wovon sprechen wir hier? Es sind Server? Von was denn? Wieviele sind betroffen?
Besteht hier ein gewerblicher oder kommerzieller Hintergrund (Windows Enterprise Edition)?

Hi,

ja kann ich nachvollziehen - geht ch mir ähnlich deswegen wusste ich mir auch keinen Rat mehr außer hier zu posten.
Erschwerend für dritte kommt noch hinzu das mir solche Erklärungen nicht leicht fallen.

Das ist mein Privat Notebook - die Lizenz ist von meinen Firmen Technet-Account.
Es sind meine Server - Privat Spielwiese (ja zugegeben läuft n Firmen-SQL drauf.
Da ist nix kommerzielles dahinter keine Sorge - so dreist wäre ich auch nicht...

Es betrifft nen Fileserver, das Notebook meiner Freundin, 4 oder 5 VM's mit dem dazugehörigen Host-System.

Hi,

sorry, der Thread ist mir untergegangen.

Zitat:

Es betrifft nen Fileserver, das Notebook meiner Freundin, 4 oder 5 VM's mit dem dazugehörigen Host-System.

Und diese sind oder waren wirklich alle von ZeroAccess betroffen??
Hast du eine Ahnung, wie das passiert sein könnte? ZA breitet sich eigentlich nicht von selbst aus...

Ja, die waren/sind definitiv alle betroffen.

Wenn ich das wüsste würde ich nicht hier posten *schmerzverzerrt lachend*

EDIT:

Oder war etwa das System vielleicht infiltriert......?

Zitat:

Ja, die waren/sind definitiv alle betroffen.

Zeitgleich? Hast du bei allen eine "Software" aufgespielt oder sowas in der Richtung?
Welche dieser betroffenen Systeme wurden denn schon komplett neu gemacht und scheinen danach immer noch infiziert zu sein, wie du es erwähnt hast?

Zitat:

Oder war etwa das System vielleicht infiltriert......?

Welches System meinst du?

Alle.
Naja Windows...aber sind iso's vom TN.

Das ist die Frage woher - ich hab ne Firewall - war nur ein Gedanke. Ich ändere aber meine Passwörter regelmäßig.
18 Zeichen lassen sich nicht mehr merken - und ich tippe die gar nicht mehr ein so Paranoid bin ich mittlerweile...nur KeePass.