| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: backdoor.win32.servu-based.gen lässt mir keine RuheWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.05.2006, 19:59
| #1 |
 |  backdoor.win32.servu-based.gen lässt mir keine Ruhe Hallo Leutz, habe mir auf dem Server einen fürchterlichen Backdoor eingefangen. Name lautet backdoor.win32.servu-based.gen Zu diesem Plagegeist gibt es kaum Informationen. Daher möchte ich einiges nachholen und hoffe gleichzeitig, dass irgendjemand etwas mitbekommen hat, um sich mit mir auszutauschen. Tr3end Micro kennt den ab dem 16.03.06. Mein Netz ist abgesichert durch eine Routerfirewall von Linksys. Antivirenlösung von Symantec Corporate Edition 9 )ok! das war wohl nicht das Gelbe vom Ei). Zufällig ist mir aufgefallen, dass eine gewisse „firedaemon.exe“ eine Fehlermeldung abgegeben hat. Gegoogelt brachte mir einen Hinweis auf einen Trojaner. Symantec scannt dann urplötzlich von 120000 Dateien nur noch 11000 und bricht ab. Danach nur noch 3000 Dateien und nach 2 Minuten war Symantec fertig. Ich habe mich hier im Board informiert und den Link nach Kaspersky online scan aufgerufen und mir wurde dieser Trojaner gemeldet. Allerdings war die Software nicht in der Lage, den HKLM sowie die infizierten Dateien zu bereinigen.  Ich habe mir dann F-Secure 5.52 besorgt und der konnte dann die genauen Daten ausweisen. Im abgesicherten Modus habe ich dann folgende Dateien bereinigt: Windows\repair -> chdsk.vxd Einträge, einen secure Eintrag, server.0xe und system.0xe und die dazugehörigen Log Dateien, mit Angabe über Verbindungsversuche eines FTP Servers. Es handelt sich offenbar um einen Trojaner mit FTP Server, der auch in der Lage ist, eine Telnet Verbindung aufzumachen. Er installiert sich mit dem Datum vom 29.02.2006. Da keine Daten darüber vorliegen was sonst noch so umgedreht wird, habe ich Dateien vom Erstband vergleichen und festgestellt, dass Dateien umbenannt werden. So gibt es das Verzeichnis Servertools nicht mehr und die Dateien netstat, nbtstat usw. sind nicht mehr da. Der Explorer findet noch netstat.exe, zeigt dann aber eine reine Aufforderungseingabe (cmd) an. Nach der Reinigung mit F-Secure habe ich dann bei TrendMicro und Kaspersky nochmals einen online Scan durchführen lassen und es ergaben sich keine Anhaltspunkte mehr. Alle Arbeitsstationen sind absolut sauber. Noch etwas seltsameres stelle ich fest: In der Ereignisanzeige finde ich vermehrt Hinweise die mit der ID 20169 RemoteAccess und der Meldung, dass keine Verbindung zum DHCP Server mit der privaten IP Adresse 169.254.198.132, 169.254.253.162, 192.254.63.65 und noch weitere 6 Adressen. Es wurde noch nie ein DHCP Server betrieben, weshalb ich den Verdacht hegen muss, dass dieser Trojaner noch mehr anstellt als so allgemein befürchtet. noch etwas: auf diesem Server wrrden keine Programme seit August 2005 installiert, außer dem WSUS. wie kam der dann drauf? Noch etwas zur Firewall: es sind alle Ports für FTP und Telnet ausgehend und Telnet eingehend gesperrt. Es gibt nur eine Freigabe für sftp mit Passwortabfrage für die VPN Teilnehmer des entfernten zweiten Firmenstandortes. Wer kann noch etwas dazu sagen. Danke mal im Voraus. Jungbrunnen Wenn das mit den Viren so weitergeht ist es bald aus mit Jungbrunnen. |
| Themen zu backdoor.win32.servu-based.gen lässt mir keine Ruhe |
| abgesicherten modus, backdoor, cmd, dateien, explorer, f-secure, fehlermeldung, festgestellt, folge, ftp, handel, heulen, infizierte, ip adresse, kaspersky, keine programme, keine verbindung, log, lösung, micro, netstat, nicht mehr, online, ports, programme, scan, server, software, symantec, telnet, träge |
Baum-Darstellung