Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: backdoor.win32.servu-based.gen lässt mir keine Ruhe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 03.05.2006, 19:59   #1
jungbrunnen
 
backdoor.win32.servu-based.gen lässt mir keine Ruhe - Daumen runter

backdoor.win32.servu-based.gen lässt mir keine Ruhe



Hallo Leutz,
habe mir auf dem Server einen fürchterlichen Backdoor eingefangen. Name lautet backdoor.win32.servu-based.gen
Zu diesem Plagegeist gibt es kaum Informationen. Daher möchte ich einiges nachholen und hoffe gleichzeitig, dass irgendjemand etwas mitbekommen hat, um sich mit mir auszutauschen. Tr3end Micro kennt den ab dem 16.03.06.
Mein Netz ist abgesichert durch eine Routerfirewall von Linksys.
Antivirenlösung von Symantec Corporate Edition 9 )ok! das war wohl nicht das Gelbe vom Ei).

Zufällig ist mir aufgefallen, dass eine gewisse „firedaemon.exe“ eine Fehlermeldung abgegeben hat. Gegoogelt brachte mir einen Hinweis auf einen Trojaner.
Symantec scannt dann urplötzlich von 120000 Dateien nur noch 11000 und bricht ab.
Danach nur noch 3000 Dateien und nach 2 Minuten war Symantec fertig.

Ich habe mich hier im Board informiert und den Link nach Kaspersky online scan aufgerufen und mir wurde dieser Trojaner gemeldet.
Allerdings war die Software nicht in der Lage, den HKLM sowie die infizierten Dateien zu bereinigen.
Ich habe mir dann F-Secure 5.52 besorgt und der konnte dann die genauen Daten ausweisen.
Im abgesicherten Modus habe ich dann folgende Dateien bereinigt:
Windows\repair -> chdsk.vxd Einträge, einen secure Eintrag, server.0xe und system.0xe und die dazugehörigen Log Dateien, mit Angabe über Verbindungsversuche eines FTP Servers.
Es handelt sich offenbar um einen Trojaner mit FTP Server, der auch in der Lage ist, eine Telnet Verbindung aufzumachen. Er installiert sich mit dem Datum vom 29.02.2006. Da keine Daten darüber vorliegen was sonst noch so umgedreht wird, habe ich Dateien vom Erstband vergleichen und festgestellt, dass Dateien umbenannt werden. So gibt es das Verzeichnis Servertools nicht mehr und die Dateien netstat, nbtstat usw. sind nicht mehr da.
Der Explorer findet noch netstat.exe, zeigt dann aber eine reine Aufforderungseingabe (cmd) an.
Nach der Reinigung mit F-Secure habe ich dann bei TrendMicro und Kaspersky nochmals einen online Scan durchführen lassen und es ergaben sich keine Anhaltspunkte mehr. Alle Arbeitsstationen sind absolut sauber.
Noch etwas seltsameres stelle ich fest: In der Ereignisanzeige finde ich vermehrt Hinweise die mit der ID 20169 RemoteAccess und der Meldung, dass keine Verbindung zum DHCP Server mit der privaten IP Adresse 169.254.198.132, 169.254.253.162, 192.254.63.65 und noch weitere 6 Adressen.
Es wurde noch nie ein DHCP Server betrieben, weshalb ich den Verdacht hegen muss, dass dieser Trojaner noch mehr anstellt als so allgemein befürchtet.
noch etwas: auf diesem Server wrrden keine Programme seit August 2005 installiert, außer dem WSUS. wie kam der dann drauf?
Noch etwas zur Firewall: es sind alle Ports für FTP und Telnet ausgehend und Telnet eingehend gesperrt. Es gibt nur eine Freigabe für sftp mit Passwortabfrage für die VPN Teilnehmer des entfernten zweiten Firmenstandortes.
Wer kann noch etwas dazu sagen. Danke mal im Voraus.

Jungbrunnen
Wenn das mit den Viren so weitergeht ist es bald aus mit Jungbrunnen.

 

Themen zu backdoor.win32.servu-based.gen lässt mir keine Ruhe
abgesicherten modus, backdoor, cmd, dateien, explorer, f-secure, fehlermeldung, festgestellt, folge, ftp, handel, heulen, infizierte, ip adresse, kaspersky, keine programme, keine verbindung, log, lösung, micro, netstat, nicht mehr, online, ports, programme, scan, server, software, symantec, telnet, träge




Ähnliche Themen: backdoor.win32.servu-based.gen lässt mir keine Ruhe


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  3. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  4. MyStart by Incredibar lässt mich nicht mehr in Ruhe
    Plagegeister aller Art und deren Bekämpfung - 02.07.2012 (1)
  5. Trojaner Crypt.XPACK.Gen2/3/8 lässt mich nicht in Ruhe
    Log-Analyse und Auswertung - 09.02.2012 (3)
  6. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  7. win32.backdoor.papras a lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (7)
  8. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  9. Virtumonde.dll / Backdoor.Win32.UltimateDefender.gfd lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (1)
  10. HijackThis Logfile bitte prüfen! Festplatte findet keine Ruhe mehr.
    Log-Analyse und Auswertung - 04.10.2008 (0)
  11. NOD32 hat Win32/Adware.UCmore und Win32/ServU-Daemon auf E: gefunden!
    Plagegeister aller Art und deren Bekämpfung - 18.04.2006 (7)
  12. Backdoor.ServU-based
    Plagegeister aller Art und deren Bekämpfung - 15.08.2005 (6)
  13. Virus Troj/ServU-AS
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (1)
  14. Downloader.Swizzor lässt mich nicht in ruhe!
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (2)
  15. Trojaner lässt mich nicht in ruhe...
    Plagegeister aller Art und deren Bekämpfung - 19.06.2004 (3)
  16. KANOTIX based on KNOPPIX
    Alles rund um Mac OSX & Linux - 20.03.2004 (8)
  17. Backdoor.VNC-based
    Plagegeister aller Art und deren Bekämpfung - 30.03.2003 (2)

Zum Thema backdoor.win32.servu-based.gen lässt mir keine Ruhe - Hallo Leutz, habe mir auf dem Server einen fürchterlichen Backdoor eingefangen. Name lautet backdoor.win32.servu-based.gen Zu diesem Plagegeist gibt es kaum Informationen. Daher möchte ich einiges nachholen und hoffe gleichzeitig, dass - backdoor.win32.servu-based.gen lässt mir keine Ruhe...
Archiv
Du betrachtest: backdoor.win32.servu-based.gen lässt mir keine Ruhe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.