|
Log-Analyse und Auswertung: Was nun - Was tun ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.09.2006, 19:03 | #1 |
| Was nun - Was tun ? Hallo Boardgemeinde, seit ungefähr 4 Wochen werde ich von einem unheimlichen Trojaner, Virus oder was auch immer heimgesucht. Bis dato reichte es, eure Arbeiten zu durchsuchen , stets eine kompetente Lösung gefunden. Nun bin ich selbst an der Reihe. Die Fakten: Der bzw. die Rechner waren mit Kaspersky IS 6.0 gesichert. Durch puren Zufall viel mir bei meinem Router Netgear ( Firewall gesichtert / alle MS-Updates etc.) auf, das dieser ständig lief. Auf keinem der Rechner ( 4 Stk.) war ich jedoch online.. Nachdem ich einen SQL-Server ausmachen konnte, woher der stammt ist mir ein Rätsel, wurden sofort alle rechner geblockt und gescannt. Wie lange der Server schon lief k.A. KS 6.0 jedenfalls zeigte keinerlei Symtome eines befallenen Rechners. Am nächsten Tag allerdings der erste Rechner, dieser wurde langsamer und langsamer. Virusupdates verliefen vermeindlich immer ohne Probleme. Sie erschienen allerdings auf den 2.Blick sehr kurz. Es stellte sich herraus, dass kein Update mehr erfolgte ! Virtueller Bildschirm. Stattdessen wurden mir die Adminrechte bei jedem Rechner entzogen und die Platten gestreamt. Da KS 6.0 nicht reagierte, was tun. 1.Rechner formatieren. Hatte ja backup's.2.,3. etc, das gleiche Spiel. Was nicht auffiel, war das der besagte Virus/ Trojaner immer noch trotz Formatierung auf dem Rechner war. Also waren die Backup's nach 2 tagen sammt portablen Platten auch hin. Was nun. Alle Platten und Rechner mit boot and nuke überschrieben. Entweder mit autonuke oder gutmann-Methode. Das sollte es jetzt sein. Alle Rechner wieder mit natürlich Orginal-XP-CD bestückt. Ergebnis nach dem ersten Update: Rechner wieder befallen !!! Ich war derweil bei der Krminalpolizei ( wollen ja ordentlich bleiben / " Da ist nix" ) bis zu guter Letzt. Jetzt nochmal bei Kaspersky und C't ( p.s. Grüße an Danieln B. / Festplatte kommt ). Die waren die Ersten und Einzigen die helfen wollen. Bei den anderen darf man erst Geld zahlen ( ich dachte immer das wäre im Preis der Software mitdrin ) - Schöne Grüße an McAffee und Norton oder kein Service ist auch ein Service. Wenn ich mailen könnte, hätte ich keine Probleme.. So ein Telefon ist schon was Feines. Das muß einfach mal zu diesem Thema gesagt werden, der kleine User ist der Trottel der Nation. Also wieder das Spiel von vorne. Mittlerweile war ich innerlich schon 2 x irre. Die Symptome: Rechner werden gestartet in den Diensten, mit einem First in/ First Out ( FIFO-Baustein ) Der Rechner wird in den NT-Diensten kurzerhand umkofiguriert, und die Admin-Rechte werden entzogen. Die bestehende Vierensoftware wird entweder beim Download oder bei der Installation verändert bzw. instabil konfiguriert. Was folgt ist ein upstream der Platten bis aufs Letzte. Ich hoffe Ihr habt jetzt einen kleinen Einblick bekommen. Es wurde mittl. jede gängige Virensoftware installiert ( natürlich einzeln ). Sollte es sich hierbei, um einen der ersten größeren Rootkits handeln, na dann Herzlichen Glückwunsch. Installationsfehler sind anhand von Checklisten ausgeschlossen, genauso gilt das für Hardwarefehler. Mittlerweile ist sogar ein neuer Rechner angschafft. Dieser zeigt schon ähnliche Symptome. Was noch interessant ist, der Virus / Trojaner arbeitet im Flash-Bereich und versteckt sich häufig im PCHEALTH-File. Dies kann aber auch wechsel, sollte die Dateien gelöscht, gebrannt oder bewußt verändert werden. Er/Es ist lernfähig und schaltet Virensoftware nach mehrmaligem Benutzten ab. Klemmt den Rechner vom Netz und gönnt sich ein Upstream nach dem Anderen. Mein Sohn meint es könnte ein Tamagotschi sein. ( Humor nicht verlieren) Zu guter Letzt: Nichts ist wie es scheint. 5 x schlugen die eine oder andere Software an, alle Tools wurden probiert. Alles Fehlmeldungen. Vielleicht bin ich ja schon betriebsblind und ihr nicht: Schaut's Euch an.. Melde mich auf jeden Fall wieder bzw. arbeite jetzt nochmal mit einer Empfehlung an dem Ding... Mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 18:40:11, on 20.09.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe C:\PROGRA~1\McAfee\MSC\mclogsrv.exe C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe C:\PROGRA~1\McAfee\MSC\mcpromgr.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\PROGRA~1\McAfee\MSC\mctskshd.exe C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\MSK\MskSrver.exe C:\PROGRA~1\McAfee\MPS\mps.exe C:\Programme\McAfee\MPS\mpsevh.exe C:\WINDOWS\Explorer.EXE C:\Programme\McAfee\MSK\MskAgent.exe C:\WINDOWS\System32\ctfmon.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\SiteAdvisor\SiteAdv.exe C:\Programme\Internet Explorer\iexplore.exe c:\programme\mcafee\msc\mcshell.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\SiteAdv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programme\mcafee\virusscan\scriptsn.dll O2 - BHO: CPub Object - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\programme\mcafee\mps\mcpopup.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\SiteAdv.dll O4 - HKLM\..\Run: [MskAgentexe] C:\Programme\McAfee\MSK\MskAgent.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Programme\McAfee\MSK\MskSrver.exe Den 2. Logfile (wesentlich genauer von Kasperski / FindtrojanerInfo ) , schicke ich gerne zu. Dieser ist aussagekräftiger als der hier oben. Vielen Dank im Vorraus für alle die helfen wollen und können. Brauche keinen Trost oder Besserwisser, habe von denen in den letzten 2 Wochen reichlich erlebt. Greetz Fidesta |
20.09.2006, 19:12 | #2 | |
| Was nun - Was tun ? @fidesta
__________________Zitat:
PS: Wenn du weiterhin ohne SP2+nachfolgende Patches surfen wirst, wünsche ich dir viel Spaß beim täglichen Neuaufsetzen des Betriebssystems . |
21.09.2006, 07:25 | #3 | |
Gesperrt | Was nun - Was tun ?Zitat:
Unsinn! Habe ebenfalls SP1 und musste in den letzten 3 Jahren erst ein mal neu aufsetzen. Diejenigen die sich hier die Klinke in die Hand geben haben fast alle SP2 (95 %). |
21.09.2006, 08:58 | #4 | |
| Was nun - Was tun ?Zitat:
Ola, genau solch ein Antwort habe ich erwartet ! :-( Wer lesen kann, ist klar im Vorteil. Das habe ich nicht nur 5-7mal gemacht. Leider ist meine Ausführung nur sehr kurz, länger Beiträge sind nicht zugelassen. Nochmal: a) Rechner geht nicht ins Netz ! b) Virus kommt durch einen FIFO ! c) Rest siehe oben... greetz fidesta P.S.: FIFO-Baustein = First In - First OUT |
21.09.2006, 09:06 | #5 | |
> MalwareDB | Was nun - Was tun ? Hallo, Zitat:
Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
21.09.2006, 11:25 | #6 | ||||
| Was nun - Was tun ? @fidesta Zitat:
Zitat:
Zitat:
Zitat:
SCNR Geändert von Rene-gad (21.09.2006 um 11:39 Uhr) |
21.09.2006, 18:00 | #7 | |
| Was nun - Was tun ?Zitat:
Wie gesagt, probier doch bitte dieses Dings, dieses SP2. Vielleicht geht es dann eventuell. |
21.09.2006, 18:39 | #8 | |
| Was nun - Was tun ? Hallo, Zitat:
"Nada01" ist von Haus aus merkbefreit... Gott sei Dank ist die "Ignore-Liste" noch aufnahmefähig.... Hiermit wird sie um einen weiteren User erweitert. Irrlicht |
04.10.2006, 17:16 | #9 |
| News AW: Was nun - Was tun ? Ola, übrigens mit Sp2, SP1 oder oder. das ding hängt auf der Platte und läßt sich auch nicht überschreiben, hat jetzt einer eine schlaue Idee? Meine SP-weiß-ich-was-Freunde... greetz Fidesta |
04.10.2006, 17:26 | #10 | ||
Administrator > Competence Manager | Was nun - Was tun ?Zitat:
dann machst du irgendwas falsch !!! Eine neue Installation, richtig gemacht, mit der Installation des SP2 und allen anderen Updates vor dem ersten Gang ins Internet, absicherung des Systems durch schliessen der größten Sicherheitslücken sollte keinesfalls einen neuen Schädling hervorrufen! Entweder: 1.) du hast "wieder" eine der unzähligen Crackseiten besucht 2.) eine bescheidene Email geöffnet 3.) Software wieder installiert die "kompromittiert" ist/war 4.) oder aber das Internet besucht vor allen Updates abgesehen davon, Zitat:
Wie man die Platte richtig formatiert sowie entpartitioniert solltest du nochmals nachlesen.. Gruß
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
04.10.2006, 21:35 | #12 |
| Was nun - Was tun ? Mal drei Fragen: 1. Du sagst die Platte würde gestreamt. Wohin? 2. Ist physischer Zugriff auf die Rechner ausgeschlossen und wie sieht es mit Zugriff über das Netzwerk aus? 3. Zeigen sich die Symptome auch noch nachdem die BIOSse sämtlicher beteiligter Rechner geflasht, alle Platten einer Low-Level-Formatierung unterzogen wurden und dann die Systeme mit garantiert sauberen Installationsmedien neu aufgesetzt wurden (ohen gesicherte Daten wieder einzuspielen)?
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
Themen zu Was nun - Was tun ? |
administrator, bho, checkliste, dateien gelöscht, e-mail, einstellungen, explorer, festplatte, firewall, geld, geld zahlen, handel, helfen, hijack, hijackthis, installation, internet, internet explorer, kaspersky, logfile, netgear, neuer rechner, object, rechner geblockt, siteadvisor, software, system, temp, trojaner, trottel, versteckt sich, virensoftware, virus, was tun, windows, windows xp |