| |
| |||||||
Log-Analyse und Auswertung: Was nun - Was tun ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.09.2006, 19:03
| #1 |
| |  Was nun - Was tun ? Hallo Boardgemeinde, seit ungefähr 4 Wochen werde ich von einem unheimlichen Trojaner, Virus oder was auch immer heimgesucht. Bis dato reichte es, eure Arbeiten zu durchsuchen , stets eine kompetente Lösung gefunden. Nun bin ich selbst an der Reihe. Die Fakten: Der bzw. die Rechner waren mit Kaspersky IS 6.0 gesichert. Durch puren Zufall viel mir bei meinem Router Netgear ( Firewall gesichtert / alle MS-Updates etc.) auf, das dieser ständig lief. Auf keinem der Rechner ( 4 Stk.) war ich jedoch online.. Nachdem ich einen SQL-Server ausmachen konnte, woher der stammt ist mir ein Rätsel, wurden sofort alle rechner geblockt und gescannt. Wie lange der Server schon lief k.A. KS 6.0 jedenfalls zeigte keinerlei Symtome eines befallenen Rechners. Am nächsten Tag allerdings der erste Rechner, dieser wurde langsamer und langsamer. Virusupdates verliefen vermeindlich immer ohne Probleme. Sie erschienen allerdings auf den 2.Blick sehr kurz. Es stellte sich herraus, dass kein Update mehr erfolgte ! Virtueller Bildschirm. Stattdessen wurden mir die Adminrechte bei jedem Rechner entzogen und die Platten gestreamt. Da KS 6.0 nicht reagierte, was tun. 1.Rechner formatieren. Hatte ja backup's.2.,3. etc, das gleiche Spiel. Was nicht auffiel, war das der besagte Virus/ Trojaner immer noch trotz Formatierung auf dem Rechner war. Also waren die Backup's nach 2 tagen sammt portablen Platten auch hin. Was nun. Alle Platten und Rechner mit boot and nuke überschrieben. Entweder mit autonuke oder gutmann-Methode. Das sollte es jetzt sein. Alle Rechner wieder mit natürlich Orginal-XP-CD bestückt. Ergebnis nach dem ersten Update: Rechner wieder befallen !!! Ich war derweil bei der Krminalpolizei ( wollen ja ordentlich bleiben / " Da ist nix" ) bis zu guter Letzt. Jetzt nochmal bei Kaspersky und C't ( p.s. Grüße an Danieln B. / Festplatte kommt ). Die waren die Ersten und Einzigen die helfen wollen. Bei den anderen darf man erst Geld zahlen ( ich dachte immer das wäre im Preis der Software mitdrin ) - Schöne Grüße an McAffee und Norton oder kein Service ist auch ein Service. Wenn ich mailen könnte, hätte ich keine Probleme.. So ein Telefon ist schon was Feines. Das muß einfach mal zu diesem Thema gesagt werden, der kleine User ist der Trottel der Nation. Also wieder das Spiel von vorne. Mittlerweile war ich innerlich schon 2 x irre. Die Symptome: Rechner werden gestartet in den Diensten, mit einem First in/ First Out ( FIFO-Baustein ) Der Rechner wird in den NT-Diensten kurzerhand umkofiguriert, und die Admin-Rechte werden entzogen. Die bestehende Vierensoftware wird entweder beim Download oder bei der Installation verändert bzw. instabil konfiguriert. Was folgt ist ein upstream der Platten bis aufs Letzte. Ich hoffe Ihr habt jetzt einen kleinen Einblick bekommen. Es wurde mittl. jede gängige Virensoftware installiert ( natürlich einzeln ). Sollte es sich hierbei, um einen der ersten größeren Rootkits handeln, na dann Herzlichen Glückwunsch. Installationsfehler sind anhand von Checklisten ausgeschlossen, genauso gilt das für Hardwarefehler. Mittlerweile ist sogar ein neuer Rechner angschafft. Dieser zeigt schon ähnliche Symptome. Was noch interessant ist, der Virus / Trojaner arbeitet im Flash-Bereich und versteckt sich häufig im PCHEALTH-File. Dies kann aber auch wechsel, sollte die Dateien gelöscht, gebrannt oder bewußt verändert werden. Er/Es ist lernfähig und schaltet Virensoftware nach mehrmaligem Benutzten ab. Klemmt den Rechner vom Netz und gönnt sich ein Upstream nach dem Anderen. Mein Sohn meint es könnte ein Tamagotschi sein. ( Humor nicht verlieren) Zu guter Letzt: Nichts ist wie es scheint. 5 x schlugen die eine oder andere Software an, alle Tools wurden probiert. Alles Fehlmeldungen. Vielleicht bin ich ja schon betriebsblind und ihr nicht: Schaut's Euch an.. Melde mich auf jeden Fall wieder bzw. arbeite jetzt nochmal mit einer Empfehlung an dem Ding... Mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 18:40:11, on 20.09.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe C:\PROGRA~1\McAfee\MSC\mclogsrv.exe C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe C:\PROGRA~1\McAfee\MSC\mcpromgr.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\PROGRA~1\McAfee\MSC\mctskshd.exe C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\MSK\MskSrver.exe C:\PROGRA~1\McAfee\MPS\mps.exe C:\Programme\McAfee\MPS\mpsevh.exe C:\WINDOWS\Explorer.EXE C:\Programme\McAfee\MSK\MskAgent.exe C:\WINDOWS\System32\ctfmon.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\SiteAdvisor\SiteAdv.exe C:\Programme\Internet Explorer\iexplore.exe c:\programme\mcafee\msc\mcshell.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\SiteAdv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programme\mcafee\virusscan\scriptsn.dll O2 - BHO: CPub Object - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\programme\mcafee\mps\mcpopup.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\SiteAdv.dll O4 - HKLM\..\Run: [MskAgentexe] C:\Programme\McAfee\MSK\MskAgent.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Programme\McAfee\MSK\MskSrver.exe Den 2. Logfile (wesentlich genauer von Kasperski / FindtrojanerInfo ) , schicke ich gerne zu. Dieser ist aussagekräftiger als der hier oben. Vielen Dank im Vorraus für alle die helfen wollen und können. Brauche keinen Trost oder Besserwisser, habe von denen in den letzten 2 Wochen reichlich erlebt. Greetz Fidesta |
| Themen zu Was nun - Was tun ? |
| administrator, bho, checkliste, dateien gelöscht, e-mail, einstellungen, explorer, festplatte, firewall, geld, geld zahlen, handel, helfen, hijack, hijackthis, installation, internet, internet explorer, kaspersky, logfile, netgear, neuer rechner, object, rechner geblockt, siteadvisor, software, system, temp, trojaner, trottel, versteckt sich, virensoftware, virus, was tun, windows, windows xp |
Baum-Darstellung