Guten Morgen!!

Ich habe ein Problem. Fangen wir mal langsam an.

Ich bekam gerade einen Anruf und da wurde mir gesagt, dass TrendMicro OfficeScan 91000 Viren auf einem System gefunden hat.

Hmm, dachte ich mir, etwas sehr viele. Also Scareware vermutet. Aber der User am anderen Ende der Leitung ist sich absolut sicher, dass es TrendMicro ist und keine Fakesoftware. Nun gut ... her mit HijackThis und rüber laufen lassen.

Gesagt getan.

Das Logfile sieht eigentlich ganz gut aus nur stört mich ein Eintrag.

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\TEMP\ZB9F3.EXE
         

Hat jemand eine Ahnung was das für eine Datei ist und wofür sie gut ist (ob gut oder böse ist ja egal ... für irgendwas wird sie gut sein.)

Hier poste ich dann nochmal das gesamte Logfile falls ich was übersehen habe.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:11:45, on 31.08.2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Extended\ADS9.0\Server\ads.exe
c:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\cpqrcmc.exe
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Autodesk Network License Manager\lmgrd.exe
C:\Programme\Autodesk Network License Manager\lmgrd.exe
C:\flexlm\lmgrd.exe
C:\flexlm\lmgrd.exe
C:\flexlm\flowslmd.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Autodesk Network License Manager\adskflex.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\sysdown.exe
C:\hp\hpsmh\bin\smhstart.exe
\*****ZERSRV1\BUCHHALTUNG\COTEL\MCCWIN\PRG\ZBASE32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Web\Service\DbServer.exe
C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\TEMP\ZB9F3.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec\Backup Exec\beremote.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\NCU\cpqteam.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\ApacheMonitor.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Programme\Microsoft SQL Server_Vault\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\Autodesk\ADMS 2010\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\inetsrv\w3wp.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Programme\Sybase\SQL Anywhere 9\Win32\dbsrv9.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccnt.exe
C:\Programme\IrfanView\i_view32.exe
C:\WINDOWS\system32\scrnsave.scr
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\NCU\cpqteam.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\ApacheMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Dokumente und Einstellungen\Administrator.*****ZER\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iesetup.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://iesetup.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:8080
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CPQTEAM] C:\Programme\HP\NCU\cpqteam.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Monitor Apache Servers.lnk = Apache2\bin\ApacheMonitor.exe
O15 - ESC Trusted Zone: *.chip.de
O15 - ESC Trusted Zone: hxxp://ads1.msn.com
O15 - ESC Trusted Zone: hxxp://runonce.msn.com
O15 - ESC Trusted Zone: hxxp://*.windowsupdate.com
O15 - ESC Trusted Zone: hxxp://runonce.msn.com (HKLM)
O15 - ESC Trusted Zone: hxxp://*.windowsupdate.com (HKLM)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - h**ps://*****zersrv1.*****zer.essen:4343/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231154286233
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC30} (Encrypt Class) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED40} (Security Server Management-Konsole) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxConsole.cab
O16 - DPF: {E78DE03F-DC83-40DB-B590-8FD80BE5F7C8} (Security Server Management-Konsole) - h**ps://*****zersrv1.*****zer.essen:4343/SMB/console/html/root/AtxConsole.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****zer.essen
O17 - HKLM\Software\..\Telephony: DomainName = *****zer.essen
O17 - HKLM\System\CCS\Services\Tcpip\..\{45CA5CCD-FC2D-49B6-BD86-A9101B2C3A94}: Domain = *****zer.essen
O17 - HKLM\System\CCS\Services\Tcpip\..\{45CA5CCD-FC2D-49B6-BD86-A9101B2C3A94}: NameServer = 192.168.2.2,145.***.***.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****zer.essen
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Advantage Database Server (Advantage) - iAnywhere Solutions, Inc. - C:\Programme\Extended\ADS9.0\Server\ads.exe
O23 - Service: Apache2 - Apache Software Foundation - c:\Programme\Trend Micro\Security Server\PCCSRV\Apache2\bin\Apache.exe
O23 - Service: Adaptive Server Anywhere - LXDBSRV (ASANYs_LXDBSRV) - iAnywhere Solutions, Inc. - C:\Programme\Sybase\SQL Anywhere 9\Win32\dbsrv9.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\ADMS 2010\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\bengine.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\beserver.exe
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe
O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
O23 - Service: Backup Exec DLO Administration Service (DLOAdminSvcu) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\DLOAdminSvcu.exe
O23 - Service: Backup Exec DLO Maintenance Service (DLOMaintenanceSvc) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\dlomaintsvcu.exe
O23 - Service: Flexlm Service 1 - Macrovision Corporation - C:\Programme\Autodesk Network License Manager\lmgrd.exe
O23 - Service: Flexlm Service 2 - Flowmaster - Macrovision Corporation - C:\flexlm\lmgrd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Commerzbank Electronic Banking-Datenbank (MultiCash) - Unknown owner - C:\WINDOWS\system32\B30SVC.EXE
O23 - Service: Trend Micro Client/Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Trend Micro Client/Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Trend Micro Security Server Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
--
End of file - 12040 bytes
         

Und, wie man am anfang des Logfiles ja schon sehen kann, läuft die ganze Sache unter einem W2k3 Standard Edition SP2.

Ich hoffe mir kann jemand helfen und danke schon mal im voraus.
Wenn jemand eine idee zu den extrem hohen Funden von TrendMicro hat, nehme ich die natürlich auch gerne entgegen.

MfG
r3d

gibt es ein trent micro log?
ich nutze das programm nicht. sollten es aber wirklich 93000 funde sein ist das die höchste anzahl die ich auf nem system gesehen hätte :d

Naja das Log von TrendMicro zu posten, würde den Rahmen sprengen ... sind mittlerweile bei 99378 infizierten Dateien angekommen ...

Ich bin auch wieder etwas schlauer geworden.

Meine bemängelte Datei gehört wohl zu TrendMicro. Also scheint sie nicht schlimm zu sein.

Des weiteren habe ich den 'Namen' des Übeltäters ermittelt. Gefunden wird immer der Virus "Troj_Scarecrow.A" und "TSC_Genclean".
Anscheinend hat sich das Ding auf jeden Rechner in einem Ordner Namens "AutoClean" eingenistet. So wie ich es bis jetzt überblicken kann, sind diese Ordner auch überall gelöscht worden.

Hier mal ein Logfile, das nur für das Laufwerk E:\ des Servers gilt (war das kleinste. Die anderen sehen genauso aus nur mit etwas mehr Einträgen aber immer den selben Dateien)

Code: Alles auswählenAufklappen

ATTFilter

"Datum/Zeit","Computername","Virus-/Malware-Name","Dateiname","Pfad","Suchtyp","Durchgeführte Aktion",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","AutoProtect.vbs","E:\Zentral\AutoClean\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","ComboKill.bat","E:\Zentral\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","ComboKill.bat","E:\Zentral\AutoClean\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","Replicate.vbs","E:\Zentral\AutoClean\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","update003.bat","E:\Zentral\AutoClean\Patch\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","PatchIt.bat","E:\Zentral\AutoClean\Patch\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","call.bat","E:\Scanjobs\AutoClean\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","shh.bat","E:\Scanjobs\AutoClean\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
"30.08.2010 13:36:06","*****ZERSRV1","TROJ_SCARECROW.A","invis.vbs","E:\Scanjobs\AutoClean\","Echtzeitsuche","Es wurde ein Virus entdeckt, aber die infizierte Datei konnte nicht gesäubert werden. Die Datei wurde gelöscht.",
         

Nun meine nächste Frage: Kennt jemand diesen Virus? Wenn ja, reicht das löschen oder sitzt da noch etwas tiefer im System?
Eine Neuinstallation des Servers wäre nicht so toll, da er produktiv genutzt wird und aus einem Backup heraus das System Neuaufsetzen bringt ja auch nicht viel, da der Virus dann ja eventuell einfach wieder mit aufgespielt wird.

Für Anregungen bin ich immer offen.

MfG
r3d

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Aus ComboFix wird nix

"Incompatible OS. ComboFix only works for workstations with Windows 2000 and XP."

Das Problem liegt aber auf einem W2k3 SP2.

aja stimmt sorry hatte vergessen das es dann nicht läuft.
ist das ein privat pc?
download malwarebytes:
Malwarebytes
instalieren, registerkarte aktualisierung, programm updaten, registerkarte scanner, komplett scan, funde löschen, log posten

Leider keine private Nutzung.

Server steht bei einem Kunden von uns.

Nach einem weiteren Complete Scan wurden zwar keine weiteren Viren gefunden aber irgendwie traue ich dem Braten noch nicht, da die gemeldeten Funde ja schon recht hoch waren.

Kennt jemand noch eine Software, die wir auch kommerziell kostenlos nutzen können, um damit nochmals einen Scan durchführen zu können?

Danke
r3d

naja ich bereinige ungern server.
außerdem was ist mit backups.
nem einmal infizierten firmenpc ist meiner meinung nach nur noch 1 möglich, format c:
bzw ein backup zurückzuspielen was ja jede firma haben sollte.