| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Conficker im NetzwerkWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.10.2010, 15:43
| #1 |
| |  Conficker im Netzwerk Hallo liebe Community, unser Netzwerk hat sich wahrscheinlich den Conficker eingefangen... *** Ich schreibe hier einfach mal die ganze Story und hoffe auf hilfe  *** Die zwei Admin-PC's welchen den Conficker "verteilten" haben wir gefunden und neu aufgestzt. Da manche unserer Clients die McAfee Scan Meldung brachten "Remote:Zugriff | Quelle: *IP*". Die Admin-PC's konnte auch keine Webseiten von Antivirenherstellern öffnen, da diese der Conficker ja blockt. Jetzt haben wir nur das Problem das manche Clients im gleichen Subnetz noch Fehlermeldungen bringen, wir diese aber nicht beseitigen können. Die Fehlermeldung häng ich an. Da ich schätze das wir keinen PC mehr im Netzwerk haben der den Conficker produktiv ausführt, denke ich das die größte Gefahr gebannt ist. Ist bei den besagten Clients der Conficker vielleicht nur auf der "Festplatte", aber kommt nicht ins System da der McAfee den Bufferoverflow verhindert? Könnt ihr mir sagen welche Art Conficker das ist und wie ich die Clients bereiningen kann? Wenn ihr noch was braucht (Logs usw) schreibt einfach. Kann es sein das sich der Conficker über Brodcasts verteilt, und so nur ein Subnetz befallen ist? Und da nur die Adminkisten den Conficker verteilten, kann es sein das diese es über die Gemapten C: Laufwerke der einzelnen Computer machen? z.B. \\Clientxyz\c$\Windows\System32\Conficker.dll -> hineinladen Sorry, für die vielen Fragen auf einmal  Hier noch ein HijackThis von einem PC der den Conficker verteilt: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16:27:22, on 29.10.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\WiFi\bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\IDT\WDM\stacsv.exe C:\Programme\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe C:\Programme\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Wave Systems Corp\Trusted Drive Manager\TdmService.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\CA\SharedComponents\CAM\bin\cam.exe C:\Programme\Intel\WiFi\bin\EvtEng.exe C:\Programme\STMicroelectronics\AccelerometerP11\InstallFilterService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\Programme\Intel\WiFi\bin\WLKeeper.exe C:\Programme\Dell\Dell WWAN\WMCore\WMCore.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe c:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe C:\Programme\CA\DSM\bin\caf.exe c:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe C:\Programme\CA\DSM\Bin\cfsmsmd.exe c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\DellTPad\Apoint.exe C:\Programme\IDT\WDM\sttray.exe C:\WINDOWS\system32\AESTFltr.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe C:\Programme\DellTPad\ApMsgFwd.exe C:\Programme\DellTPad\HidFind.exe C:\Programme\DellTPad\Apntex.exe C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe C:\Programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe C:\Programme\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe C:\Programme\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\CA\DSM\Bin\ccnfagent.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\Dell\Dell Mobile Broadband Manager\WirelessManager.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe C:\Programme\Wave Systems Corp\Trusted Drive Manager\TdmNotify.exe C:\WINDOWS\system32\igfxext.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\Programme\CA\DSM\Bin\cfnotsrvd.exe C:\Programme\CA\DSM\Bin\ccsmagtd.exe C:\Programme\CA\DSM\Bin\rcHost.exe C:\Programme\CA\DSM\Bin\amswmagt.exe C:\Programme\CA\DSM\PMAgent\capmuamagt.exe C:\Programme\CA\DSM\Bin\cfftplugin.exe c:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\system32\cmd.exe C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\tmuehlbauer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6OYOTCAN\HiJackThis204[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/USREL/8 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/sphome.aspx R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/USREL/8 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.bing.com/sphome.aspx R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = hxxp://g.uk.msn.com/USREL/8 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe O4 - HKLM\..\Run: [AESTFltr] %SystemRoot%\system32\AESTFltr.exe /NoDlg O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray O4 - HKLM\..\Run: [IAStorIcon] C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe O4 - HKLM\..\Run: [PNMService] c:\Programme\Intel\IntelPNM\PNMService.exe O4 - HKLM\..\Run: [DellControlPoint] "c:\Programme\Dell\Dell ControlPoint\Dell.ControlPoint.exe" O4 - HKLM\..\Run: [WavXMgr] C:\Programme\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe O4 - HKLM\..\Run: [USCService] C:\Programme\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe" O4 - HKLM\..\Run: [DsmSxplog] "C:\Programme\CA\DSM\Bin\sxpstub.exe" O4 - HKLM\..\Run: [CAF_SystemTray] "C:\Programme\CA\DSM\bin\cfSysTray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WirelessManager] C:\Programme\Dell\Dell Mobile Broadband Manager\WirelessManager.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Bluetooth.lnk = ? O4 - Global Startup: Dell ControlPoint System Manager.lnk = C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe O4 - Global Startup: TdmNotify.lnk = C:\Programme\Wave Systems Corp\Trusted Drive Manager\TdmNotify.exe O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send to &Bluetooth Device... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Send To Bluetooth - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: hxxp://*.**.com O15 - Trusted Zone: hxxp://*.**.com (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.COM O17 - HKLM\Software\..\Telephony: DomainName = ***.COM O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.COM O20 - Winlogon Notify: CAF - C:\Programme\CA\DSM\Bin\cfwlogon.dll O20 - Winlogon Notify: rcHostExt - C:\Programme\CA\DSM\Bin\rcLoginExt.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Dell ControlPoint Button Service (buttonsvc32) - Dell Inc. - c:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe O23 - Service: CA Message Queuing Server (CA-MessageQueuing) - CA, Inc. - C:\Programme\CA\SharedComponents\CAM\bin\cam.exe O23 - Service: CA DSM r11 Common Application Framework. (caf) - CA - C:\Programme\CA\DSM\bin\caf.exe O23 - Service: Credential Vault Host Control Service - Broadcom Corporation - C:\Programme\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe O23 - Service: Credential Vault Host Storage - Broadcom Corporation - C:\Programme\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe O23 - Service: Dell ControlPoint System Manager (dcpsysmgrsvc) - Dell Inc. - c:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe O23 - Service: FF Install Filter Service (InstallFilterService) - Unknown owner - C:\Programme\STMicroelectronics\AccelerometerP11\InstallFilterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe O23 - Service: SecureStorageService - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Programme\IDT\WDM\stacsv.exe O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe O23 - Service: NTRU TSS v1.2.1.29 TCS (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe O23 - Service: TdmService - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Trusted Drive Manager\TdmService.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\WLKeeper.exe O23 - Service: Mobile Broadband Service (WMCoreService) - Ericsson AB - C:\Programme\Dell\Dell WWAN\WMCore\WMCore.exe -- End of file - 14049 bytes Nachtrag: Auf einen Rechner der den Conficker ausführt, fand Avira Antivir den TR/Dropper.gen in einer selbst erzeugten System32 ddl. Und auf einem USB Stick welcher wahrscheinlich der Übeltäter war und den Wurm ins Netz brachte den WORM/Kido.IH.54 |
| Themen zu Conficker im Netzwerk |
| antivir guard, avira, components, computer, conficker, einstellungen, excel, frage, hijack, hkus\s-1-5-18, internet, kis, netzwerk, plug-in, registry, scan, server, software, tr/dropper.gen, windows, windows xp, worm/kido.ih.54 |
Baum-Darstellung