|
Plagegeister aller Art und deren Bekämpfung: Malware im internen Netz?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.03.2011, 16:42 | #1 |
| Malware im internen Netz? Hallo Allerseits, Mein PC hängt zusammen mit noch zwei anderen Computern an einem Router von Netgear. Wir nutzen alle WinXP. Neulich habe ich mir die berüchtigte "Windows Recovery Suite" eingefangen. Zurzeit boote ich nur noch mit Live-CDs (desinfec't bzw Ultimate-Boot-Disk). Anscheinend ist das Windows System dermaßen verseucht, dass ich von einer Bereinigung abgesehen habe und stattdessen Windows neu aufspielen möchte. Jetzt zu meiner eigentlichen Frage: Ist es möglich, dass unser Netzwerk infiziert ist? Wenn ja, wie finde ich es heraus? Wie desinfiziere ich es? Und noch eine Frage nebenbei: Ist es ungefährlich, von der Boot-Disk aus Passwörter zu ändern? Oder sollte man das besser später mit dem ganz frischen System machen? Vorab schonmal Danke für eure Hilfe ;-) |
31.03.2011, 18:27 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Malware im internen Netz? Hallo und
__________________Von der Bootdisk aus kannst du alle Passwörter ändern. Erstell mal Logs - siehe unten - von EINEM Rechner, dem infizierten PC. Bitte nicht Logs von mehreren Rechnern hier rein posten, pro PC ein Strang. mach erstmal nur einen PC und später können wir bei Bedarf die anderen in einem separaten Strang analysieren. Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
31.03.2011, 20:24 | #3 |
| Malware im internen Netz? Danke für die schnelle Antwort.
__________________Gut hier erstmal die Malwarebytes-Logs. Zu MBAM is außerdem zu sagen, dass das Programm bereits vor dem Befall bzw vor den auftauchenden Symptomen installiert war. Ich hab dann versucht, MBAM im abgesichterten Modus mit Netzwerktreibern zu aktualisieren, vorher rkill gemacht. Bei der Aktualisierung trat folgendes Problem auf: Sobald der Aktualisierungsbalken voll war hat er wieder von vorne angefangen, zu laden. Das auch so 5-6 mal, dann kam die Meldung "Aktualisieren nicht möglich, Zugriff verweigert." . Dann hab ich mir einen MBAM-Installer von dem Live-System aus heruntergeladen und es mit dieser "neuen" Version noch mal versucht. Damit lief dann auch alles wunderbar, ziemlich viel Malware gefunden. Diese habe ich dann erstmal in Quarantäne gesteckt. Im Anhang sind auch noch Logs von SuperAntiSpyware. Die ließen sich erst nicht hochladen, dann hab ich kurzerhand die Endung von ".log" in ".txt" umbenannt, denke das dürfte keine Probleme bereiten. Die Malware, die SUPERAntiSpyware gefunden hat, hab ich auch in Quarantäne gesteckt. Die OTL-files kommen, sobald sie fertig sind. Nichtsdestotrotz werde ich das System neu aufspielen, wenn alles geklärt ist. ;-) PS: Nochmal die Frage: was könnt ihr mir über mögliche Risiken im Netzwerk sagen? Von den restlichen Rechnern war noch keiner seit dem Befall an. |
31.03.2011, 20:51 | #4 |
| Malware im internen Netz? Hier die OTL-Files. Hab OTL auf D:/ ausgeführt, hoffe dass das nicht falsch war ... |
01.04.2011, 11:35 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Malware im internen Netz?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
01.04.2011, 12:15 | #6 |
| Malware im internen Netz? Die eXplorer.exe ist die umbenannte rkill.exe. hxxp://www.bleepingcomputer.com/download/anti-virus/rkill Zitat:"This renamed copy may trigger an alert from MBAM. It can be ignored and is safe." |
01.04.2011, 14:16 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Malware im internen Netz? Ok, dachte es wär ein Schädling. Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.02.26 18:48:29 | 000,000,047 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{1d890796-fafd-11df-97fc-0018f30772fb}\Shell\AutoRun\command - "" = E:\Menu.exe [2011.03.25 01:21:22 | 000,000,392 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18210612-INFECTED [2011.03.25 01:18:45 | 000,000,823 | -H-- | M] () -- C:\Dokumente und Einstellungen\Mathieu01\Desktop\Windows Recovery.lnk @Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Malware im internen Netz? |
andere, anderen, aufspielen, befallen, besser, computer, computern, desinfec't, frage, gefährlich, hängt, infiziert, interne, internen, malware, netzwerk, nutzen, passwörter, pc hängt, recovery, router, schonmal, suite, system, verseucht, virus, windows, windows system, zusammen, ändern |