Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Malware oder rootkit? was tun? (https://www.trojaner-board.de/85192-malware-rootkit-tun.html)

Leuchtparka 22.04.2010 12:28
Malware oder rootkit? was tun?
 
Hallo alle zusammen,

gestern nachmittag sind in unserem Büro kurz nacheinander zwei Notebooks ausgestiegen.
Ich bekam eine Messagebox "Windows must now restart because DCOM Server Process Launcher service terminated unexpected..."

Eine zweite mit Mcshield.exe -Application Error
(Irgendwas mit ner Speicheradresse)

Nach einem Countdown von 60 Sekunden fuhren die Rechner runter.

Nun kann nicht mehr auf das Netzwerk zugegriffen werden. Es werden keine Netzwerkverbindugen angezeigt. Keine zugewiesene Ip usw.

USB Laufwerke werden nicht erkannt. (es sei denn, sie sind vor dem booten eingesteckt)

Programme nicht geöffnet. Bei einem ist kein Zugriff mehr auf die Taskleiste möglich.
Neustart mit "Diagnostik startup" ist nicht möglich.

ich bin mit meinem Latein am Ende. Ich hoffe ihr könnt mir helfen :balla:

hier mal das Logfile von HijackThis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:20, on 22.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\mfevtps.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6173\SiteAdv.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6173\SiteAdv.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - hxxp://intranet.grupolar.com/activex/scriptx/ScriptX.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - hxxp://picasaweb.google.de/s/v/51.26/uploader2.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} (Cisco AnyConnect VPN Client Web Control) - https://larssl.zertia.es/CACHE/webvpn/stc/1/binaries/vpnweb.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227170188287
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = grupolar.com
O17 - HKLM\Software\..\Telephony: DomainName = grupolar.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = grupolar.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = grupolar.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = grupolar.com
O23 - Service: Cryptographic Services (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe

--
End of file - 4918 bytes
Irgendwelche Vorschläge?

Gruß
Leuchtparka

cosinus 22.04.2010 20:28
Hallo und :hallo:

Zitat:
gestern nachmittag sind in unserem Büro kurz nacheinander zwei Notebooks ausgestiegen.
Was sagt denn die EDV-Abteilung dazu, oder bist Du der Admin oder einer aus der EDV?
Was spricht dagegen, die Notebooks sauber neu aufzusetzen? Ist u.U. deutlich schneller als tagelanges rumgesuche, immerhin in einer Firmenumgebung will man nicht unbedingt die Verantwortung für des Restrisiko nach einer offensichtlich geglückten Bereinigung tragen... :rolleyes:

Aber da fällt mir noch das ein, wo ich in Deinem sauberen Log McAfee entdecke => heise online - Signatur-Update von McAfee macht Windows-PCs unbenutzbar [Update]

Leuchtparka 22.04.2010 20:41
Hi Arne,

wir sind nur ein kleines Büro mit 6 Mitarbeitern. Die Mutterfirma hat ihren Sitz in Madrid. Und somit auch die EDV Abteilung. Ausserdem sprechen die extrem schlecht englisch. Besonders fit sind die bisher auch nicht gewesen. Und da nix mehr mit Netzwerkverbindung funktioniert bei den beiden Kisten, tun die sich da echt schwer. :headbang:

Software hab ich auch keine, die liegt in Spanien. Regelmäßige Backups gibts auch nicht. Weil eine externe HD für soetwas ja auch unerschwinglich ist :uglyhammer:

Aber ich bin mir sicher, in Zukunft bekomme ich bestimmt etwas mehr Gehör wenn ich um Sicherungsmaßnahmen bitte :rolleyes:

Danke für den Link. Ist ja echt der Hammer was sich McAfee da erlaubt hat :twak:
Werde ich morgen mal ausprobieren.

Gruß
Timo

Leuchtparka 23.04.2010 08:45
Hallo,

vielen Dank für die schnelle Hilfe. Alles ist wieder gut. Und sogar unsere spanischen IT-Leute sind noch irgendwann darauf gestossen :applaus:

Gruß
Timo

cosinus 23.04.2010 11:28
Also lags an McAfee?
Sowas ist zwar echt ärgerlich, kommt aber immer wieder vor, dass Fehlalarme den Rechner nicht mehr benutzbar machen, sollte man beim Einsatz eines Virenscanners im Hinterkopf behalten :(


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19