|
Microsoft Security Essentials: WinNT/Sirefef.J, Win32/Karagany.I, Win32/Small.TG etc Hallo und guten Tag. Ich arbeite in der EDV-Abteilung eines mittelständischen Unternehmen mit und gestern kam ein Kollege zu mir, dass sein "Internet nicht geht". Der PC hat MSE (Microsoft Security Essentials) seit Längerem installiert und hat regelmäßig Updates und vereinfachte Systemscans gefahren. Gestern nach Scan in der Mittagspause hat MSE dann mehrere Funde gemeldet, mein Kollege hat das nicht mitbekommen. Er merkte nur dass Outlook spinnt und keine Internetseiten aufgerufen werden können und kam dann zu mir. Ich habe festgestellt dass C:\WINDOWS\system32\drivers\ipsec.sys von MSE in Quarantäne verschoben wurde und hatte somit die Erklärung für die genannten Fehlfunktionen. Zusätzlich kann ich folgende Aussagen treffen: - Der PC läuft mit Windows XP SP3 x86. - Es wurden regelmäßig (automatisch) Windows Updates installiert - Es ist eine sehr alte Java-Version installiert (! Version 6 Update 11 oder 12) - Der Benutzer hat Administratorrechte Ich habe dann einen vollständigen Systemscan mit MSE laufen lassen - hier die Ergebnisübersicht: http://www.trojaner-board.de/attachm...1&d=1337673342 Das ist mir zuviel um es allein zu lösen. Das System sollte nicht neu aufgesetzt werden müssen. Auch wenn es etwas länger dauert, möchte ich versuchen das System zu reinigen. Ich würde mir zB. zutrauen den TCP/IP-Dienst neu zu installieren wenn das System wieder sauber ist. Ich habe nun defogger, dds und gmer laufen lassen. Die Logs (attach.txt und gmer_unpersonal.txt) befinden sich als *.ZIP im Anhang. Ich hoffe uns kann geholfen werden, hier der Inhalt der dds.txt (Alle Stellen mit "XXX" sind von mir unkenntlich gemacht): Code: DDS (Ver_2011-08-26.01) - NTFSx86 Sehr ärgerlich das Alles, wo ich doch gerade dabei bin Avira Endpoint Security in der gesamten Firma zu installieren (inklusive vollständige Aktualisierung, Reinigung etc. aller PCs)... Der betroffene PC wäre ab heut' dran gewesen mit der Auffrischung. :headbang: Beste Grüße Robert |
:hallo: Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Da hat sich der Herr Kollege einen der garstigsten Schädlinge überhaupt eingefangen - und die Standardantwort auf den befalnnen IPSEC-Treiber durch MSE war (wie immer) löschen. Das wieder gradezubiegen, wird nervig! Bitte zunächst ein Fullbackup des Systems ziehen (per Live CD, ich empfehle hier Acronis TrueImage), falls alle Stricke reißen sollten. Dann geht es hier weiter: Schritt 1: Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Schritt 2: MBAM Downloade Dir bitte Malwarebytes
Schritt 3: FSS Downloade dir bitte Farbar's Service Scanner
|
Hallo Marius. Vielen Dank für die schnelle Rückmeldung. Ich mache mich jetzt an die Sicherung per Acronis. Die HDD hat eine zweite Partition auf der noch fast 90GB frei sind - kann die Sicherung dort hin oder sollte ich besser nach extern sichern? Kann ich den PC wieder ans LAN anbinden oder besteht Verbreitungsgefahr der Schädlinge? Meine Überlegung geht dahin, dass ich ja nun gar keine Internetverbindung habe, um die Schritte 1 bis 3 durchzuführen... |
Nein, sichere nach extern, sofern möglich! Du kannst den Rechner ans LAN anbinden! |
So, nachdem ich endlich eine Möglichkeit gefunden haben die 70GB große Sicherung extern abzulegen, ist nun erstmal Feierabend. Morgen früh um 7 Uhr starte ich Sicherung und wenn Alles klappt poste ich morgen gegen Mittag die nächsten Logs. Sollten noch Probleme auftauchen, melde ich mich vorher nochmal. Beste Grüße Robert Kurzes Update: Die Validierung des Backups dauert noch ca. 26000 Tage, laut Anzeige... :pfui: Ich werde die Validierung laufen lassen und wenn dann endlich klar ist dass das Backup erfolgreich war, werde ich morgen früh die weiteren Scans starten! Beste Grüße Robert |
So, das Backup ist gültig - nun kanns los gehen! Kann ich mit USB-Stick arbeiten? Das Netzwerk / Internet funktioniert ja wegen fehlender ipsec.sys nicht... ... im Moment schiebe ich die Programme mit einer Multisession-CD-R rüber. |
Ja, du kannst mit Stick arbeiten! :) Hatte mich schon gewundert, dass das via LAN funktioniert! :D |
Neuester Stand: Ich habe ComboFix von Mirror2 auf CD gebrannt, auf den Desktop kopiert und gestartet... Nichts ist passiert. :dummguck: Dann hab' ich ComboFix nochmal von Mirror1 geholt (die Datei ist etwas größer und hat ein Symbol - der erste Download war wohl fehlerhaft :killpc:) und per USB-Stick auf den Desktop kopiert und gestartet... Meldung sinngemäß: "Keine Wiederherstellungskonsole gefunden - Downloaden und installieren?". Habe "nein" gewählt. Den gestarteten Scan habe ich dann sofort per [X] abgebrochen und erstmal von der XP-CD die Konsole nachinstalliert per <CD-Laufwerksbuchstabe>:\i386\winnt32.exe /cmdcons Dann habe ich ComboFix gestartet. Nach einer Weile wurde die Meldung "ComboFix hat die Anwesenheit von Rootkitaktivitaeten festgestellt und muss nun den PC neustarten:" angezeigt. Nach Drücken auf "OK" wurde der Neustart ausgeführt und ComboFix wieder gestartet. Irgendwann hat der PC dann von allein einen 2. Neustart gemacht und nach Anmeldung waren plötzlich alle netzwerkabhängigen Anwendungen wieder aktiv. :applaus: Hier nun die ComboFix-Logfiles: ComboFix-quarantined-files_impersonal.txt (impersonal bedeutet dass ich Benutzernamen mit XXX unkenntlich gemacht habe :cool:) Code: 2012-05-24 08:12:21 . 2012-05-24 08:12:21 486 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-EAGLE 4.16.reg.datCode: ComboFix 12-05-23.06 - XXX 24.05.2012 9:58.1.2 - x86Für mich sieht es aus, als wären da auch ein paar Sachen entfernt worden, die in Ordnung sind... kann das sein? Soll ich nun mit MBAM fortfahren? Beste Grüße Robert |
Zitat:
---- weiter mit den anderen Schritten! |
So, MBAM ist aktualisiert und läuft... Wegen eventuell ungerechtfertigten Löschungen / Quarantäne durch ComboFix: zB. sieht 2012-05-24 08:02:16 . 2012-05-24 08:02:16 7,427 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg ganz stark nach einer Sicherung von Registrydaten von meinem EDV-Kollegen aus. So eine Sicherung macht man ja nicht ohne Grund, daher würde ich die Datei gern behalten. Oder ist es möglich dass ein Schadprogramm irgendwann mal einen Reg-Eintrag verändert hat, der "schlechte" Eintrag wurde von meinem Kollegen gesichert und ausgebessert und nun merkt ComboFix, dass da was Schlechtes in der Sicherung steht? Ist "Registry_backups" eigentlich ein Systemordner? |
Nein! Registry_backups ist ein Ordner, in dem combofix alles hinterlegt, was es in der Registry als schädlich erkannt und deshalb entfernt hat. Ich würde dir empfehlen, vom Backup eines verseuchten registry-Eintrags tunlichst die finger zu lassen! :rolleyes: |
Liste der Anhänge anzeigen (Anzahl: 1) Gut, Danke für die Info! :pfeiff: Ich habe gerade gesehen, dann in meinem Eröffnungspost das Bild mit den MSE-Ergebnissen nicht angezeigt wird: http://www.trojaner-board.de/attachm...7&d=1337854296 Da müssen wir noch schauen, ob da etwas zu Unrecht kaltgestellt wurde, wie zB. Win32/RealVNC - das ist doch einfach nur unser Remotezugriff... oder kann das auch verseucht sein? Beste Grüße Robert |
Finished the three Steps: mbam-log-2012-05-24 (11-44-32)_impersonal.txt Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400Code: Farbar Service Scanner Version: 17-05-2012 |
Sagen dir die beiden, in der Firewall geöffneten ports etwas? Zitat:
Bitte Klärung herbeiführen, sonst töten wir die beiden Einträge! |
Beide Einträge sind unbekannter Herkunft und werden von uns nicht benötigt! |
CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: DIRLOOK::Wichtig:
|
Here it is: CFSCript_log_impersonal.txt Code: ComboFix 12-05-24.01 - XXX 24.05.2012 14:37:35.2.2 - x86 |
CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: FOLDER::Wichtig:
Schritt 2: Onlinescan zur Kontrolle ESET Online Scanner
Macht der Rechner noch Probleme? |
Und da ist das Logfile: CFSCript2_log.txt Code: ComboFix 12-05-24.02 - XXX 24.05.2012 15:19:34.3.2 - x86Bisher läuft der PC unauffällig. Beste Grüße Robert |
Du hättest die verfremdeten Userdaten XXX in meiner Anweisung wieder ändern müssen - hole das nach und fixe erneut wie beschrieben! |
Ach ja ... Zeit für Feierabend... :pfeiff: Da war die Konzentration hinüber - Ich mach's morgen früh nochmal inklusive Online-Scan. Bis morgen Beste Grüße Robert |
Guten Morgen, hier die Ergebnisse von ComboFix-Script Nr.2: CFSCript3_log_impersonal.txt Code: ComboFix 12-05-25.01 - XXX 25.05.2012 7:39.4.2 - x86Eine Frage schon vorweg, falls der Onlinescan Negativ (also ohne Funde) ist: Kann MSE weiter auf dem PC verwendet werden? Beste Grüße Robert |
Zitat:
|
Liste der Anhänge anzeigen (Anzahl: 1) Es gibt da ein Problem: http://www.trojaner-board.de/attachm...1&d=1337929308 Dann werden wieder die Lizenzbedingungen angezeigt... :balla: |
Starte neu und versuche es erneut! ODER, du nimmst firefox! |
Nach dem Neustart hatte IE immernoch keine Lust auf Eset. :wtf: Also hab' ich FF12 installiert, konfiguriert, Eset wie beschrieben installiert und konfiguriert. Zusätzlich habe ich in den erweiterten Eset-Einstellungen einen Haken bei "Scan for potentially unsafe applications" gesetzt und unseren Proxy eingetragen. Nun läuft der Scan. :daumenhoc Ich hoffe der Scan ist negativ. Danach habe ich noch Einiges an dem PC zu tun: * VNC von MSE befreien * MBAM deinstallieren * Windows Update ausführen (die Auto-Upds haben möglicherweise nicht funktioniert, da WinHTTP unsere Proxyeinstellungen nicht hatte) * Updates von mindestens: Java, Adobe Flash * Die vielen Dateien vom Kampf gegen die 'Verschmutzungen' wieder entfernen In naher Zukunft muss ich das System dann nochmal säubern, Alles updaten, defragmentieren und Avira Endpoint Security installieren (das haben wir als Unternehmenslösung). Zwei Fragen dazu: Sollte ich zusätzlich noch Sicherheitssoftware auf unseren XP-Clients installieren? Was ist kompatibel mit Avira ES und darf kostenfrei kommerziell genutzt werden? Beste Grüße Robert |
Wir kümmern uns im Nachklapp um nicht aktuelle Software sowie die Windows updates, mach einfach mal nur das, was ich sage, sonst kriegen wir u.U. deftige Probleme mit dem System! |
Zitat:
|
Kein Problem, ich wollte lediglich einen etwaigen Alleingang im Keim ersticken! :rofl: |
Versteh' schon... Sicherlich muss man bei den meisten Usern auch gleich ordentlich dazwischenkloppen um sie zu bremsen :twak: - ich kenne das! |
So, Eset ist durch ... und hat scheinbar doch noch einen Bösewicht gefunden. :( Hier das Logfile: Eset_log.txt Code: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VistaCodecs\{146A630B-CF66-4B5E-95BF-478A16039BF3}\Vista Codec Package.msi Win32/Packed.Autoit.E.Gen applicationBeste Grüße Robert |
Schritt 1: DDS Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
|
Guten Morgen, ich wünsche schöne Feiertage gehabt zu haben. Kann ich auch das vorhandene dds nutzen (liegt noch vom Eröffnungspost auf dem Desktop)? Beste Grüße Robert |
Man sollte nicht so früh morgens am Feiertag Logs beantworten! -.- Zitat:
Schritt 1: Adobe Shockwave Player update Dein Shockwave-Player ist veraltet. Um den Shockwave Player zu aktualisieren, gehe bitte wie folgt vor:
Schritt 2: Adobe Flash Player update Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden. Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:
Schritt 3: Java update Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 4: Adobe Reader update Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.
|
Jaja... die Feiertage heißen so, weil man sich an diesen Tagen nur aufs feiern konzentrieren sollte... :taenzer: Nun hatte ich dds schon runtergeladen und nochmal laufen lassen... Aber ist ja nur Analyse, wenn ich das richtig gesehen habe!? Ich habe jetzt alle Updates gemacht und alle Schritte wie beschrieben ausgeführt (inkl. Deinstallieren dieses "VistaCodecPack + Löschen temporärer Java-Dateien + deinstallieren des alten Java). In Systemsteuerung > Software steht noch zusätzlich "Adobe Flash Player 10". Soll ich den deinstallieren, oder baut die F.P.11-Installation darauf auf? Beste Grüße Robert |
Wenn du den Flash Player aktualisiert hast, kannst du eventuelle veraltete Plkugins deinstallieren - sollst du sogar! |
So "Flash Player 10" ist nun ebenfalls deinstalliert. Wie geht es weiter? Beste Grüße Robert |
Dann sind wir durch! Lass uns noch ein wenig aufräumen: ComboFix Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code: Combofix /UninstallDamit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Hier noch ein paar Tipps zur Absicherung deines Systems. Aktualität Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann. |
Liste der Anhänge anzeigen (Anzahl: 1) Das liest sich gut, dass wir durch sind! :applaus: Vielen Dank erstmal an dieser Stelle! Ich habe allerdings noch viele Fragen: 1. Auf dem Desktop sieht es momentan wie auf folgendem Bild aus, kann ich das Alles entfernen (Inklusive Deinstallation von Eset-Onlinescan und MBAM)? http://www.trojaner-board.de/attachm...1&d=1338298006 2. Gibt es Ordner die von den Programmen angelegt wurden, welche ich entfernen kann (siehe zB. die "backup_registry"-Ordner)? 3. Ich benutze gerne CCleaner und justiere immer sehr genau die Einstellung VOR einem Reinigungslauf. Desweiteren prüfe ich immer die angeblichen Registry-Fehler auf Plausibilität und mache ein Backup der zu entfernenden Reg-Einträge. Die Macher vom CrapCleaner scheinen sehr vorsichtig mit der Reg zu sein, da viel Müll garnicht erst gefunden bzw. angezeigt (also auch nicht entfernt) wird. Wenn ich also behutsam mit dem Cleaner arbeite, speziell bei der Suche nach Reg-Fehlern, kann ich den dann weiterhin benutzen (Ich habe auch die Anleitung zum CrapCleaner hier im Board gelesen.)? 4. Kann ich den VNC-Server wieder aus der MSE-Quarantäne befreien und alle übrigen Dateien entfernen lassen? Hier die Dateien in der MSE-Quarantäne (siehe auch das letzte Woche gepostete Bild mit den Funden): Code: Adware:Win32/AdparatusRobert |
Ich hoffe du bist jetzt nicht in Urlaub gefahren Marius!?! :confused: |
Nein, keine Angst. Aber ich hab auch noch ein Privatleben und da gehts grade drunter und drüber! :) Zu deinen Fragen: 1. Ja, die benutzten Tools kannst du deinstallieren und alles andere gefahrlos löschen. 2. Ich würde die Quarantäne, um sicher zu gehen, leeren und VNC neu installieren! |
Schön, dass wir helfen konnten! :abklatsch: Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und ein eigenes Thema erstellen! |
Guten Morgen. Ja, scheinbar haben wir den PC erstmal sauber. :applaus: Kann ich mich irgendwie erkenntlich zeigen? Es gibt zwar nun so einige Problemchen, aber das kriegen wir hin: Z.B. ließ sich Adobe PageMaker nicht mehr starten, den musste ich neu installieren. Zusätzlich gibts Probleme mit Windows-Updates: Mein Kollege hatte zwar automatische Updates aktiviert, aber er sitzt hinter einem Proxy und WinHTTP war für Direktzugriff konfiguriert. Daher haben anscheinend keine automatischen Windows-Updates stattgefunden. Nun habe ich WinHTTP konfiguriert und Windows Updates laufen lassen, allerdings kam es zu einer Update-Schleife mit einem .NET Update. Daraufhin habe ich alle .NET-Versionen entfernt (auch mit .NET-CleanUp-Tool), .NET3.5 SP1 Full Package heruntergeladen und per Windows Update aktualisiert: Ich komme leider immer wieder zu einer Update-Schleife, wo .NET-Updates laut Meldung zwar installiert wurden, gleich darauf aber wieder angeboten werden... :wtf: Es sind kb982524 und kb982168! Irgendwelche Hinweise dazu im Zusammenhang mit der bereinigten Verseuchung? Beste Grüße Robert |
Guten Morgen! Da war ich mit schließen ein wenig voreilig! Erkenntlich zeigen kannst du dich gerne mit einer Spende - die erhalten den Laden am laufen! :) Die Problematik mit den .NET Framework-Updates hatte ich auch schonmal, ich würde dich in dieser Hinsicht gerne an unser Windows-Forum verweisen, die können dir da schneller helfen. Es hängt jedoch nicht mit der Infektion zusammen, sondern mit der Reihenfolge der .NET-Updates. Konntest du den VNC-Server wieder lauffähig machen? |
Gut, dann versuche ich es mal im Windows-Forum wegen dem .NET-Updateproblem, Danke für den Tip. :daumenhoc Ich habe dazu schon gefühlte 1 Million Beiträge gelesen, Vieles Probiert was direkt von MS vorgeschlagen wurde und Nichts hat bisher zur Lösung des Problems beigetragen. Ich finde es toll, dass MS keine Lösungen hat, sondern zu 90% nur Lösungsvorschläge die meistens das Problem nicht lösen... :pfui: Thema VNC-Server: Ich habe im MSE-Log gesehen, dass VNC nur in gesicherten Daten auf dem Rechner lag. Installiert war die Software wohl nicht mehr und wird auf Nachfrage auch nicht mehr benötigt. Dann kannste jetzt von mir aus das Abo rausnehmen, wenn ich noch Fragen hab' meld' ich mich per PM. Dankeschön nochmal an dieser Stelle! Beste Grüße Robert PS: Ich hoffe das Privatleben beruhigt sich wieder! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board
