Trojaner-Board - Verdacht auf "Festi"

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Verdacht auf "Festi" (https://www.trojaner-board.de/129033-verdacht-festi.html)

Verdacht auf "Festi"

Hallo,

als ich mich vorhin im Mosfetkiller-Forum anmelden wollte, erschien folgende Meldung:

Zitat:

Deine IP-Adresse 77.21.28.135 wurde gesperrt, da sie auf der schwarzen Liste steht. Details findest du unter h**p://search.atlbl.com/search.php?q=77.21.28.135.
Ein Eintrag in einer schwarzen Liste kann folgende Urschen haben:
1. Du bist ein bekannter Spammer.
2. Ein bekannter Spammer verwendete zuletzt deine vom ISP (Internet Service Provider) zugewiesene dynamische IP-Adresse.
3. Dein ISP ist dafür bekannt, dass er viele Spammer als Kunden hat und nicht viel dagegen unternimmt.

Die Seite ist leider tot, aber durch googlen kam ich zu folgender Seite: h**p://www.spamhaus.org/query/bl?ip=77.21.28.135
Durch einen Klick auf "CBL" kam ich zu einer Seite mit viel Text, wo ziemlich weit oben etwas mit "Festi spambot" steht. Meine Frage wäre jetzt, da es sich um dynamische IPs handelt, ist mein Netzwerk infiziert, und wenn ja, wie werde ich den Bot los?

Mit freundlichen Grüßen,
Tim Schiewe

Hi schaun wir uns den PC mal an:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo markusg,

Wie gesagt das ist ein Netzwerk mit sieben Rechnern. Soll ich jetzt jeden Rechner einzeln bearbeiten und das hier posten? Oder gibts einen anderen Weg? Ich frage, weil die Logs ja nicht kurz sind.
//Edit: Der Link ist tot.

Mit freundlichen Grüßen,
Tim Schiewe

Hallo markusg,

hab das Tool per Google bekommen, also hier jetzt die Logs.
//Edit: Ich habe gerade mal in die Blacklist geschaut ob sich da was getan hat, und ich sehe, dass das jetzt ein anderer Bot ist: "kelihos spambot". Gibt es mehrere Namen oder sind das verschiedene Bots?

Mit freundlichen Grüßen,
Tim Schiewe

Hi
gibt verschiedene.
Frage:
tritt das Problem an allen PC's auf?
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Hallo markusg,

Wir haben hier ein Netzwerk, das über einen Router und Kabelmodem mit dem Internet verbunden ist. Die (dynamische) IP des Kabelmodems ist in mehreren IP-Blacklists eingetragen. Daher sind alle PCs betroffen, allerdings ohne Symptome auf Malware. Da die IP dynamisch zugewiesen wird (ja ich wiederhole mich) kann es sein, dass jemand Mist gebaut hat und wir jetzt diese IP haben und unser Netzwerk gar nicht betroffen ist. Ich kenne mich zwar sehr gut mit Computern aus aber bei Malware hört mein Verständnis auf.

Mit freundlichen Grüßen,
Tim Schiewe

Hi, schon mal einen Reset des Routers versucht?
Du kannst ja mal Malwarebytes über alle PC's laufen lassen.
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

den pc, den ich grad gesehen hab, müsste man auch noch absichern, fehlene updates etc. aber das können wir ja noch machen.

Hallo markusg,

es ist einige Zeit vergangen, da ich leider im Krankenhaus war. Jedenfalls hab ich den Blacklist-Eintrag von Hand entfernt. Mal sehen ob wir wieder gelistet werden. Was halten Sie eigentlich von AntiVir Free? Damit werden 4 der 7 PCs geschützt. Die restlichen drei von Kaspersky Security Suite.

Mit freundlichen Grüßen,
Tim Schiewe

Hi
ich nutze emsisoft, ist so gut wie kaspersky, verzichtet aber auf unnötige Module, wodurch es übersichtlicher und nicht so fehleranfällig ist.