Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Festplatte an externem System auf Bootsektorviren prüfen (https://www.trojaner-board.de/132627-festplatte-externem-system-bootsektorviren-pruefen.html)

desos 23.03.2013 08:55
Festplatte an externem System auf Bootsektorviren prüfen
 
Hallo miteinander,

ich habe zunächst einmal eine allgemeine Anfrage bezüglich der Prüfung einer Festplatte auf Bootsektorviren. Diese soll an einem anderen System überprüft werden. Die Hauptfrage ist, wie dies beispielsweise mit GMER durchgeführt werden kann (die Beschreibungen, die ich gesehen habe betreffen immer das lokale noch laufende System)

Zur Einschätzung des konkreten Falls noch weitere Informationen vorab:

Hintergrund ist, dass es sich um ein Windows 2003 SBS-System handelt, das nicht mehr startet - auch nicht im abgesicherten Modus. Checkdisk ergab keine Fehler, konnte aber auch nur von einem externen System gemacht werden, da die Windows Server Installations-CD bereits beim booten mit Stopfehler 0x0000007B Erweiterte Problembehandlung bei "Stop-Fehlercode 0x0000007B (INACCESSIBLE_BOOT_DEVICE)"-Fehlern in Windows XP anhält.

Es handelt sich bei dem System in der Tat um ein Raid 1-System mit einem Onboard-Controller von Fujitsu (LSI SAS MegaRAID Controller eines TX150), insofern ist durchaus möglich, dass der Stop-Fehler in dem Fall auch durch einen Fehlenden Controller-Treiber, der mit F6 einzubinden wäre, verursacht wird.

Der Server musste schon länger nicht mehr neu gestartet werden, allerdings wurde kurz zuvor Malewarebytes Anti-Maleware durchgeführt und auf dem Server wurden prompt 4 Einträge gefunden, allerdings 3 auf User-Netzlaufwerken und einer im Exchange:

Code:
D:\Eigene Dateien\***\Software\Tools\DRIVE_IMAGE_501\DriveImage 6.0\UTILITY\WINDOWS\wipehead.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Programme\Exchsrvr\MDBDATA\E00008ED.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\UserDateien_SharedFolder\***\begruendungshilfen.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\***\Sicherheit duldet keinen Wettbewerb.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Wäre für weiteren Rat sehr dankbar, was für Vorgehensweisen ihr vorschlagt - ein kompletter Klon des Systems wurde auf eine neue Festplatte gezogen, allerdings sollte das Serverbetriebssystem wieder zügig in den Einsatz kommen und dies mit hoffentlich möglichst wenig Aufwand (relativ).

Herzlichen Dank für eure Hilfe!

cosinus 24.03.2013 14:36
Hallo,

Zitat:
Der Server musste schon länger nicht mehr neu gestartet werden
Bitte diese Hinweise lesen:


Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.
Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

desos 25.03.2013 22:28
Es handelt sich in der Tat um ein Kleinunternehmen. Es hat sich gezeigt, dass der beschriebene Stopfehler vom fehlenden Raid-Controller-Treiber verursacht wurde. Nach Einbindung dessen ist die Reparaturinstallation von Windows 2003-Server problemlos durchgelaufen und der Server läuft wieder.
Nichtsdestotrotz würde mich die Einschätzung und eine mögliche weitere Vorgehensweise interessieren abseits des sehr aufwendigen Neuaufsetzens der kompletten Systeme (mir ist grundsätzlich bewusst, dass nur dies eigentlich vollständige Sicherheit schafft und ich möchte es mir nicht leicht machen), zumal dort auch zu beachten ist, dass 3 der Funde innerhalb der Datenbestände sind, die grundsätzlich übernommen auch beim Neuaufsetzen übernommen werden sollten.

cosinus 25.03.2013 23:19
Schau dir die Funde mal an:

Zitat:
D:\Eigene Dateien\***\Software\Tools\DRIVE_IMAGE_501\DriveImage 6.0\UTILITY\WINDOWS\wipehead.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Stammt aus welcher Quelle?
Wird da noch DriveImage eingesetzt?

Zitat:
D:\Programme\Exchsrvr\MDBDATA\E00008ED.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Ist kein Schädling sondern nur extension mismatch

Zitat:
D:\UserDateien_SharedFolder\***\begruendungshilfen.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\***\Sicherheit duldet keinen Wettbewerb.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt
.

Was sollen das für Programme sein, wer nennt sein Programm "begruendungshilfen" oder "Sicherheit duldet keinen Wettbewerb"? Sieht stark nach Müll aus


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131