Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Malware im internen Netz? (https://www.trojaner-board.de/97013-malware-internen-netz.html)

guest 31.03.2011 16:42
Malware im internen Netz?
 
Hallo Allerseits,

Mein PC hängt zusammen mit noch zwei anderen Computern an einem Router von Netgear. Wir nutzen alle WinXP.
Neulich habe ich mir die berüchtigte "Windows Recovery Suite" eingefangen. Zurzeit boote ich nur noch mit Live-CDs (desinfec't bzw Ultimate-Boot-Disk). Anscheinend ist das Windows System dermaßen verseucht, dass ich von einer Bereinigung abgesehen habe und stattdessen Windows neu aufspielen möchte.

Jetzt zu meiner eigentlichen Frage: Ist es möglich, dass unser Netzwerk infiziert ist? Wenn ja, wie finde ich es heraus? Wie desinfiziere ich es?

Und noch eine Frage nebenbei: Ist es ungefährlich, von der Boot-Disk aus Passwörter zu ändern? Oder sollte man das besser später mit dem ganz frischen System machen?

Vorab schonmal Danke für eure Hilfe ;-)

cosinus 31.03.2011 18:27
Hallo und :hallo:

Von der Bootdisk aus kannst du alle Passwörter ändern.
Erstell mal Logs - siehe unten - von EINEM Rechner, dem infizierten PC. Bitte nicht Logs von mehreren Rechnern hier rein posten, pro PC ein Strang. mach erstmal nur einen PC und später können wir bei Bedarf die anderen in einem separaten Strang analysieren.


Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

guest 31.03.2011 20:24
Danke für die schnelle Antwort.
Gut hier erstmal die Malwarebytes-Logs.
Zu MBAM is außerdem zu sagen, dass das Programm bereits vor dem Befall bzw vor den auftauchenden Symptomen installiert war. Ich hab dann versucht, MBAM im abgesichterten Modus mit Netzwerktreibern zu aktualisieren, vorher rkill gemacht. Bei der Aktualisierung trat folgendes Problem auf: Sobald der Aktualisierungsbalken voll war hat er wieder von vorne angefangen, zu laden. Das auch so 5-6 mal, dann kam die Meldung "Aktualisieren nicht möglich, Zugriff verweigert." .
Dann hab ich mir einen MBAM-Installer von dem Live-System aus heruntergeladen und es mit dieser "neuen" Version noch mal versucht. Damit lief dann auch alles wunderbar, ziemlich viel Malware gefunden. Diese habe ich dann erstmal in Quarantäne gesteckt.
Im Anhang sind auch noch Logs von SuperAntiSpyware. Die ließen sich erst nicht hochladen, dann hab ich kurzerhand die Endung von ".log" in ".txt" umbenannt, denke das dürfte keine Probleme bereiten. Die Malware, die SASW gefunden hat, hab ich auch in Quarantäne gesteckt.
Die OTL-files kommen, sobald sie fertig sind.
Nichtsdestotrotz werde ich das System neu aufspielen, wenn alles geklärt ist. ;-)


PS: Nochmal die Frage: was könnt ihr mir über mögliche Risiken im Netzwerk sagen? Von den restlichen Rechnern war noch keiner seit dem Befall an.

guest 31.03.2011 20:51
Hier die OTL-Files.
Hab OTL auf D:/ ausgeführt, hoffe dass das nicht falsch war ...

cosinus 01.04.2011 11:35
Zitat:
C:\eXplorer.exe (Worm.AutoRun) -> Not selected for removal.
Warum entfernst du den nicht?

guest 01.04.2011 12:15
Die eXplorer.exe ist die umbenannte rkill.exe.
hxxp://www.bleepingcomputer.com/download/anti-virus/rkill

Zitat:"This renamed copy may trigger an alert from MBAM. It can be ignored and is safe."

cosinus 01.04.2011 14:16
Ok, dachte es wär ein Schädling.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.26 18:48:29 | 000,000,047 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{1d890796-fafd-11df-97fc-0018f30772fb}\Shell\AutoRun\command - "" = E:\Menu.exe
[2011.03.25 01:21:22 | 000,000,392 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18210612-INFECTED
[2011.03.25 01:18:45 | 000,000,823 | -H-- | M] () -- C:\Dokumente und Einstellungen\Mathieu01\Desktop\Windows Recovery.lnk
@Alternate Data Stream - 304 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF

:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131