Ralph##

Trojanerbefall auf W2003 R2 SERVER

Recommended Posts

Hallo,

 

habe seit Tagen das Problem dass immer neue TR entstehen.

 

Zur Zeit läuft Antivir Networkbundle und eine Testversion vom EMSISOFT.

 

Emsisoft hat einige gefunden die ich auch in die Quarantäne verschoben haben. Auch Antivir hat einige gefunden.

 

Nur das problem besteht weiter.

 

Kann mich nicht mehr als Admin anmelden da friet der Bildschrim ein.

 

Habe nun eine Anmeldung als benutzer gemacht und komischerweise volle Rechte.

 

Also denke ich das System ist ............

 

Anbei meine Files.

 

Ich hoffe nun auf Ihre Hilfe.

 

Viele Grüße

 

Ralph

Share this post


Link to post
Share on other sites

Hi und Herzlich Willkommen beim Emsisoft Support Forum!

 

Bitte noch die alten Logfiles von Emsisoft und Avira anhängen, wo auch Funde gemacht wurden.

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die otlfix.jpg Textbox.
:OTL
O4 - HKLM..\Run: [yige] c:\windows\system32\wbem\explore.exe File not found
O4 - HKLM..\Run: [zhouhongyi] c:\windows\java\net1.exe File not found
O4 - HKLM..\Run: [shabi] c:\windows\addins\net.exe File not found
[2013.06.23 12:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Anmeldung1\Anwendungsdaten\baidu
:Commands
[emptytemp]

  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.

    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)

    Kopiere nun den Inhalt hier in Deinen Thread

Share this post


Link to post
Share on other sites

Das ist ein Server, alle diese Tools sind rein für Privatrechner, sprich normale Installationen, ausgelegt.

Bitte mal einen frischen Scan mit OTL machen und anhängen. Ebenso die erwähnten alten Logs von Emsisoft und Antivir.

Share this post


Link to post
Share on other sites

Sieht schon besser aus.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button eset.jpg (<< klick) drücken.

    • Firefox-User:

      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.

    • IE-User:

      müssen das Installieren eines ActiveX Elements erlauben.

  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den starteg.jpg Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
  • starteg.jpg drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.Wenn der Scan beendet wurde
    • Klicke esetListThreats.png.
    • Klicke esetExport.png und speichere das Logfile als ESET.txt auf dem Desktop.
    • Klicke Back und Finish
    Bitte poste die Logfile hier.

    Bitte noch ein frisches OTL Scanlog anhängen.

Share this post


Link to post
Share on other sites

Hallo,

 

der Scanner bleibt bei 4 % und 2 Funden hängen.

 

Habe noch einen Neustart gemacht, hat aber nichts verändert.

 

Meldung lautet:BAT/Trojan Downloader ftp. NOK.trojan

 

Soll ich jetzt ein OTL machen?

Share this post


Link to post
Share on other sites

Hi,

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die otlfix.jpg Textbox.
:OTL
SRV - (Nationalmud) -- C:\WINDOWS\system32\onserver.exe File not found
DRV - (lmimirr) -- system32\DRIVERS\lmimirr.sys File not found
O4 - HKLM..\Run: [ QQPCTray]  File not found
O4 - HKLM..\Run: [360Safetray]  File not found
O4 - HKLM..\Run: [bixushi] c:\windows\system32\csx.exe File not found
O4 - HKLM..\Run: [cao] c:\windows\system32\wbem\osinter.exe File not found
O4 - HKLM..\Run: [IBM SGTK ASU] "C:\IBMSGTK\asu\PerformASUPost.cmd" File not found
O4 - HKLM..\Run: [IBM SGTK UXSPI] "C:\IBMSGTK\uxsp\PerformUXSPUpdates.cmd" File not found
O4 - HKLM..\Run: [KVMON]  File not found
O4 - HKLM..\Run: [KVXP]  File not found
O4 - HKLM..\Run: [kxesc]  File not found
O4 - HKLM..\Run: [McAfeeUpdaterUI]  File not found
O4 - HKLM..\Run: [RavTRAY]  File not found
O4 - HKLM..\Run: [RISTRAY]  File not found
O4 - HKLM..\Run: [ShStatEXE]  File not found
[2013.06.23 01:25:18 | 000,603,496 | ---- | M] () -- C:\WINDOWS\System32\szxc.exe
[2013.06.23 01:25:13 | 000,603,496 | ---- | M] () -- C:\WINDOWS\System32\onzxc.exe
[2013.06.23 01:25:02 | 000,000,057 | ---- | M] () -- C:\WINDOWS\System32\onfzxc.dat
[2013.06.22 23:56:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\hexBrowser.exe
[2013.06.22 23:54:39 | 000,000,068 | ---- | C] () -- C:\WINDOWS\System32\onfBrowser.dat
:files
C:\xpserver.exe
C:\xpvip.exe
C:\RECYCLER\onfserver.dat
C:\RECYCLER\onfsvchost.dat
C:\RECYCLER\onfzxc.dat
C:\WINDOWS\system32\cmd
C:\WINDOWS\system32\onf1.dat
C:\WINDOWS\system32\onfBrowser.dat
C:\WINDOWS\system32\onfserver.dat
C:\WINDOWS\system32\onfzxc.dat
C:\WINDOWS\system32\shvip.exe
C:\WINDOWS\system32\xpserver.exe
C:\WINDOWS\system32\xpvip.exe
:Commands
[emptytemp]

  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.

    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)

    Kopiere nun den Inhalt hier in Deinen Thread

Share this post


Link to post
Share on other sites

Hallo,

bitte ein frisches OTL Log anhängen. Ebenso bitte einen Vollscan mit dem AV-Programm machen. Wird noch was gefunden? Gibt es noch Probleme mit dem System?

Share this post


Link to post
Share on other sites

Hi,

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die otlfix.jpg Textbox.
:OTL
[2013.06.23 11:14:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\baidu
[2013.06.23 11:14:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\baidu
[2013.06.23 01:29:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Baidu
[2013.06.23 01:29:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\baidu


  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.

    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)

    Kopiere nun den Inhalt hier in Deinen Thread

Share this post


Link to post
Share on other sites

Hallo,

bitte einen erneuten Fix mit OTL machen, mit diesem Script.

:OTL
O4 - HKLM..\Run: [SohuVA] "C:\Programme\????\SHPlayer.exe" /auto File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\¿áÆÁ.lnk = C:\Program Files\kuping4\kuping_v4.exe ()
[2013.06.23 01:27:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\¿áÆÁ
[2013.06.24 19:27:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\BaiduBrowserUpdater.job
[2013.06.24 19:18:57 | 000,001,329 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\¿áÆÁ.lnk
[2013.06.23 01:27:24 | 000,001,478 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\¿áÆÁ.lnk
[2013.06.23 01:26:43 | 000,067,592 | ---- | M] () -- C:\WINDOWS\1.fsp
[2013.06.23 01:26:43 | 000,043,600 | ---- | M] () -- C:\WINDOWS\5.fsp
[2013.06.23 01:26:43 | 000,042,684 | ---- | M] () -- C:\WINDOWS\2.fsp
[2013.06.23 01:26:43 | 000,042,384 | ---- | M] () -- C:\WINDOWS\10.fsp
[2013.06.23 01:26:43 | 000,038,215 | ---- | M] () -- C:\WINDOWS\7.fsp
[2013.06.23 01:26:43 | 000,037,270 | ---- | M] () -- C:\WINDOWS\3.fsp
[2013.06.23 01:26:43 | 000,036,136 | ---- | M] () -- C:\WINDOWS\9.fsp
[2013.06.23 01:26:43 | 000,031,074 | ---- | M] () -- C:\WINDOWS\8.fsp
[2013.06.23 01:26:43 | 000,029,091 | ---- | M] () -- C:\WINDOWS\4.fsp
[2013.06.23 01:26:43 | 000,016,764 | ---- | M] () -- C:\WINDOWS\6.fsp
[2013.06.24 19:18:57 | 000,001,329 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\¿áÆÁ.lnk
[2013.06.23 01:27:24 | 000,001,478 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\¿áÆÁ.lnk
[2013.06.23 01:25:55 | 000,067,592 | ---- | C] () -- C:\WINDOWS\1.fsp
[2013.06.23 01:25:55 | 000,043,600 | ---- | C] () -- C:\WINDOWS\5.fsp
[2013.06.23 01:25:55 | 000,042,684 | ---- | C] () -- C:\WINDOWS\2.fsp
[2013.06.23 01:25:55 | 000,042,384 | ---- | C] () -- C:\WINDOWS\10.fsp
[2013.06.23 01:25:55 | 000,038,215 | ---- | C] () -- C:\WINDOWS\7.fsp
[2013.06.23 01:25:55 | 000,037,270 | ---- | C] () -- C:\WINDOWS\3.fsp
[2013.06.23 01:25:55 | 000,036,136 | ---- | C] () -- C:\WINDOWS\9.fsp
[2013.06.23 01:25:55 | 000,031,074 | ---- | C] () -- C:\WINDOWS\8.fsp
[2013.06.23 01:25:55 | 000,029,091 | ---- | C] () -- C:\WINDOWS\4.fsp
[2013.06.23 01:25:55 | 000,016,764 | ---- | C] () -- C:\WINDOWS\6.fsp
[2013.06.23 01:29:22 | 000,000,000 | ---D | C](C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\?????) -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\百度浏览器
:files
C:\Program Files\kuping4
:Commands
[emptytemp]
Danach bitte nochmal ein frisches Scanlog anhängen. Programme weg? Falls noch was auf dem Desktop übrig ist, bitte von Hand löschen.

Share this post


Link to post
Share on other sites

Sieht schon viel besser aus. Überreste auf dem Desktop und auf C bitte händisch löschen, danach Papierkorb leeren.

Findet das AV Programm noch etwas bei einem Vollscan?

Share this post


Link to post
Share on other sites

Nein auch Emsisoft nicht.

 

Können Sie mir sagen um welche Schädlinge es sich gehndelt hat.

 

Jedes Tool hat etwas anderes angezeigt.

Share this post


Link to post
Share on other sites

Der Name wird auch von dem Hersteller etwas anders vergeben. Auf jeden Fall war es einer, der FTP Daten erspäht, also wenn sowas genutzt wird bitte alle Zugänge ändern.

Den Rechner bitte noch weiter beobachten. Einfach mal in nem Tag oder zwei Rückmeldung geben.

Share this post


Link to post
Share on other sites

Hallo

 

 

das sehe ich etwas anders.

 

Habe ihnen das OTL File nochmals mit einem * am Anfang der Zeit makiert, bei denen ich denke die Einträge sind nicht default.

 

Vielleicht könnten Sie das nochmals überprüfen.

 

 

Share this post


Link to post
Share on other sites

Hallo

 

hier die OTL logs mit Anmeldung: "Administrator"

 

und sreenshots.

 

Reste sind noch versteckt und ich war mir nicht sicher ob ich diese einfach löschen kann. Auch befinden sich noch Reste im C:Windows?..... Verzeichnis

 

Soll ich noch ein ESET laufen lassen??

Share this post


Link to post
Share on other sites

Im Ordner programme sind auch noch welche installiert.

 

Hier ein Screenshot.

 

Gehen nicht zu löschen da ich der Sprache die angezeigt wird nicht mächtig bin

 

 

Share this post


Link to post
Share on other sites

Hallo,

 

neuen Rechner wie beschrieben im Ticket. Auf dem Server bitte mal alles deinstallieren was unbekannt ist und/oder nicht benötigt wird, dann ein frisches OTL Logfile erstellen.

Share this post


Link to post
Share on other sites

Bitte auf den Systemen, wo kein Server-OS installiert ist, das hier machen:

Systemscan mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: %5BB%5DFRST 32-Bit[/b] %5BB%5D|[/b] %5BB%5DFRST 64-Bit[/b]

(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.

Share this post


Link to post
Share on other sites

Rechner Anmaleudng, vielleicht können wie das so machen dass ich ihnen immer den Rechner voranschreibe.

 

Führe ich jetzt Ihre Angabe aus.

 

Wie steht es mit dem Server??

Share this post


Link to post
Share on other sites

Fix mit FRST

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

HKCU\...\Run: [nwdaqjmd] "C:\Users\Anmeldung1\AppData\Local\urndqthf.exe" [x]
HKCU\...\Run: [eqwlvpan] "C:\Users\Anmeldung1\AppData\Local\kpliweoc.exe" [x]
C:\Users\Anmeldung1\AppData\Local\urndqthf.exe
C:\Users\Anmeldung1\AppData\Local\kpliweoc.exe
HKU\Default\...\RunOnce: []  [x]
HKU\Default User\...\RunOnce: []  [x]
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Fix Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.

Ebenso bitte ein frisches FRST Log anhängen. Bitte einen Komplettscan mit Emsisoft machen, Logfile ebenso anhängen.

Share this post


Link to post
Share on other sites

Hallo

 

habe soeben mit meinem Auftraggeber telefoniert. Es kann also alles weg auf dem Rechner "Anmeldung". Aplle CD Brenner usw. Also keine Rücksicht daruaf nehmen, oder soll ich das alles bereites über Programme deinstallieren.

 

Hintergrund auch ändern da es ein Bild ist. okay?

Share this post


Link to post
Share on other sites

Hallo,

 

habe im Papierkorb ein paar unbekannt Sachen gefunden.

 

Können sie vielleicht der Auslöser gewesen sein???

 

Wie kann ich ihnen diese Daten schicken??

Share this post


Link to post
Share on other sites

Bitte noch nen frischen Scan mit Emsisoft und FRST machen, beide Logs anhängen. Die Dateien einfach in ein ZIP packen, mit Passwort, und hier anhängen.

Share this post


Link to post
Share on other sites

PC Anmeldung.

 

Im Papierkorb habe ich eine gelösche Email mit dem Anhang " more.mht gefunden.

 

Kann das der Auslöser gewesen sein. Ist vom 05.03.2013 das ist ungefähr das Datum das ich ermittelt habe für die Infektion.

 

Habe den Server auch erst übernommen.

Share this post


Link to post
Share on other sites

Anbei die Logs

Ein Sreenshot da mehrer Papierkörbe drin sind. Den letzten konnte ich nicht zippen. deshald der Sceenshot

 

ZIP File upload geht nicht.

 

Habe alle 3 Papierkörpe gezippt 80 MB

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.