Trojanerseuche

    Hallo liebes PPF-Team,


    habe ein größeres Problem mit einem oder mehreren Trojanern. Nachdem mein Chef ausversehen einen solchen installiert hat, bekommen wir diese(n) einfach nicht mehr in den Griff. Habe zuerst mit Adaware, Spybot und dem AVG-Virenscanner versucht die Dinger loszuwerden. Leider ohne Erfolg. Nun bin ich eurer Anleitung zur Entfernung gefolgt und habe zunächst den CCleaner, anschließend Malwarebytes und zu guter letzt Windowsscan laufen lassen.
    Hinzufügen muss ich noch, dass ständig der AVG-Shield aufgeht und einen Trojaner meldet. Dieser sitzt unter C:\Windows\system32\pphc71aj0ene3.exe
    Der "Heal"-Button hat keinerlei Effekt ebenso der Versuch diese Datei von Hand zu löschen.


    Nun die Logfiles:


    Malware:


    Malwarebytes' Anti-Malware 1.26
    Datenbank Version: 1103
    Windows 5.1.2600 Service Pack 2


    02.09.2008 13:04:49
    mbam-log-2008-09-02 (13-04-49).txt


    Scan-Methode: Vollständiger Scan (C:\|)
    Durchsuchte Objekte: 72370
    Laufzeit: 28 minute(s), 10 second(s)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 2
    Infizierte Registrierungswerte: 3
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 7
    Infizierte Dateien: 16

    Einmal editiert, zuletzt von Volkmar ()

    Ok das Logfile ist dermaßen lang, dass es nicht auf einmal gepostet werden kann. Nun ist guter Rat teuer. Kann es natürlich auf mehrere Posts verteilen. Ist dies sinnvoll?
    Bei dem Rest handelt es sich um eine ewig lange Liste von Homepageadressen usw.


    Hier erstmal das Logfile von HiJackThis:


    Logfile of HijackThis v1.99.1
    Scan saved at 13:52:27, on 02.09.2008


    Vielen Dank für eure Hilfe!!!

    Einmal editiert, zuletzt von Volkmar ()

    Hallo Markus,


    habe das Combofix-Log erstellt:


    ComboFix 08-09-01.01 - server 2008-09-02 15:00:05.1 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.406 [GMT 2:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\server\Desktop\ComboFix.exe
    * Neuer Wiederherstellungspunkt wurde erstellt


    Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
    .

    Einmal editiert, zuletzt von Volkmar ()

    hi folgende dateien überprüfen
    C:\WINDOWS\system32\Cpl32ver.exe
    C:\WINDOWS\system32\drivers\tcpsr.sys
    C:\WINDOWS\system32\11.tmp
    C:\WINDOWS\system32\ejbkftn32.dll
    einfach den pfad bei der folgenden seite eingeben und auf absenden wenn steht datei bereits analysiert erneut prüfen klicken.
    poste die ergebnisse.
    http://www.virustotal.com/de/ - 9k -
    sichert schon mal alle daten nehmt den rechner vom netz alle passwörter sind als bekannt einzustufen und von einem andern rechner aus zu endern. wenn ihr onlinegeschäfte betreibt endert dort auch alle passwörter. die scanergebnisse möchte ich trotzdem es kann sein das wir dateien davon benötigen um sie weiteren untersuchungen zuzufüren

    Hallo Markus,


    Datei ejbkftn32.dll empfangen 2008.09.02 16:08:56 (CET)
    Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt



    Ergebnis: 4/35 (11.43%)


    Antivirus Version letzte aktualisierung Ergebnis
    AhnLab-V3 2008.9.3.0 2008.09.02 -
    AntiVir 7.8.1.23 2008.09.02 -
    Authentium 5.1.0.4 2008.09.02 -
    Avast 4.8.1195.0 2008.09.02 -
    AVG 8.0.0.161 2008.09.02 -
    BitDefender 7.2 2008.09.02 Trojan.FakeAlert.ABZ
    CAT-QuickHeal 9.50 2008.08.29 -
    ClamAV 0.93.1 2008.09.02 -
    DrWeb 4.44.0.09170 2008.09.02 -
    eSafe 7.0.17.0 2008.09.01 -
    eTrust-Vet 31.6.6064 2008.09.02 -
    Ewido 4.0 2008.09.02 -
    F-Prot 4.4.4.56 2008.09.02 -
    Fortinet 3.14.0.0 2008.09.02 -
    GData 19 2008.09.02 -
    Ikarus T3.1.1.34.0 2008.09.02 -
    K7AntiVirus 7.10.437 2008.09.02 -
    Kaspersky 7.0.0.125 2008.09.02 -
    McAfee 5374 2008.09.01 Cutwail.dll
    Microsoft 1.3807 2008.09.02 -
    NOD32v2 3407 2008.09.02 -
    Norman 5.80.02 2008.09.02 -
    Panda 9.0.0.4 2008.09.02 -
    PCTools 4.4.2.0 2008.09.02 -
    Prevx1 V2 2008.09.02 Cloaked Malware
    Rising 20.60.11.00 2008.09.02 -
    Sophos 4.33.0 2008.09.02 -
    Sunbelt 3.1.1592.1 2008.08.30 Backdoor.Win32.IRCBot.gen
    Symantec 10 2008.09.02 -
    TheHacker 6.3.0.8.069 2008.09.01 -
    TrendMicro 8.700.0.1004 2008.09.02 -
    VBA32 3.12.8.4 2008.09.02 -
    ViRobot 2008.9.2.1361 2008.09.02 -
    VirusBuster 4.5.11.0 2008.09.02 -
    Webwasher-Gateway 6.6.2 2008.09.02 -



    Die Datei "C:\WINDOWS\system32\11.tmp" hat 0 bytes und kann deshalb nicht hochgeladen werden.


    Die Datei "C:\WINDOWS\system32\Cpl32ver.exe" existiert nicht. Zumindest ist sie im System32 Ordner nicht mehr zu finden und hochladen kann ich sie auch nicht.
    Dasselbe gilt für die Datei "C:\WINDOWS\system32\drivers\tcpsr.sys"

    hi,
    besuche diese seite:
    Link http://www.ppf-malware-upload.de.be/
    lade dort die gescannte datei hoch. dann rechner vom netz daten sichern formatieren und neu aufspielen bitte sp3 und internet excplorer 7 ein antivirenprogramm drauf un hier melden mit dem neuen hijackthis log.
    p.s. bitte schreibe beim hochladen als betreff deinen usernamen hin danke

    Hi Markus,


    wie im Forum gebeten habe ich dir die gewünschte Datei hochgeladen.
    Wann ich diesen Rechner neu aufsetzen kann weiß ich noch nicht, da ansonsten der gesamte Betrieb lahm gelegt wird. Melde mich aber dann wieder im Forum.


    Vielen Dank für deine Unterstützung
    Steffen

    hi, aber wenigstens vom internet trennen, du hast backdoors diese könnten eure firmengeheimnisse ausspionieren auch wenn ihr onlinebanking betreibt informiert eure bank! und eine reinigung dauert lang und bei backdoors eh nie 100 % sicher und bei irmenrechnern nicht zu empfehlen. wenn du wieder da bist sage ich dier wie ihr euren rechner besser absichern könnt

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden