Hallo Zusammen

Ich versuche mal mein Problem zu schildern an dem ich schon seit dem 7.12
am kämpfen bin, und hoffe mir kann jemand bei dem Übel helfen

Am 7.12.2006 habe ich festgestellt, dass von über 8 GB Dokumente auf dem Server, 81 Stück Morgends in der Zeit von 7:41 - 7:43 zu Dateiname.xls.exe (auch Doc´s und Works Dokumente) umgeschrieben wurden.
Diese befallenen Dateien haben meines Erachtens keine Gemeinsamkeit, sprich
es sind neue Dokumente aus diesem Monat betroffen, Doc´s aus 2001 und auch aus verschiedenen Ordnern, wobei aus Ordnern nicht alle Dateien betroffen sind, sondern mal eine Datei von 100, in einem anderen Ordner 3 Dateien von 50 Doc´s und auch dateien die schon seit 4 Jahren auf der Festplatte verstauben sind und seit dem nicht mehr angepackt wurden.
Das Dateisymbol ändert sich nach dem infect zu einem "Vorhängeschloss mit einem roten Kreuz", dieses Symbol ist auf der folgenden Website als Beispiel-infektion angezeigt, daher gehe ich davon aus, dass diese Site nicht vertrauenswürdig ist.

Beim Aufruf dieser Infizierten Datei öffnet der Internetbrowser mit der url: http://www.curepcsolutions.com/CPS.File.Recovery.html


Seit dem 7.12 ist auch bis Heute nichts mehr passiert, sofortiger Scan meldete ausser Cookies kein Infect.
Das Ergebnis mit Online Scan von Jotti´s und Virustotal der *.xls.exe ergab folgendes:

Virustotal:
Norman 5.80.02 12.12.2006 W32/Cups.A
Panda 9.0.0.4 12.12.2006 Adware/SpySheriff

Jotti´s
Norman Virus Control W32/Cups.A gefunden

Trendmicro ist im Netz als Virenschutz auf dem Server installiert, die Clients ebenso.
Die Datei wurde bereits an Trendmicro weitergeleitet, die immer noch per case
analysiert wird. Trendmicro hat diese Datei als ADW_SPYSHERIF.AK deklariert.
Trendmicro hat nach dem SICLOG noch die Datei "C:\WINDOWS\system32\rcssrv.exe" zur Überprüfung angefordert, diese ist nach heutiger Nachricht von Trendmicro clean.

Meine Ergebnisse:

Die Größendifferenz der Datei nach der Infektion ist exact 9.216 Bytes, die ist bei allen befallenen Dateien identisch.

Bei den infizierten dateien ist das Erstellungsdatum, der Infektionszeitpunkt.

Beim googlen nach den W32/Cups.A und ADW/SpySheriff erhielt ich leider keine Ergebnisse, "toll mann hat was, und hat doch nichts"

Das Problem ist seit dem 7.12 nicht mehr aufgetreten.

Die Hardware-Firewall ist von Checkpoint, und alle Ports sind Standardmäßig geblockt.

MS Update ist Automatisiert und installiert Nachts automatisch.

SW Schutz besteht durch Adaware und Trendmicro.

Keine anderer Auffälligkeiten.

Und ich bin mir Sicher, dass Netzintern keiner einen streich spielen will und dieses händisch veranlasst hat.



Nun irgenetwas was im Server sitzt, infizierte rein zufällig 81 xls, doc und wdb Dateien (andere MS Dokumente wurden bisher nicht infiziert) und ich habe bisher keine Ahnung was dafür verantwortlich ist.
Ist natürlich toll wenn mann nicht weiss ob irgendwann wieder Dokumente befallen werden, gleich, Morgen oder nächste Woche.


Hat mal jemand damit zu tun gehabt ????, für jeden "Strohalm" wäre ich dankbar.


Viel geschrieben und doch wohl kaum verwertbares



Dank und Gruß
dstfrank

Zitat:

es sind neue Dokumente aus diesem Monat betroffen, Doc´s aus 2001 und auch aus verschiedenen Ordnern, wobei aus Ordnern nicht alle Dateien betroffen sind, sondern mal eine Datei von 100, in einem anderen Ordner 3 Dateien von 50 Doc´s und auch dateien die schon seit 4 Jahren auf der Festplatte verstauben sind und seit dem nicht mehr angepackt wurden.

Habt ihr denn keine Sicherung/Archivierung dieser anscheinend hochwichtigen (alten) Dokumente? Oder ist das Backupkonzept gar inexistent?

AFAIR gibt es da zumindest einen Schädling, der die Platten nach sämtlichen (Word-)Dokumenten durchsucht und diese verschlüsselt - Entschlüsselung nur nach Bezahlung.
Hab jetzt aber den Namen dieses Schädlings vergessen...möglicherweise ist es ein ähnlicher wie nach dieser Beschreibung.

Erstell mal von dem betroffenen Server ein Hijackthis-Logfile und poste es.
M.E. solltest du dich auf ein Komplettbackup des Servers (Systemimage des jetzigen Zustands) und einem Neuaufsetzen einrichten - gerade bei Servern sollte man das Risiko die eine Bereinigung mit sich bringt (man kann Schädlinge übersehen!) lieber nicht in Kauf nehmen.
Danach kann man ja wenn man Lust und Zeit hat etwas Forensik betreiben und das Systemimage genauer untersuchen...

Danke für die Info

hijackthis Log stelle ich morgen ein, wenn ich wieder am Server sitze.
Das Backupkonzept hat gehalten, alle Daten sind zurückgesichert, bei 81 Dateien
in verschiedenen Ordnern ist dies jedoch mit Zeit und Ärger verbunden.

Trendmicro tendiert nun nach Auswertung des Log für einen einmaligen Angriff, mit ruhigem Gewissen kann ich mich damit nicht wirklich abfinden.
Daher bin ich hin und her gerissen ein Adventswochenende zum Neuaufsetzen zu
opfern, aber was nützt mich das, wenn das Problem von einer Workstation kommt die auf die Daten in einer Freigabe zugreifen kann.
Ist nicht toll, nicht zu wissen was man sucht.
Die WS sind nach Scan alle clean, wie der Server.
Als Problem wird ausschließlich das infizierte Dokument gefunden, dies ist in einer Freigabe auf dem Server. Sche.. Spiel.

Hat jmd. denn während der Infektionszeit mit ner Workstation gearbeitet?
Möglich wäre ja auch, dass einer mit seiner vllt doch verseuchten Kiste ins Netzwerk gegangen ist und der Schädling die Dateien auf dem Server ändern konnte, da dorthin Schreibzugriff erlaubt war bzw. immer noch ist (ist ja auch gewollt oder?). Dann liegen diese manipulierten Worddateien also nur auf dem Server, wurden aber noch nicht vom Server ausgeführt oder?
Ich bin mir unsicher, ob der Server nun infiziert ist oder nicht.
Ist der Server vom Internet aus erreichbar? Oder wird von der Checkpoint-Firewall wirklich alles geblockt?

An einer WS wurde zu der Zeit gearbeitet, jedoch nicht im Dokumentenverzeichis des Servers und der Rechner ist auch clean gewesen.
Ein Fremdrechner wurde nicht ins Netz genommen, desweiteren vergibt der DHCP nur bekannten Mac Adressen eine IP.
Eine befallene Finanz-File hat nur meinereiner, Chef und der Buchhalterin vollzugriff, die Personen mit den Berechtigungen waren zu dieser Zeit noch nicht in der Firma.
Die Dateien wurden auf dem Server nicht ausgeführt, hat ja auch kein Office drauf.
Firewall ist ausser VPN alles geblockt, RAS Anmeldeversuch in dieser Zeit auch negativ.
Meine Eltern haben mir früher immer gesagt ich soll was vernünftiges lernen, so langsam verstehe ich die Worte

Hier noch das Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:29:05, on 14.12.2006
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\grovel.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
C:\Programme\Symantec\Ghost\ngserver.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\Trend Micro\OfficeScan\PCCSRV\web\service\ofcservice.exe
C:\WINDOWS\system32\rcssrv.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Trend Micro\OfficeScan\PCCSRV\Web\Service\DbServer.exe
C:\Programme\Trend Micro\OfficeScan\PCCSRV\Web\Service\NSAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tftpd.exe
C:\WINDOWS\System32\wins.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec\Ghost\bin\dbserv.exe
C:\Programme\Symantec\Ghost\bin\rteng6.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
D:\Daten\Dokumente\ksk\ZVLIGHT\PRG\ZBASE32.EXE
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programme\Trend Micro\OfficeScan Client\PCCNTMON.EXE
C:\Programme\VERITAS\Backup Exec\NT\BkupExec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\inetsrv\w3wp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Trend Micro Anti-Virus Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ulutil2.dll,SetWriteBack
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [NGServer] C:\Programme\Symantec\Ghost\ngserver.exe
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
O4 - Startup: klickTel Herbst 2005 - Schnellstarter.lnk = Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE
O4 - Startup: Verknüpfung mit ipap.exe.lnk = D:\Install\IAP\ipap.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ZV-light-Datenbankserver.lnk = ksk\ZVLIGHT\PRG\ZBASE32.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://****:4343/officescan/console/html/AtxEnc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128432564685
O16 - DPF: {69B502DF-D12F-4FD7-9892-D8DFA2D96474} (OfficeScan Management-Konsole) - https://****:4343/officescan/console/html/AtxConsole.cab
O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - https://*****:4343/officescan/console/html/AtxPie.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.*****.local
O17 - HKLM\Software\..\Telephony: DomainName = domain.****.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{58FF48D8-2657-4E9D-AB8B-F68F2D983CEA}: NameServer = 192.168.4.1,217.237.150.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFEA6FAA-6348-4B44-B6DB-6C8F45482302}: NameServer = 192.168.4.1,217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domain.*****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domain.*****.local
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec New Zealand Limited - C:\Programme\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec New Zealand Limited - C:\Programme\Symantec\Ghost\ngserver.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScan Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan\PCCSRV\web\service\ofcservice.exe
O23 - Service: RAID Configuration Service (RAIDService) - Unknown owner - C:\WINDOWS\system32\rcssrv.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: UPSMAN Service (UPSMAN) - Quazar/Generex - C:\PROGRAMME\UPS\UPSMAN\upsman.exe

PS: Die tftpd.exe ist clean und entspricht dem Server Installationsdatum.

Dem Logfile nach dürfte der Server sauber sein. Genauer beobachten würde ich das ganze aber schon noch. Sagt dir das Tool FileMon von Sysinternals (gehört jetzt zu MS) etwas?
Lässt sich irgendwie nachvollziehen, von welcher Kiste diese manipulierten Dokumente stammen, wenn sie eben der Server nicht selbst angelegt hat? So hätte man noch einen Anhaltspunkt, besser als alle Clients und Server nach Schädlingen zu durchsuchen.

Hallo!

Ich hatte heute dasselbe Problem. Es waren ca. 80 Dateien am Netzlaufwerk betroffen. Laut mcafee ist das Problem dieser CurePcSolution Scanner, dieser verschlüsselt verseuchte Dateien(stellt sie unter Quarantäne) und wenn man die Dateien wieder entschlüsseln möchte dann bitte kauf die Vollversion.......

Leider konnte ich auf keinem Server oder Workstation dieses ScanProgramm finden bzw. ist in der History nie ein solches Programm aufgetaucht...
Darum bin ich noch immer skeptisch ob dies wirklich von diesem CPS-Scanner kommt, sondern von einem Virus/Trojaner...

Am Tag der Infektion wurden folgende Viren entdeckt:

xpladv557[1].wmf Exploit-WMF (Trojanisches Pferd)
new557[1].htm VBS/Psyme (Trojanisches Pferd)
slide557[1].htm JS/Exploit-BO.gen (Trojanisches Pferd)

Finde bei den Beschreibungen der Viren aber keine Routine die aus doc und xls exe macht...

Die von mcafee raten mir mich an CPS zu wenden. Werd ich dann auch wohl tun...
...es gibt immer was zu tun ...
glg hardy22

nachtrag...

auf dieser www.curepcsolutions.com Seite gibst weder email noch telefon...sehr verdächtig..

frage mich wer jetzt diese verseuchten Dateien wiederherstellen kann...
Natürlich habe ich alle schon restored aber woher kommen sie und wohon gehen sie.
glg hardy22

Dies ist sicherlich ein Fake, wer ein Fix haben will muß seine Kreditkartendaten an diese Dubiose Firma übermitteln.
Ist ja sicherlich schön dass so langsam die befallenen Dateien in einigen Scannern gefunden werden, jedoch meines Wissens kann niemand diese reparieren oder eliminieren. Ich stelle mir die Frage warum anti Spyware Software
gekauft und installiert wird, wenn diese auch nach bekannt werden der Schädlinge nur Namen dafür vergeben

Norman hat das Problem gelöst.

Der Virus (W32/Cups.a) wird erkannt und entfernt danach ist noch ein "hülle" der ehemals versäuchten Datei vorhanden (mit dem gleichen namen).

Norman hat ein Recovery Patch entwickelt namens (cupsdec.exe)
Diese Datei kopiert man in den Ordner an dem die "Hüllen" liegen.
Dann zieht man eine "Hülle" nach der andern auf die Datei cupsdec.exe, im nu sind dann alle .doc .xls .pdf wiederhergestellt.

Die Datei ist immoment aber noch nicht im Web erhältlich. Meldet euch doch im Norman Support die werden euch helfen.

Viel Erfolg