Hallo miteinander,

ich habe zunächst einmal eine allgemeine Anfrage bezüglich der Prüfung einer Festplatte auf Bootsektorviren. Diese soll an einem anderen System überprüft werden. Die Hauptfrage ist, wie dies beispielsweise mit GMER durchgeführt werden kann (die Beschreibungen, die ich gesehen habe betreffen immer das lokale noch laufende System)

Zur Einschätzung des konkreten Falls noch weitere Informationen vorab:

Hintergrund ist, dass es sich um ein Windows 2003 SBS-System handelt, das nicht mehr startet - auch nicht im abgesicherten Modus. Checkdisk ergab keine Fehler, konnte aber auch nur von einem externen System gemacht werden, da die Windows Server Installations-CD bereits beim booten mit Stopfehler 0x0000007B Erweiterte Problembehandlung bei "Stop-Fehlercode 0x0000007B (INACCESSIBLE_BOOT_DEVICE)"-Fehlern in Windows XP anhält.

Es handelt sich bei dem System in der Tat um ein Raid 1-System mit einem Onboard-Controller von Fujitsu (LSI SAS MegaRAID Controller eines TX150), insofern ist durchaus möglich, dass der Stop-Fehler in dem Fall auch durch einen Fehlenden Controller-Treiber, der mit F6 einzubinden wäre, verursacht wird.

Der Server musste schon länger nicht mehr neu gestartet werden, allerdings wurde kurz zuvor Malewarebytes Anti-Maleware durchgeführt und auf dem Server wurden prompt 4 Einträge gefunden, allerdings 3 auf User-Netzlaufwerken und einer im Exchange:

Code: Alles auswählenAufklappen

ATTFilter

D:\Eigene Dateien\***\Software\Tools\DRIVE_IMAGE_501\DriveImage 6.0\UTILITY\WINDOWS\wipehead.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Programme\Exchsrvr\MDBDATA\E00008ED.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\UserDateien_SharedFolder\***\begruendungshilfen.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\***\Sicherheit duldet keinen Wettbewerb.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         

Wäre für weiteren Rat sehr dankbar, was für Vorgehensweisen ihr vorschlagt - ein kompletter Klon des Systems wurde auf eine neue Festplatte gezogen, allerdings sollte das Serverbetriebssystem wieder zügig in den Einsatz kommen und dies mit hoffentlich möglichst wenig Aufwand (relativ).

Herzlichen Dank für eure Hilfe!

Hallo,

Zitat:

Der Server musste schon länger nicht mehr neu gestartet werden

Bitte diese Hinweise lesen:

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Es handelt sich in der Tat um ein Kleinunternehmen. Es hat sich gezeigt, dass der beschriebene Stopfehler vom fehlenden Raid-Controller-Treiber verursacht wurde. Nach Einbindung dessen ist die Reparaturinstallation von Windows 2003-Server problemlos durchgelaufen und der Server läuft wieder.
Nichtsdestotrotz würde mich die Einschätzung und eine mögliche weitere Vorgehensweise interessieren abseits des sehr aufwendigen Neuaufsetzens der kompletten Systeme (mir ist grundsätzlich bewusst, dass nur dies eigentlich vollständige Sicherheit schafft und ich möchte es mir nicht leicht machen), zumal dort auch zu beachten ist, dass 3 der Funde innerhalb der Datenbestände sind, die grundsätzlich übernommen auch beim Neuaufsetzen übernommen werden sollten.

Schau dir die Funde mal an:

Zitat:

D:\Eigene Dateien\***\Software\Tools\DRIVE_IMAGE_501\DriveImage 6.0\UTILITY\WINDOWS\wipehead.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Stammt aus welcher Quelle?
Wird da noch DriveImage eingesetzt?

Zitat:

D:\Programme\Exchsrvr\MDBDATA\E00008ED.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Ist kein Schädling sondern nur extension mismatch

Zitat:

D:\UserDateien_SharedFolder\***\begruendungshilfen.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\***\Sicherheit duldet keinen Wettbewerb.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt

.

Was sollen das für Programme sein, wer nennt sein Programm "begruendungshilfen" oder "Sicherheit duldet keinen Wettbewerb"? Sieht stark nach Müll aus