Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Zeroaccess der üblen Art nach Neuinstallation weg?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.04.2013, 15:21   #1
pinkysworld
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Hallo,

leider bin ich mir nach einer Neuinstallation immer noch nicht sicher...ZeroAcess der üblen Sorte - OTL Log als Anhang.
Danke.

Alt 05.04.2013, 15:27   #2
aharonov
/// TB-Ausbilder
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Hi,

Zitat:
OTL Log als Anhang.
Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].
__________________

__________________

Alt 05.04.2013, 16:26   #3
pinkysworld
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Hi,

habe ich probiert - dann kam die Fehlermeldung bitte anhängen.

Ich liefere später noch mehr Infos über das elendige Viech - hat wirklich ein seltsames Verhalten.
Und das elendige Teil lernt...!
Echt finster...
__________________

Alt 05.04.2013, 16:37   #4
aharonov
/// TB-Ausbilder
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Hi,

Zitat:
dann kam die Fehlermeldung bitte anhängen.
Ok, dann packe die Logfiles bitte in ein zip-Archiv (nicht rar) und hänge sie an.
__________________
cheers,
Leo

Alt 05.04.2013, 16:42   #5
pinkysworld
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Ok - was mir auffällt ist das keine extras.txt erstellt wurde.

Ich hab ESETSirefefEVCleaner.exe zu anfangs laufen lassen und tatsächlich war nach ein paar läufen das Vieh vermeintlich weg.
Leider war es nicht so.
Sämtliche Server waren befallen...(bzw. sind noch?)


Alt 05.04.2013, 16:47   #6
aharonov
/// TB-Ausbilder
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Also du hast deine Festplatte komplett formatiert und danach Windows neu installiert, aber ZeroAccess soll weiterhin drauf gewesen sein?
Was hast du denn für Hinweise, dass das so ist? Gibt es Logs von Scannern, welche das untermauern?
__________________
--> Zeroaccess der üblen Art nach Neuinstallation weg?

Alt 05.04.2013, 17:07   #7
pinkysworld
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Ja, den MBR hab ich auch neu erstellt...

OTL hat bei den Zeroaccess check

Code:
ATTFilter
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
         
Aber kann auch normal sein...who knws.

Ich spüre einfach das auf dem Rechner was stinkt.

Die zeroaccess Ports sind geblockt und werden gedroppt - meine FW hat aber trotzdem ziemlich viele IPS Alerts und anderen Müll auf dem Monitor:

Die .25 ist der Rechner wo das OTL erstellt wurde - die Ports sind nicht normal:
Code:
ATTFilter
outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="180.190.220.99" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="47058"
/var/log/packetfilter.log:2013:04:05-12:19:04 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="78.213.74.91" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="48876"
/var/log/packetfilter.log:2013:04:05-12:19:04 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.1.200" proto="17" length="72" tos="0x00" prec="0x00" ttl="128" srcport="51510" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.1.200" proto="17" length="72" tos="0x00" prec="0x00" ttl="128" srcport="51510" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="180.190.220.99" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="47058"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="78.213.74.91" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="48876"
/var/log/packetfilter.log:2013:04:05-12:24:24 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="90" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:24 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="89" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:24 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="90" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:26 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="195" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:26 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="89" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:28 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="91" tos="0x00" prec="0x00" ttl="128" srcport="57846" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:28 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="94" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:28 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="97" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:28 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="279" tos="0x00" prec="0x00" ttl="128" srcport="25947" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:34 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="211" tos="0x00" prec="0x00" ttl="128" srcport="50110" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:40 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="159" tos="0x00" prec="0x00" ttl="128" srcport="50111" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:40 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="297" tos="0x00" prec="0x00" ttl="128" srcport="50111" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:40 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="220" tos="0x00" prec="0x00" ttl="128" srcport="50111" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:47 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="159" tos="0x00" prec="0x00" ttl="128" srcport="50112" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:24:47 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.2.197" proto="17" length="297" tos="0x00" prec="0x00" ttl="128" srcport="50112" dstport="53"
         
IPS Top 10 (snort)
Code:
ATTFilter
1	24094	APP-DETECT Teamviewer control server ping	Malware	23 834	99.67
2	19187	BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt	Malware	76	0.32
3	24304	DNS dead alive6 DNS attempt	Server / Misc / DNS	3	0.01
4	17567	SERVER-OTHER LANDesk Management Suite Alerting Service buffer overflow	Malware	1	0.00
         
Die Teamviewer activity kann gewollt sein - muss ich erst prüfen.

Noch am Rande - grundsätzlich ist die FW völlig Paranoid eingestellt.
Das gilt sowohl für den internen Traffic als auch den WAN -> LAN.

Die SD-Karte im slot war natürlich auch draußen bei jeden Neustart...

IP .200 ist die FW.
Neuinfektion vom LAN kann (fast) ausgeschlossen werden normalerweise. Grundsätzlich ist alles erstmal dropped im Netz.

Alt 05.04.2013, 18:46   #8
aharonov
/// TB-Ausbilder
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Hi,

Zitat:
Ja, den MBR hab ich auch neu erstellt...
Dann hat da wohl kaum was überlebt..
Wenn schon, dann hättest du dich neu infiziert.

Zitat:
OTL hat bei den Zeroaccess check
Aber kann auch normal sein...who knows.
I do. In dieser Sektion Zeroaccess Check ist weit und breit nichts Auffälliges zu sehen.

Zitat:
Ich hab ESETSirefefEVCleaner.exe zu anfangs laufen lassen und tatsächlich war nach ein paar läufen das Vieh vermeintlich weg.
Gibt es davon ein Log, was der entfernt haben will...?
Oder sonst irgendein Log, wo klare Hinweise darauf zu sehen wären?
__________________
cheers,
Leo

Alt 05.04.2013, 19:42   #9
pinkysworld
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Sorry hab noch nicht alle Infos zusammengetragen gehabt - hatte noch einiges zu erledigen.

Ja, ist durchaus unwahrscheinlich - aber nicht ausgeschlossen genau wie eine Neuinfektion - wenn dann weiß ich aber nicht wie ehrlich gesagt.

Auf einer VM hab ich das Teil noch und mal das Tool ausprobiert.
Zu anfangs hat es noch geklappt es auszuführen - ein paar mal neuzustarten und es meldete ein sauberes System.
Später auf einem anderen System (gleiche Bedingungen und Vorgehensweise).

Was auf einem anderen Server geklappt hat - roguekiller64 von tigzy starten und rödeln lassen er hat ein paar registry Einträge gefunden (siehe unten waren fast identisch).
Nach dem ausführen und löschen der Einträge habe ich unter c:\recycle-bin$ die SID Folder gelöscht die leider vorhanden waren (shift+entf).
Anschliessend reboot des Systems - danach liess sich etwas mit dem unten angebenen Tool bewirken (rechte Maustaste admin rechte).
Ohne ausführen von roguekiller und löschen der files hat es auch nichts bewirkt.


Ja von dem Tool gibt es das:

Code:
ATTFilter
    ....................................
  ..::::::::::::::::::....................
  .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Sirefef.EV
 .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 1.0.0.8
 .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Mar  1 2013
 .::EE:::::::::::::SS:.EE..........TT......
  .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.
  ..::::::::::::::::::....................    1992-2013. All rights reserved.
    ....................................

-------------------------------------------------------------------------------

INFO: OS: 6.2.9200 SP0
INFO: Product Type: Workstation
INFO: WoW64: True
INFO: Machine guid: 569BFEF4-6A5C-426C-92AE-533AED9FCABB 

INFO: Scanning for system infection...
-------------------------------------------------------------------------------

INFO: Detect: 1
INFO: Win32/Sirefef.EV found
INFO: Created non existing registry key [Software\Classess\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
INFO: Replaced value for registry key [Software\Classess\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
INFO: Old Value: 
INFO: New Value: %systemroot%\system32\wbem\fastprox.dll
INFO: Replaced value for registry key [CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]
INFO: Old Value: %SystemRoot%\system32\shell32.dll
INFO: New Value: %systemroot%\system32\shell32.dll
INFO: Created non existing registry key [Software\Classess\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]
INFO: Replaced value for registry key [Software\Classess\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]
INFO: Old Value: 
INFO: New Value: %systemroot%\system32\shell32.dll
INFO: Replaced value for registry key [CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
INFO: Old Value: %SystemRoot%\system32\shell32.dll
INFO: New Value: %SystemRoot%\system32\shdocvw.dll
INFO: Created non existing registry key [Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
INFO: Replaced value for registry key [Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]
INFO: Old Value: 
INFO: New Value: %SystemRoot%\system32\shdocvw.dll
INFO: services.exe appears to be clean
INFO: Attempting to remove malware files...
INFO: Successfully registered for start after reboot for services restoration.
INFO: Cleaning status: 2
INFO: Win32/Sirefef.EV was successfully removed from your system.
         
Code:
ATTFilter
    ....................................
  ..::::::::::::::::::....................
  .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Sirefef.EV
 .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 1.0.0.8
 .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Mar  1 2013
 .::EE:::::::::::::SS:.EE..........TT......
  .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.
  ..::::::::::::::::::....................    1992-2013. All rights reserved.
    ....................................

-------------------------------------------------------------------------------

INFO: OS: 6.2.9200 SP0
INFO: Product Type: Workstation
INFO: WoW64: True
INFO: Machine guid: 569BFEF4-6A5C-426C-92AE-533AED9FCABB 

INFO: Scanning for system infection...
-------------------------------------------------------------------------------

INFO: Win32/Sirefef.EV forced clean
INFO: services.exe appears to be clean
INFO: Attempting to remove malware files...
INFO: Cleaning status: 2
INFO: Win32/Sirefef.EV was successfully removed from your system.
INFO: Reboot canceled by user.
         
EDIT: Auf einigen Maschinen waren die Veränderungen ganz unterschiedlicher Art.

Zum Teil wurde die hosts verändert, bei einigen wird/wurde der Zugriff auf Systemdateien bzw. andere mit OTL vom "system" verweigert.
Ziemlich strange.

Der Traffic der Teilweise über das Netz versucht zu laufen ist auch seltsam.

Das ist auch nicht Normal - teilweise werden IPS alerts ausgelöst:

Code:
ATTFilter
outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="180.190.220.99" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="47058"
/var/log/packetfilter.log:2013:04:05-12:19:04 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="78.213.74.91" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="48876"
/var/log/packetfilter.log:2013:04:05-12:19:04 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.1.200" proto="17" length="72" tos="0x00" prec="0x00" ttl="128" srcport="51510" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="br0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="192.168.1.200" proto="17" length="72" tos="0x00" prec="0x00" ttl="128" srcport="51510" dstport="53"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="180.190.220.99" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="47058"
/var/log/packetfilter.log:2013:04:05-12:19:08 fw ulogd[4452]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="br0" outitf="ppp0" srcmac="f0:de:f1:63:cc:f2" dstmac="0:1a:8c:13:1e:58" srcip="192.168.1.25" dstip="78.213.74.91" proto="17" length="46" tos="0x00" prec="0x00" ttl="127" srcport="23919" dstport="48876"
         
Update Update:



Und:
Code:
ATTFilter
This email was sent by your Sophos UTM software to notify you that you have exceeded 110% of the user count for your license!

Licensed Users/IPs: 50
Counted  Users/IPs: 284

All additional users/ips except the ones listed below will be blocked.
A 10% tolerance has already been deducted.

Please contact your Sophos Partner or Sophos to upgrade your license.

Thank you,

   Sophos
   hxxp://www.sophos.com
        
ZR Main Firewall

-- 
System Uptime      : 3 days 20 hours 5 minutes
System Load        : 1.66
System Version     : Sophos UTM 9.005016

Please refer to the manual for detailed instructions.
         
FYI noch.

vor dem Reinstall habe ich im safe mode mit hijack this die ADS streams anzeigen lassen - auffällig (oder auch nicht ?!) waren hier tausende von file streams aus c:\anwendungsdaten\anwendungsdaten\anwendungsdaten...\anwedungsdaten...usw. (nicht physikalisch wiederholt - nur logisch).

Nach dem entfernen und reboot im normal mode war es zwar besser, aber immer noch kompromittiert.

Zitat:
Oder sonst irgendein Log, wo klare Hinweise darauf zu sehen wären?
Code:
ATTFilter
Farbar Service Scanner Version: 03-03-2013
Ran by admin (administrator) on 05-04-2013 at 21:01:21
Running from "C:\Users\admin\Downloads"
Windows 8 Enterprise N  (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Action Center:
============

Windows Update:
============
wuauserv Service is not running. Checking service configuration:
The start type of wuauserv service is set to Demand. The default start type is Auto.
The ImagePath of wuauserv service is OK.
The ServiceDll of wuauserv service is OK.


Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend: ""%ProgramFiles%\Windows Defender\MsMpEng.exe"".


Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys
[2013-04-01 07:08] - [2013-02-02 12:28] - 2226408 ____A (Microsoft Corporation) F4F78B7F39BD56BD0BFE4C4399398F6F

C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2013-04-01 07:07] - [2013-01-29 01:08] - 1555920 ____A (Microsoft Corporation) 905601FFF40D8DA9FA82CBE77D1F5EB1

C:\Program Files\Windows Defender\MsMpEng.exe
[2013-04-01 07:07] - [2013-01-29 03:57] - 0014920 ____A (Microsoft Corporation) 473B9548568BA927ACE0B77EC208A561

C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****
         

Geändert von pinkysworld (05.04.2013 um 20:01 Uhr)

Alt 05.04.2013, 21:52   #10
aharonov
/// TB-Ausbilder
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Hi,

ich hab im Moment absolut keinen Überblick über die Situation.

Wovon sprechen wir hier? Es sind Server? Von was denn? Wieviele sind betroffen?
Besteht hier ein gewerblicher oder kommerzieller Hintergrund (Windows Enterprise Edition)?
__________________
cheers,
Leo

Alt 06.04.2013, 00:03   #11
pinkysworld
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Hi,

ja kann ich nachvollziehen - geht ch mir ähnlich deswegen wusste ich mir auch keinen Rat mehr außer hier zu posten.
Erschwerend für dritte kommt noch hinzu das mir solche Erklärungen nicht leicht fallen.

Das ist mein Privat Notebook - die Lizenz ist von meinen Firmen Technet-Account.
Es sind meine Server - Privat Spielwiese (ja zugegeben läuft n Firmen-SQL drauf.
Da ist nix kommerzielles dahinter keine Sorge - so dreist wäre ich auch nicht...

Es betrifft nen Fileserver, das Notebook meiner Freundin, 4 oder 5 VM's mit dem dazugehörigen Host-System.

Alt 07.04.2013, 23:21   #12
aharonov
/// TB-Ausbilder
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Hi,

sorry, der Thread ist mir untergegangen.

Zitat:
Es betrifft nen Fileserver, das Notebook meiner Freundin, 4 oder 5 VM's mit dem dazugehörigen Host-System.
Und diese sind oder waren wirklich alle von ZeroAccess betroffen??
Hast du eine Ahnung, wie das passiert sein könnte? ZA breitet sich eigentlich nicht von selbst aus...
__________________
cheers,
Leo

Alt 07.04.2013, 23:23   #13
pinkysworld
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Ja, die waren/sind definitiv alle betroffen.

Wenn ich das wüsste würde ich nicht hier posten *schmerzverzerrt lachend*

EDIT:

Oder war etwa das System vielleicht infiltriert......?

Alt 07.04.2013, 23:30   #14
aharonov
/// TB-Ausbilder
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Zitat:
Ja, die waren/sind definitiv alle betroffen.
Zeitgleich? Hast du bei allen eine "Software" aufgespielt oder sowas in der Richtung?
Welche dieser betroffenen Systeme wurden denn schon komplett neu gemacht und scheinen danach immer noch infiziert zu sein, wie du es erwähnt hast?

Zitat:
Oder war etwa das System vielleicht infiltriert......?
Welches System meinst du?
__________________
cheers,
Leo

Alt 07.04.2013, 23:35   #15
pinkysworld
 
Zeroaccess der üblen Art nach Neuinstallation weg? - Standard

Zeroaccess der üblen Art nach Neuinstallation weg?



Alle.
Naja Windows...aber sind iso's vom TN.

Das ist die Frage woher - ich hab ne Firewall - war nur ein Gedanke. Ich ändere aber meine Passwörter regelmäßig.
18 Zeichen lassen sich nicht mehr merken - und ich tippe die gar nicht mehr ein so Paranoid bin ich mittlerweile...nur KeePass.

Antwort

Themen zu Zeroaccess der üblen Art nach Neuinstallation weg?
log, neuinstallation, otl log, zeroaccess



Ähnliche Themen: Zeroaccess der üblen Art nach Neuinstallation weg?


  1. Soundprobleme nach Neuinstallation
    Alles rund um Windows - 14.01.2014 (11)
  2. Nach BKA-Einsatz: ZeroAccess-Botnetz streicht die Segel
    Nachrichten - 20.12.2013 (0)
  3. Nach ZeroAccess-Befall Test des Zweitgerätes
    Log-Analyse und Auswertung - 10.02.2013 (9)
  4. Nach ZeroAccess-Infektion Problem mit Bereinigung
    Plagegeister aller Art und deren Bekämpfung - 26.11.2012 (3)
  5. ZeroAccess Rootkit auf Win XP PC - weitere Rechner befallen? Komplette Neuinstallation geplant..
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (8)
  6. Konten bei Banking per Starmoney nach rootkit / ZeroAccess-Befall sperren?
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (10)
  7. Nach ZeroAccess PC neuaufgesetzt - jetzt clean?
    Log-Analyse und Auswertung - 28.02.2012 (1)
  8. MBR Check nach Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 13.01.2012 (9)
  9. Nach BKA/Ukash und ZeroAccess Bereinigung kein Netzwerk mehr
    Plagegeister aller Art und deren Bekämpfung - 27.12.2011 (5)
  10. Neuinstallation nach Virusbefall - was tun?
    Plagegeister aller Art und deren Bekämpfung - 05.09.2011 (11)
  11. Fehlermeldung nach Neuinstallation
    Alles rund um Windows - 01.07.2011 (8)
  12. 1.HJT-Log nach XP-Neuinstallation
    Log-Analyse und Auswertung - 20.05.2009 (5)
  13. neuorganisation nach neuinstallation
    Alles rund um Windows - 01.12.2008 (39)
  14. Nachprüfung nach Neuinstallation
    Log-Analyse und Auswertung - 28.09.2008 (2)
  15. Üblen Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 13.03.2006 (10)
  16. nach Neuinstallation
    Alles rund um Windows - 10.07.2005 (6)
  17. Monitorproblem nach Neuinstallation
    Netzwerk und Hardware - 17.12.2004 (4)

Zum Thema Zeroaccess der üblen Art nach Neuinstallation weg? - Hallo, leider bin ich mir nach einer Neuinstallation immer noch nicht sicher...ZeroAcess der üblen Sorte - OTL Log als Anhang. Danke. - Zeroaccess der üblen Art nach Neuinstallation weg?...
Archiv
Du betrachtest: Zeroaccess der üblen Art nach Neuinstallation weg? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.