Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Malware oder rootkit? was tun?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.04.2010, 13:28   #1
Leuchtparka
 
Malware oder rootkit? was tun? - Standard

Malware oder rootkit? was tun?



Hallo alle zusammen,

gestern nachmittag sind in unserem Büro kurz nacheinander zwei Notebooks ausgestiegen.
Ich bekam eine Messagebox "Windows must now restart because DCOM Server Process Launcher service terminated unexpected..."

Eine zweite mit Mcshield.exe -Application Error
(Irgendwas mit ner Speicheradresse)

Nach einem Countdown von 60 Sekunden fuhren die Rechner runter.

Nun kann nicht mehr auf das Netzwerk zugegriffen werden. Es werden keine Netzwerkverbindugen angezeigt. Keine zugewiesene Ip usw.

USB Laufwerke werden nicht erkannt. (es sei denn, sie sind vor dem booten eingesteckt)

Programme nicht geöffnet. Bei einem ist kein Zugriff mehr auf die Taskleiste möglich.
Neustart mit "Diagnostik startup" ist nicht möglich.

ich bin mit meinem Latein am Ende. Ich hoffe ihr könnt mir helfen

hier mal das Logfile von HijackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:20, on 22.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\mfevtps.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6173\SiteAdv.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6173\SiteAdv.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - hxxp://intranet.grupolar.com/activex/scriptx/ScriptX.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - hxxp://picasaweb.google.de/s/v/51.26/uploader2.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} (Cisco AnyConnect VPN Client Web Control) - https://larssl.zertia.es/CACHE/webvpn/stc/1/binaries/vpnweb.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227170188287
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = grupolar.com
O17 - HKLM\Software\..\Telephony: DomainName = grupolar.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = grupolar.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = grupolar.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = grupolar.com
O23 - Service: Cryptographic Services (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: DCOM Server Process Launcher (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: Remote Procedure Call (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe

--
End of file - 4918 bytes
         
Irgendwelche Vorschläge?

Gruß
Leuchtparka

Alt 22.04.2010, 21:28   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware oder rootkit? was tun? - Standard

Malware oder rootkit? was tun?



Hallo und

Zitat:
gestern nachmittag sind in unserem Büro kurz nacheinander zwei Notebooks ausgestiegen.
Was sagt denn die EDV-Abteilung dazu, oder bist Du der Admin oder einer aus der EDV?
Was spricht dagegen, die Notebooks sauber neu aufzusetzen? Ist u.U. deutlich schneller als tagelanges rumgesuche, immerhin in einer Firmenumgebung will man nicht unbedingt die Verantwortung für des Restrisiko nach einer offensichtlich geglückten Bereinigung tragen...

Aber da fällt mir noch das ein, wo ich in Deinem sauberen Log McAfee entdecke => heise online - Signatur-Update von McAfee macht Windows-PCs unbenutzbar [Update]
__________________

__________________

Alt 22.04.2010, 21:41   #3
Leuchtparka
 
Malware oder rootkit? was tun? - Standard

Malware oder rootkit? was tun?



Hi Arne,

wir sind nur ein kleines Büro mit 6 Mitarbeitern. Die Mutterfirma hat ihren Sitz in Madrid. Und somit auch die EDV Abteilung. Ausserdem sprechen die extrem schlecht englisch. Besonders fit sind die bisher auch nicht gewesen. Und da nix mehr mit Netzwerkverbindung funktioniert bei den beiden Kisten, tun die sich da echt schwer.

Software hab ich auch keine, die liegt in Spanien. Regelmäßige Backups gibts auch nicht. Weil eine externe HD für soetwas ja auch unerschwinglich ist

Aber ich bin mir sicher, in Zukunft bekomme ich bestimmt etwas mehr Gehör wenn ich um Sicherungsmaßnahmen bitte

Danke für den Link. Ist ja echt der Hammer was sich McAfee da erlaubt hat
Werde ich morgen mal ausprobieren.

Gruß
Timo
__________________

Alt 23.04.2010, 09:45   #4
Leuchtparka
 
Malware oder rootkit? was tun? - Standard

Malware oder rootkit? was tun?



Hallo,

vielen Dank für die schnelle Hilfe. Alles ist wieder gut. Und sogar unsere spanischen IT-Leute sind noch irgendwann darauf gestossen

Gruß
Timo

Alt 23.04.2010, 12:28   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malware oder rootkit? was tun? - Standard

Malware oder rootkit? was tun?



Also lags an McAfee?
Sowas ist zwar echt ärgerlich, kommt aber immer wieder vor, dass Fehlalarme den Rechner nicht mehr benutzbar machen, sollte man beim Einsatz eines Virenscanners im Hinterkopf behalten

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Malware oder rootkit? was tun?
adobe, bho, booten, cs3, down, error, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malware, netzwerk, nicht geöffnet., performance, proxy, rootkit, rootkit?, sekunden, server, siteadvisor, software, system, taskleiste, was tun, windows, windows xp



Ähnliche Themen: Malware oder rootkit? was tun?


  1. viren befall ?? oder malware oder unerwuenschte software ?? oder ....
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (6)
  2. Rootkit oder Malware?
    Alles rund um Mac OSX & Linux - 20.01.2015 (4)
  3. Rootkit oder RAT
    Mülltonne - 15.06.2014 (1)
  4. Rootkit/ Malware Befall
    Plagegeister aller Art und deren Bekämpfung - 03.10.2012 (7)
  5. Rootkit bei Malware scan gefunden
    Log-Analyse und Auswertung - 17.08.2012 (1)
  6. Malware oder Viren oder Trojaner Schutz..Begriffverwirrung
    Antiviren-, Firewall- und andere Schutzprogramme - 12.07.2012 (1)
  7. Rootkit gefunden, Malware Infektion?
    Log-Analyse und Auswertung - 15.06.2011 (27)
  8. click.GiftLoad oder TR/Crypt.XPACK.Gen2 oder Rootkit.TDSS.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  9. Gmer.exe findet Rootkit/Malware
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (5)
  10. Habe ich einen Virus oder Malware oder sonstiges auf dem Rechner?
    Log-Analyse und Auswertung - 15.08.2010 (23)
  11. Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?
    Log-Analyse und Auswertung - 06.03.2010 (41)
  12. Rootkit oder Sonstiges auf dem PC?
    Log-Analyse und Auswertung - 20.02.2010 (2)
  13. rootkit oder nichts ernstes?
    Mülltonne - 29.12.2008 (2)
  14. Trojaner,Rootkit,Malware und Virus
    Log-Analyse und Auswertung - 26.11.2007 (3)
  15. backdoor oder rootkit ?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2007 (11)
  16. RootKit oder Trojaner Hilfe
    Log-Analyse und Auswertung - 28.02.2007 (1)
  17. Rootkit oder Fehler der Tools?
    Plagegeister aller Art und deren Bekämpfung - 30.06.2005 (2)

Zum Thema Malware oder rootkit? was tun? - Hallo alle zusammen, gestern nachmittag sind in unserem Büro kurz nacheinander zwei Notebooks ausgestiegen. Ich bekam eine Messagebox "Windows must now restart because DCOM Server Process Launcher service terminated unexpected..." - Malware oder rootkit? was tun?...
Archiv
Du betrachtest: Malware oder rootkit? was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.