Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.06.2010, 12:05   #1
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Böse

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Hallo,

ich habe mich jetzt hier einmal angemeldet, weil ich mit meinem Latein am Ende bin. Mein Windows2003 Server hat sich diesen Virus eingefangen, den ich bisher nicht loswerde. Nach dem Start sehe ich immer eine verdächtige Exe als Systemprozess laufen. Der Name ist immer unterschiedlich. Bei Virustotal erkennen nur zwei Scanner das File als Virus/Malware. Mc-Affee nennt das File: Heuristic.BehavesLike.Win32.Trojan.H
Ich habe bisher schon so einiges gemacht (CC-Cleaner,Hijackthis,Malwarebytes' Anti-Malware im Vollscan) gefunden wurden andere, Sachen, aber nicht alles. Das File wird entweder profilbezogen oder aber im Windows/Temp Ordner angelegt.
Jemand eine Idee, welches Prog ich nochmal drüberlaufen lassen kann?

Alt 16.06.2010, 12:45   #2
markusg
/// Malware-holic
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



poste mal das Malwarebytes log bitte.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
bitte aufteilen falls nötig.
__________________


Alt 16.06.2010, 13:46   #3
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Hallo,

vielen Dank für Deine bisherige Hilfe. Da ich gleich noch zu einem Kundentermin muss, hoffe ich, dass es ok ist, dass ich die Files hier nur kurz per Anhang poste.

Ich habe einige Angaben mit XXX und Domain unkenntlich gemacht!
__________________
Angehängte Dateien
Dateityp: txt Extras.Txt (34,5 KB, 984x aufgerufen)
Dateityp: txt OTL1.txt (23,7 KB, 558x aufgerufen)
Dateityp: txt OTL2.txt (73,3 KB, 245x aufgerufen)
Dateityp: txt mbam-log-2010-06-15 (17-15-48)2.txt (1,8 KB, 209x aufgerufen)
Dateityp: txt mbam-log-2010-06-15 (17-15-48).txt (1,8 KB, 224x aufgerufen)
Dateityp: txt mbam-log-2010-06-15 (23-03-59).txt (1,0 KB, 216x aufgerufen)

Alt 16.06.2010, 13:59   #4
markusg
/// Malware-holic
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



ok, kannst du mal die datei hochladen, die du auf virustotal geprüft hast?
http://www.trojaner-board.de/54791-a...ner-board.html
sehe die mir dann mal an, gib bescheid wenn das erledigt ist.

Alt 16.06.2010, 20:18   #5
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Habe ich soeben gemacht!
Danke


Alt 16.06.2010, 20:22   #6
markusg
/// Malware-holic
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



wie wichtig sind denn die daten auf dem server. je nach dem wie sensibel das ganze ist, würde ich überlegen, kurzen prozess zu machen, das ding neu aufzusetzen und alle passwörter zu endern. da du ihn ja sicher für nen reibungslosen ablauf brauchst, wäre das ne gute sache :-)

Alt 16.06.2010, 20:27   #7
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Dafür fehlt mir leider derzeit einfach die Zeit. Das weitere Vorgehen würde ich von den noch zu erwartenden Erkenntnissen abhängig machen wollen.
Bei google wird vielfach von Steam und WoW Passwortklau gesprochen, wenn ich genau weiss, wie der arbeitet, kann ich auch besser eine "sinnvolle Entscheidung treffen. Die Passwörter würde ich dann sowieso ändern.

Alt 16.06.2010, 20:33   #8
markusg
/// Malware-holic
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



jo, wie gesagt, bei solchen sachen wäre es immer eher anzuraten zu formatieren, wegen sensibler daten. wenn wir jetzt weiter arbeiten, möchte ich dich vorher bitten, ein backup zu erstellen. falls es zu problemen kommt, sollen dir keine wichtigen daten verloren gehen. bitte mach das zuerst.

Alt 16.06.2010, 20:37   #9
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Dieser Server ist noch mit einem Netware-Server bebunden, dieser Novell-Server ist mein Hauptserver, aus gutem Grund, dort haben Viren kaum eine Chance, d. h. alle wirklich wichtigen Daten sind auf dem W3k-Server gar nicht vorhanden, sondern liegen auf dem anderen Server. Kann also eigentlich nicht viel passieren. Würde mir nur ungerne die Arbeit antun, das Ding wegen einem Spiele-Passwortklau Trojaner völlig neu einzurichten.
Aber trotzdem danke für den Hinweis.

Alt 16.06.2010, 20:41   #10
markusg
/// Malware-holic
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



ich sehe mir die datei mal an.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Alt 16.06.2010, 20:47   #11
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Werde das gleich mal anstellen und das Log morgen posten. Werde nicht darauf warten, da meine Frau mich auch mal wieder sehen möchte... ;-)
Vielen Dank schon mal.

Alt 16.06.2010, 20:57   #12
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Tja, das Teil mag den 2003-Server nicht. Trotz Versuche XP vorzugaukeln erkennt es das OS und will nicht starten....

Alt 16.06.2010, 21:23   #13
markusg
/// Malware-holic
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



ok, melde mich morgen, bei mir tut die datei nichts, deswegen habe ich sie eingesendet, kaspersky sagt sie ist sauber.

Alt 16.06.2010, 22:46   #14
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Danke,

lasse mich mal überraschen. Es ist übrigens nicht die selber Datei, die ich auf Virustotal geladen habe, denn die exe's werden beim Beenden des Prozesses über den Taskmanager auch im Temp-Ordner sofort gelöscht. Beim nächsten Start (reicht schon das Ab- und Anmelden) ist wieder eine andere Exe da. Jede dieser Exe wurde bei zwei Scannern von Virustotal als Trojaner erkannt.
Bin wirklich mal gespannt, was dabei rauskommt.

Alt 16.06.2010, 23:45   #15
Toschwil
 
Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Standard

Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server



Da ich meinen Beitrag nicht mehr editieren kann, wäre es vielleicht sinnvoll, dass die Anhänge wieder gelöscht werden, sobald diese nicht mehr gebraucht werden. Danke

Antwort

Themen zu Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server
andere, angemeldet, anti-malware, eingefangen, erkennen, exe, file, gefangen, gen, heuristic.behaveslike.win32.trojan.h, hijack, hijackthis, malwarebytes, malwarebytes' anti-malware, nennt, ordner, sache, sachen, scan, scanner, serve, server, start, systemprozess, verdächtige, virus, virus eingefangen, virustotal, windows



Ähnliche Themen: Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. ZoneArlarm scan ergab u.a. HEUR:Trojan.Win32.Generic , Trojan.Win32.Agent.aeqtk
    Log-Analyse und Auswertung - 11.02.2014 (9)
  3. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  4. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  5. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  6. Verschlüsselungs-Trojaner: Trojan.Win32.Yakes.bshd, Trojan.Win32.Bublik.abyj
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (1)
  7. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  8. Heuristic.LooksLike.Trojan.Patched.I
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (1)
  9. Heuristic.BehavesLike.Win32.Suspicious.H in Datei
    Plagegeister aller Art und deren Bekämpfung - 28.02.2010 (3)
  10. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  11. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  12. Win32.Malware.BehavesLike
    Plagegeister aller Art und deren Bekämpfung - 12.07.2007 (5)
  13. Heuristic/Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 06.11.2006 (2)
  14. brauch hilfe bei: Win32/Oleloa.gen!, Trojan.Win32.Golid.g, Trojan.Win32.Small.ev
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (1)
  15. HEURISTIC/Trojan.PwdStealer
    Plagegeister aller Art und deren Bekämpfung - 14.07.2005 (2)
  16. Hilfe, trojaner Win32.realtens.e und behaveslike.Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.11.2004 (1)
  17. Heuristic/ Trojan Downloader.....
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (8)

Zum Thema Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server - Hallo, ich habe mich jetzt hier einmal angemeldet, weil ich mit meinem Latein am Ende bin. Mein Windows2003 Server hat sich diesen Virus eingefangen, den ich bisher nicht loswerde. Nach - Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server...
Archiv
Du betrachtest: Heuristic.BehavesLike.Win32.Trojan.H auf Win2003 Server auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.