Hallo,

ich habe mich jetzt hier einmal angemeldet, weil ich mit meinem Latein am Ende bin. Mein Windows2003 Server hat sich diesen Virus eingefangen, den ich bisher nicht loswerde. Nach dem Start sehe ich immer eine verdächtige Exe als Systemprozess laufen. Der Name ist immer unterschiedlich. Bei Virustotal erkennen nur zwei Scanner das File als Virus/Malware. Mc-Affee nennt das File: Heuristic.BehavesLike.Win32.Trojan.H
Ich habe bisher schon so einiges gemacht (CC-Cleaner,Hijackthis,Malwarebytes' Anti-Malware im Vollscan) gefunden wurden andere, Sachen, aber nicht alles. Das File wird entweder profilbezogen oder aber im Windows/Temp Ordner angelegt.
Jemand eine Idee, welches Prog ich nochmal drüberlaufen lassen kann?

poste mal das Malwarebytes log bitte.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
bitte aufteilen falls nötig.

Hallo,

vielen Dank für Deine bisherige Hilfe. Da ich gleich noch zu einem Kundentermin muss, hoffe ich, dass es ok ist, dass ich die Files hier nur kurz per Anhang poste.

Ich habe einige Angaben mit XXX und Domain unkenntlich gemacht!

ok, kannst du mal die datei hochladen, die du auf virustotal geprüft hast?
http://www.trojaner-board.de/54791-a...ner-board.html
sehe die mir dann mal an, gib bescheid wenn das erledigt ist.

Habe ich soeben gemacht!
Danke

wie wichtig sind denn die daten auf dem server. je nach dem wie sensibel das ganze ist, würde ich überlegen, kurzen prozess zu machen, das ding neu aufzusetzen und alle passwörter zu endern. da du ihn ja sicher für nen reibungslosen ablauf brauchst, wäre das ne gute sache :-)

Dafür fehlt mir leider derzeit einfach die Zeit. Das weitere Vorgehen würde ich von den noch zu erwartenden Erkenntnissen abhängig machen wollen.
Bei google wird vielfach von Steam und WoW Passwortklau gesprochen, wenn ich genau weiss, wie der arbeitet, kann ich auch besser eine "sinnvolle Entscheidung treffen. Die Passwörter würde ich dann sowieso ändern.

jo, wie gesagt, bei solchen sachen wäre es immer eher anzuraten zu formatieren, wegen sensibler daten. wenn wir jetzt weiter arbeiten, möchte ich dich vorher bitten, ein backup zu erstellen. falls es zu problemen kommt, sollen dir keine wichtigen daten verloren gehen. bitte mach das zuerst.

Dieser Server ist noch mit einem Netware-Server bebunden, dieser Novell-Server ist mein Hauptserver, aus gutem Grund, dort haben Viren kaum eine Chance, d. h. alle wirklich wichtigen Daten sind auf dem W3k-Server gar nicht vorhanden, sondern liegen auf dem anderen Server. Kann also eigentlich nicht viel passieren. Würde mir nur ungerne die Arbeit antun, das Ding wegen einem Spiele-Passwortklau Trojaner völlig neu einzurichten.
Aber trotzdem danke für den Hinweis.

ich sehe mir die datei mal an.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Werde das gleich mal anstellen und das Log morgen posten. Werde nicht darauf warten, da meine Frau mich auch mal wieder sehen möchte... ;-)
Vielen Dank schon mal.

Tja, das Teil mag den 2003-Server nicht. Trotz Versuche XP vorzugaukeln erkennt es das OS und will nicht starten....

ok, melde mich morgen, bei mir tut die datei nichts, deswegen habe ich sie eingesendet, kaspersky sagt sie ist sauber.

Danke,

lasse mich mal überraschen. Es ist übrigens nicht die selber Datei, die ich auf Virustotal geladen habe, denn die exe's werden beim Beenden des Prozesses über den Taskmanager auch im Temp-Ordner sofort gelöscht. Beim nächsten Start (reicht schon das Ab- und Anmelden) ist wieder eine andere Exe da. Jede dieser Exe wurde bei zwei Scannern von Virustotal als Trojaner erkannt.
Bin wirklich mal gespannt, was dabei rauskommt.

Da ich meinen Beitrag nicht mehr editieren kann, wäre es vielleicht sinnvoll, dass die Anhänge wieder gelöscht werden, sobald diese nicht mehr gebraucht werden. Danke