Hallo Leute,

ich habe seit einigen Tagen einen ziemlichen Plagegeist am Hals. Laut Symantec EndpointProtection 11 (alles am neuesten Stand) findet er nach jedem Start des Systems (Win7 pro 32 bit) zahlreiche Dateien mit dem Muster DWH***.tmp im Pfad C:\Users\*Username*\AppData\Local\Temp. Der gefundene Plagegeist nennt sich trojan.gen.2. Laut Symantec gibt es als Workaround nur den Hinweis, die Signaturen und das gesaqmte Produkt immer schön aktuell zu halten und eine entsprechende Anleitung dazu. Nun, dies ist bei mir ja der Fall. Die gefundenen Dateien werden immer in Quarantäne verschoben oder gelöscht (alternative Aktion). Aber nach geraumer Zeit tauchen immer wieder neue auf. An die Hundert kommen da schnell zusammen.

Nun meine Frage kennt jemand dieses Phänomän? Kann man es evtl. entfernen ohne das System platt zu machen (sehr aufwendige Konfiguration)?

Folgendes habe ich schon gemacht:
- Fullscan im normalen Betrieb mit Symentec Endpoint Protection
- Fullscann im abgesicherten Modus mit Symentec Endpoint Protection
- Fullscan mit aktualisierten Spybot im abgesicherten Modus
Alles ohne einen konkreten Befund.

Ich hoffe ihr könnt mir helfen.
Gruß
Tom

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

... tschuldigung. In der Hektik hatte ich vergessen, die Aufgaben abzuarbeiten. Hier nun also im Anhang die Logfiles. Alles nach Anleitung durchgeführt.

Ich hoffe die sind aussagekräftig. Ich habe den Eindruck, dass es täglich mehr gefundene Dateien werden.

Gruß
Tom

Sry aber ich wollte einen Vollscan sehen.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.

Hallo Cosinus,
im Anhang das Logfile vom Fullscan. Zusätzlich mal noch 2 Screenshots von der Meldung von Symantec Endpoint Protection.

Ich hoffe das hilft weiter.

Gruß
Tom

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.3 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SEI-COM.LOC

Sagmal, bist du dieser Admin in dieser Firma oder bist ein Mitarbeiter in der EDV-Abteilung?

Moin,

ich bin ein (kürzlich erst ausgelernter) MA dieser IT Firma und der Rechner ist das System eines externen MA von uns. Die Domain ist eine Quarantänedomäne innerhalb der Firmendomäne. Hier behandeln wir Patienten wie diesen.

Hilft das jetzt weiter?

Gruß
Tom

Und hier habt echt keine Möglichkeit das System neu zu bespielen, entweder mit manueller Neuinstallation oder sauberen Images? Arbeiten ihr mit solchen Programmen wie Acronis denn nicht?

Bereinigung eines Firmen-PCs würd ich mir gründlich an deiner Stelle überlegen.

... natürlich haben wir eine Backupstrategie für Workstations. Und natürlich auch mittels Acronis (Backup&Recovery 10 inkl. Universalrestore und Deduplikate ;-)
Aber bei dem System handelt es sich um den Rechner eines externen MA und der fällt nun mal nicht unter unsere Backuprichtlinien. Also, Image fällt aus. Einen Neuinstallation ist immer möglich, aber die Bitte des Kollegen war ganz einfach dies zu vermeiden.

Vielleicht können wir uns ja doch wieder auf die Möglichkeit der Bereinigung konzentrieren. Eventualitäten helfen hier sicher nicht weiter. Ausserdem bin ich davon überzeugt, dass es zukünftig mehr Fragen nach diesem Schädling geben wird. Wir können doch nicht pauschal jedem raten das System neu aufzusetzen.

Bis jetzt habe ich noch nichts sinnvolles über den, mir absolut unbekannten, Schädling gelesen. Auch Google ist hier nicht wirklich hilfreich. Scheinbar handelt es sich hier um etwas neues. Eigenartiger Weise hat auch Symantec noch keine Infos parat.

Ok, aber bevor da irgendwas gefixt wird, Backup/Image von dem Gerät machen!!!

Hatte Malwarebytes denn garnichts gefunden oder sind das nur Logs ohne Funde?

... Image ist doch schon lange gemacht.

Also, Malwarebytes hat wirklich nichts gefunden.

Auch die Prozessübersicht (Prozessexplorer) hat keinen auffälligen Prozess gezeigt.

Auffällig ist aber, dass die Echtzeitüberwachung von Symantec erst anschlägt, wenn man nach dem Neustart eine Anwendung startet, bei der im Hintergrund oder auch offensichtlich eine Autentifizierung stattfindet. Z.B. Outlook, Bankingsoftware, Internetexplorer oder ähnliches. Für mich sieht das nach einem Stück Software aus, welches gezielt nach Passworten und Zugangsdaten schnüffelt. Oder was sagst du?

Gruß
Tom

Endpoint Connection kenn ich nicht, aber das Teil könnte falsch konfiguriert sein oder es meldet die tw. unter manchen Sicherheitssoftwareprodukten allgemein bekannten hysterischen "Angriffe" etc. die eigentlich gar keine sind

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{2aaa2450-cb06-11df-b813-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{2aaa2450-cb06-11df-b813-806e6f6e6963}\Shell\AutoRun\command - "" = D:\autorun.exe
O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
O4 - HKLM..\Run: []  File not found
O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
[2011.01.31 15:57:40 | 000,135,551 | ---- | M] () -- C:\Windows\System32\Unbenannt.b02
[2011.01.26 09:18:36 | 000,000,000 | ---- | M] () -- C:\t174.2
[2011.01.11 09:49:16 | 000,000,000 | ---- | M] () -- C:\t1ac.2
[2011.01.30 19:36:29 | 000,134,441 | ---- | C] () -- C:\Windows\System32\Unbenannt.b01
[2011.01.28 12:19:16 | 000,134,441 | ---- | C] () -- C:\Windows\System32\Unbenannt.b00
[2011.01.26 09:19:45 | 000,133,056 | ---- | C] () -- C:\Windows\System32\Unbenannt.b06
[2011.01.26 09:18:36 | 000,000,000 | ---- | C] () -- C:\t174.2
[2011.01.24 16:39:44 | 000,132,231 | ---- | C] () -- C:\Windows\System32\Unbenannt.b05
[2011.01.21 18:04:24 | 000,131,090 | ---- | C] () -- C:\Windows\System32\Unbenannt.b04
[2011.01.16 15:39:37 | 000,131,090 | ---- | C] () -- C:\Windows\System32\Unbenannt.b03
@Alternate Data Stream - 237 bytes -> C:\ProgramData\TEMP:D2397415
@Alternate Data Stream - 233 bytes -> C:\ProgramData\TEMP:38FF076E
@Alternate Data Stream - 217 bytes -> C:\ProgramData\TEMP:FB97DB91
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

im Anhang das Logfile. Beim fixen ist der Virenscanner schier amok gelaufen.
Aber es ist durchgelaufen.

Übrigens der Virenscanner heißt Symantec Endpoint Protection (siehe 1. Anfrage). Das ist die professionelle Version für kleine bis mittlere Unternehmen, mit zentralem Management. Bisher gibt es diesen Effekt aber nirgendwo in unserer Firma. Das bedeutet aber nicht zwangsläufig, dass Symantec nicht doch evtl. der Verursacher ist.

nach dem Neustart ist der Virenscanner bisher unauffällig.
Ich traue dem frieden aber noch nicht so richtig.

Gruß
Tom

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Moin,

ich bin erst wieder heute Abend wieder in der Firma, dann werde ich deiner Anleitung folgen und die Dateien hochladen.
Also, besten Dank schon mal.

Gruß
Tom