Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: kennt jemand den trojan.gen.2

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.01.2011, 10:56   #1
MajorTom
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Hallo Leute,

ich habe seit einigen Tagen einen ziemlichen Plagegeist am Hals. Laut Symantec EndpointProtection 11 (alles am neuesten Stand) findet er nach jedem Start des Systems (Win7 pro 32 bit) zahlreiche Dateien mit dem Muster DWH***.tmp im Pfad C:\Users\*Username*\AppData\Local\Temp. Der gefundene Plagegeist nennt sich trojan.gen.2. Laut Symantec gibt es als Workaround nur den Hinweis, die Signaturen und das gesaqmte Produkt immer schön aktuell zu halten und eine entsprechende Anleitung dazu. Nun, dies ist bei mir ja der Fall. Die gefundenen Dateien werden immer in Quarantäne verschoben oder gelöscht (alternative Aktion). Aber nach geraumer Zeit tauchen immer wieder neue auf. An die Hundert kommen da schnell zusammen.

Nun meine Frage kennt jemand dieses Phänomän? Kann man es evtl. entfernen ohne das System platt zu machen (sehr aufwendige Konfiguration)?

Folgendes habe ich schon gemacht:
- Fullscan im normalen Betrieb mit Symentec Endpoint Protection
- Fullscann im abgesicherten Modus mit Symentec Endpoint Protection
- Fullscan mit aktualisierten Spybot im abgesicherten Modus
Alles ohne einen konkreten Befund.

Ich hoffe ihr könnt mir helfen.
Gruß
Tom

Alt 31.01.2011, 21:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 01.02.2011, 19:08   #3
MajorTom
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



... tschuldigung. In der Hektik hatte ich vergessen, die Aufgaben abzuarbeiten. Hier nun also im Anhang die Logfiles. Alles nach Anleitung durchgeführt.

Ich hoffe die sind aussagekräftig. Ich habe den Eindruck, dass es täglich mehr gefundene Dateien werden.

Gruß
Tom
__________________

Alt 01.02.2011, 19:22   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Sry aber ich wollte einen Vollscan sehen.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.02.2011, 16:18   #5
MajorTom
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Hallo Cosinus,
im Anhang das Logfile vom Fullscan. Zusätzlich mal noch 2 Screenshots von der Meldung von Symantec Endpoint Protection.

Ich hoffe das hilft weiter.

Gruß
Tom

Miniaturansicht angehängter Grafiken
kennt jemand den trojan.gen.2-screenshot2.jpg   kennt jemand den trojan.gen.2-screenshot1.jpg  
Angehängte Dateien
Dateityp: txt mbam-log-2011-02-02 (17-09-31).txt (1,0 KB, 331x aufgerufen)

Alt 02.02.2011, 20:11   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.3 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SEI-COM.LOC
Sagmal, bist du dieser Admin in dieser Firma oder bist ein Mitarbeiter in der EDV-Abteilung?
__________________
--> kennt jemand den trojan.gen.2

Alt 03.02.2011, 05:29   #7
MajorTom
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Moin,

ich bin ein (kürzlich erst ausgelernter) MA dieser IT Firma und der Rechner ist das System eines externen MA von uns. Die Domain ist eine Quarantänedomäne innerhalb der Firmendomäne. Hier behandeln wir Patienten wie diesen.

Hilft das jetzt weiter?

Gruß
Tom

Alt 03.02.2011, 10:55   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Und hier habt echt keine Möglichkeit das System neu zu bespielen, entweder mit manueller Neuinstallation oder sauberen Images? Arbeiten ihr mit solchen Programmen wie Acronis denn nicht?

Bereinigung eines Firmen-PCs würd ich mir gründlich an deiner Stelle überlegen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.02.2011, 11:18   #9
MajorTom
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



... natürlich haben wir eine Backupstrategie für Workstations. Und natürlich auch mittels Acronis (Backup&Recovery 10 inkl. Universalrestore und Deduplikate ;-)
Aber bei dem System handelt es sich um den Rechner eines externen MA und der fällt nun mal nicht unter unsere Backuprichtlinien. Also, Image fällt aus. Einen Neuinstallation ist immer möglich, aber die Bitte des Kollegen war ganz einfach dies zu vermeiden.

Vielleicht können wir uns ja doch wieder auf die Möglichkeit der Bereinigung konzentrieren. Eventualitäten helfen hier sicher nicht weiter. Ausserdem bin ich davon überzeugt, dass es zukünftig mehr Fragen nach diesem Schädling geben wird. Wir können doch nicht pauschal jedem raten das System neu aufzusetzen.

Bis jetzt habe ich noch nichts sinnvolles über den, mir absolut unbekannten, Schädling gelesen. Auch Google ist hier nicht wirklich hilfreich. Scheinbar handelt es sich hier um etwas neues. Eigenartiger Weise hat auch Symantec noch keine Infos parat.

Alt 03.02.2011, 12:36   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Ok, aber bevor da irgendwas gefixt wird, Backup/Image von dem Gerät machen!!!

Hatte Malwarebytes denn garnichts gefunden oder sind das nur Logs ohne Funde?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.02.2011, 13:03   #11
MajorTom
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



... Image ist doch schon lange gemacht.

Also, Malwarebytes hat wirklich nichts gefunden.

Auch die Prozessübersicht (Prozessexplorer) hat keinen auffälligen Prozess gezeigt.

Auffällig ist aber, dass die Echtzeitüberwachung von Symantec erst anschlägt, wenn man nach dem Neustart eine Anwendung startet, bei der im Hintergrund oder auch offensichtlich eine Autentifizierung stattfindet. Z.B. Outlook, Bankingsoftware, Internetexplorer oder ähnliches. Für mich sieht das nach einem Stück Software aus, welches gezielt nach Passworten und Zugangsdaten schnüffelt. Oder was sagst du?

Gruß
Tom

Alt 03.02.2011, 13:12   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Endpoint Connection kenn ich nicht, aber das Teil könnte falsch konfiguriert sein oder es meldet die tw. unter manchen Sicherheitssoftwareprodukten allgemein bekannten hysterischen "Angriffe" etc. die eigentlich gar keine sind

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{2aaa2450-cb06-11df-b813-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{2aaa2450-cb06-11df-b813-806e6f6e6963}\Shell\AutoRun\command - "" = D:\autorun.exe
O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
O4 - HKLM..\Run: []  File not found
O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
[2011.01.31 15:57:40 | 000,135,551 | ---- | M] () -- C:\Windows\System32\Unbenannt.b02
[2011.01.26 09:18:36 | 000,000,000 | ---- | M] () -- C:\t174.2
[2011.01.11 09:49:16 | 000,000,000 | ---- | M] () -- C:\t1ac.2
[2011.01.30 19:36:29 | 000,134,441 | ---- | C] () -- C:\Windows\System32\Unbenannt.b01
[2011.01.28 12:19:16 | 000,134,441 | ---- | C] () -- C:\Windows\System32\Unbenannt.b00
[2011.01.26 09:19:45 | 000,133,056 | ---- | C] () -- C:\Windows\System32\Unbenannt.b06
[2011.01.26 09:18:36 | 000,000,000 | ---- | C] () -- C:\t174.2
[2011.01.24 16:39:44 | 000,132,231 | ---- | C] () -- C:\Windows\System32\Unbenannt.b05
[2011.01.21 18:04:24 | 000,131,090 | ---- | C] () -- C:\Windows\System32\Unbenannt.b04
[2011.01.16 15:39:37 | 000,131,090 | ---- | C] () -- C:\Windows\System32\Unbenannt.b03
@Alternate Data Stream - 237 bytes -> C:\ProgramData\TEMP:D2397415
@Alternate Data Stream - 233 bytes -> C:\ProgramData\TEMP:38FF076E
@Alternate Data Stream - 217 bytes -> C:\ProgramData\TEMP:FB97DB91
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.02.2011, 18:19   #13
MajorTom
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Hallo Arne,

im Anhang das Logfile. Beim fixen ist der Virenscanner schier amok gelaufen.
Aber es ist durchgelaufen.

Übrigens der Virenscanner heißt Symantec Endpoint Protection (siehe 1. Anfrage). Das ist die professionelle Version für kleine bis mittlere Unternehmen, mit zentralem Management. Bisher gibt es diesen Effekt aber nirgendwo in unserer Firma. Das bedeutet aber nicht zwangsläufig, dass Symantec nicht doch evtl. der Verursacher ist.

nach dem Neustart ist der Virenscanner bisher unauffällig.
Ich traue dem frieden aber noch nicht so richtig.

Gruß
Tom
Angehängte Dateien
Dateityp: txt 02032011_174424.txt (11,9 KB, 257x aufgerufen)

Alt 03.02.2011, 18:44   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.02.2011, 05:21   #15
MajorTom
 
kennt jemand den trojan.gen.2 - Standard

kennt jemand den trojan.gen.2



Moin,

ich bin erst wieder heute Abend wieder in der Firma, dann werde ich deiner Anleitung folgen und die Dateien hochladen.
Also, besten Dank schon mal.

Gruß
Tom

Antwort

Themen zu kennt jemand den trojan.gen.2
32 bit, abgesicherten, aktion, alter, alternative, anleitung, appdata, betrieb, dateien, dwh, entfernen, frage, gelöscht, hinweis, konfiguration, leute, modus, neues, quarantäne, schnell, signaturen, spybot, start, symantec, trojan.gen.2, win, win7, workaround



Ähnliche Themen: kennt jemand den trojan.gen.2


  1. Kennt jemand azfucib.exe?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2014 (7)
  2. Kennt das hier jemand: "Trojan.HTML.Redirector.AW"?
    Plagegeister aller Art und deren Bekämpfung - 13.12.2012 (1)
  3. Kennt jemand uzozs.exe ?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (3)
  4. Kennt jemand den "Hell-Trojaner" Gen:Trojan.Heur.@x9@XkTFfMoi ?
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  5. TR/Shed.A ???Kennt den jemand?
    Log-Analyse und Auswertung - 23.07.2008 (15)
  6. Kennt jemand den Trojaner: TR/Spy.MSN.C?
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  7. kennt jemand YPS.exe
    Plagegeister aller Art und deren Bekämpfung - 05.02.2007 (2)
  8. Kennt jemand diese IP 212.43.221.215
    Log-Analyse und Auswertung - 14.09.2006 (1)
  9. Kennt jemand....
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (1)
  10. Kennt jemand iMaillight?
    Überwachung, Datenschutz und Spam - 19.05.2005 (6)
  11. Kennt jemand pupxpman.exe
    Plagegeister aller Art und deren Bekämpfung - 19.01.2005 (2)
  12. kennt jemand yyezhz.exe ?
    Log-Analyse und Auswertung - 28.10.2004 (11)
  13. Kennt jemand XOFTSPY?
    Plagegeister aller Art und deren Bekämpfung - 17.10.2004 (6)
  14. Kennt jemand 'bigbr.cc' ?
    Plagegeister aller Art und deren Bekämpfung - 05.10.2004 (3)
  15. Kennt jemand die Kerio PFW 4.0.3 ?
    Antiviren-, Firewall- und andere Schutzprogramme - 18.09.2003 (3)
  16. Evc.family - kennt den jemand?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2003 (10)

Zum Thema kennt jemand den trojan.gen.2 - Hallo Leute, ich habe seit einigen Tagen einen ziemlichen Plagegeist am Hals. Laut Symantec EndpointProtection 11 (alles am neuesten Stand) findet er nach jedem Start des Systems (Win7 pro 32 - kennt jemand den trojan.gen.2...
Archiv
Du betrachtest: kennt jemand den trojan.gen.2 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.