Hallo zusammen,
ich hoffe ihr könnt mir helfen und ich habe das richtige Forum gewählt.
Ich habe bei Euch schon ettliche Beiträge gelesen und auch das ein oder andere schon gemacht, aber ich komme nicht mehr weiter.
Folgende Situation:
ich habe einen Windows Home Server 2011 (64 bit)
hier läuft nur die Windows Firewall und der Windows Defender
auf dem WHS habe ich den Communigate Pro als Exchange Server Ersatz laufen für den Privat Gebrauch mit 2 Clients.
Bisher lief immer alles problemlos. Seit ein paar Tagen gab es immer wieder Verbindungsfehler, so dass ich jetzt mal nachgeschaut habe. Plötzlich kann ich keine Programme mehr mit einem Klick auf ein Icon oder aus dem Startmenü starten. gin Ende Januar noch. Dabei kommt immer die Meldung:
http://www.guschni.de/Warnung1.JPG
ich finde das sehr komisch, da ich mit dem WHS eigentlich nicht im Internet surfe und auch dort keine Programme installiere.
meine beiden Clients laufen ganz normal und die Scans auf den Clients haben auch keine infizierten Dateien gefunden.
Dann habe ich danach gesucht und es wird auf mehreren Seiten geschrieben, dass dies ein Trojaner o.ä. sein könnte.
Der Trojaner Remover Scan läuft auch immer beim hochfahren des Systems und bringt dann folgende Meldung:
http://www.guschni.de/Warnung2.JPG
Irgendwann bin ich dann auch auf Euer Forum gestossen und einige tolle Threads gefunden. danach habe ich auch einges gemacht.
Als ersts habe ich mit dem Trojaner Remover gearbeitet. (da hatte ich Euer Forum noch nicht gefunden)
der hat folgendes Logfile produziert
Code:
***** DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.9.0.2628. For information, email support@simplysup.com
[Unregistered version]
Scan started at: 19:33:07 20 Feb 2014
Using Database v8318
Operating System: Windows Server 2008 R2 x64 (SP1) [Build: 6.1.7601]
File System: NTFS
UAC is ENABLED [default level]
UserData directory: C:\Users\Administrator\AppData\Roaming\Simply Super Software\Trojan Remover\
Database directory: C:\ProgramData\Simply Super Software\Trojan Remover\Data\
Logfile directory: C:\Users\Administrator\Documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files (x86)\Trojan Remover\
Running with Administrator privileges
************************************************************
Carrying out scan on C:\
(including subdirectories)
Archive files will be INCLUDED.
The scan will also include files already renamed by Trojan Remover.
------------------------------
------------------------------
Scan stopped by user after 14 files were checked
No Malware files detected
Scan stopped at: 20.02.2014 19:33:11
Total Scan time: 00:00:03
************************************************************
***** DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.9.0.2628. For information, email support@simplysup.com
[Unregistered version]
Scan started at: 17:19:32 20 Feb 2014
Using Database v8318
Operating System: Windows Server 2008 R2 x64 (SP1) [Build: 6.1.7601]
File System: NTFS
UAC is ENABLED [default level]
UserData directory: C:\Users\Administrator\AppData\Roaming\Simply Super Software\Trojan Remover\
Database directory: C:\ProgramData\Simply Super Software\Trojan Remover\Data\
Logfile directory: C:\Users\Administrator\Documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files (x86)\Trojan Remover\
Running with Administrator privileges
************************************************************
Carrying out scan on C:\
(including subdirectories)
Archive files will be INCLUDED.
The scan will also include files already renamed by Trojan Remover.
------------------------------
Unable to scan the archive file C:\inetpub\temp\IIS Temporary Compressed Files\RemoteAppPool\$^_gzip_C^\PROGRAM FILES\WINDOWS SERVER\BIN\WEBAPPS\REMOTEACCESS\JAVASCRIPT\RAMJSFX.CORE.JS - could not open a tempdir
Unable to scan the archive file C:\inetpub\temp\IIS Temporary Compressed Files\RemoteAppPool\$^_gzip_C^\PROGRAM FILES\WINDOWS SERVER\BIN\WEBAPPS\REMOTEACCESS\JAVASCRIPT\RAMJSFX.JS - could not open a tempdir
Unable to scan the archive file C:\MediaMonkey\Skins\Glided.msz - could not open a tempdir
Unable to scan the archive file C:\MediaMonkey\Skins\Pulse.msz - could not open a tempdir
Unable to scan the archive file C:\MediaMonkey\Skins\Vitreous.msz - could not open a tempdir
Unable to scan the archive file C:\Program Files\Windows Media Player\Skins\Revert.wmz - could not open a tempdir
------------------------------
Scan stopped by user after 2369 files were checked
No Malware files detected
Scan stopped at: 20.02.2014 17:26:50
Total Scan time: 00:07:17
************************************************************
***** DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.9.0.2628. For information, email support@simplysup.com
[Unregistered version]
Scan started at: 17:17:40 20 Feb 2014
Using Database v8303
Operating System: Windows Server 2008 R2 x64 (SP1) [Build: 6.1.7601]
File System: NTFS
UAC is ENABLED [default level]
UserData directory: C:\Users\Administrator\AppData\Roaming\Simply Super Software\Trojan Remover\
Database directory: C:\ProgramData\Simply Super Software\Trojan Remover\Data\
Logfile directory: C:\Users\Administrator\Documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files (x86)\Trojan Remover\
Running with Administrator privileges
************************************************************
Carrying out scan on E:\
(including subdirectories)
Archive files will be INCLUDED.
The scan will also include files already renamed by Trojan Remover.
------------------------------
------------------------------
Scan stopped by user after 1122 files were checked
No Malware files detected
Scan stopped at: 20.02.2014 17:18:35
Total Scan time: 00:00:55
************************************************************
***** DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.9.0.2628. For information, email support@simplysup.com
[Unregistered version]
Scan started at: 10:39:29 20 Feb 2014
Using Database v8303
Operating System: Windows Server 2008 R2 x64 (SP1) [Build: 6.1.7601]
File System: NTFS
UAC is ENABLED [default level]
UserData directory: C:\Users\Administrator\AppData\Roaming\Simply Super Software\Trojan Remover\
Database directory: C:\ProgramData\Simply Super Software\Trojan Remover\Data\
Logfile directory: C:\Users\Administrator\Documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files (x86)\Trojan Remover\
Running with Administrator privileges
************************************************************
Carrying out scan on C:\
(including subdirectories)
Archive files will be EXCLUDED.
------------------------------
------------------------------
161410 files scanned
Directory scan complete - no Malware files detected
Scan completed at: 16:42:22 20 Feb 2014
Total Scan time: 06:02:52
************************************************************
***** DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.9.0.2628. For information, email support@simplysup.com
[Unregistered version]
Scan started at: 10:02:34 20 Feb 2014
Using Database v8303
Operating System: Windows Server 2008 R2 x64 (SP1) [Build: 6.1.7601]
File System: NTFS
UAC is ENABLED [default level]
UserData directory: C:\Users\Administrator\AppData\Roaming\Simply Super Software\Trojan Remover\
Database directory: C:\ProgramData\Simply Super Software\Trojan Remover\Data\
Logfile directory: C:\Users\Administrator\Documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files (x86)\Trojan Remover\
Running with Administrator privileges
************************************************************
Carrying out scan on C:\
(including subdirectories)
Archive files will be EXCLUDED.
------------------------------
------------------------------
Scan stopped by user after 11463 files were checked
No Malware files detected
Scan stopped at: 20.02.2014 10:28:41
Total Scan time: 00:26:06
************************************************************
***** DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.9.0.2628. For information, email support@simplysup.com
[Unregistered version]
Scan started at: 09:44:44 20 Feb 2014
Using Database v8303
Operating System: Windows Server 2008 R2 x64 (SP1) [Build: 6.1.7601]
File System: NTFS
UAC is ENABLED [default level]
UserData directory: C:\Users\Administrator\AppData\Roaming\Simply Super Software\Trojan Remover\
Database directory: C:\ProgramData\Simply Super Software\Trojan Remover\Data\
Logfile directory: C:\Users\Administrator\Documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files (x86)\Trojan Remover\
Running with Administrator privileges
************************************************************
Carrying out scan on C:\
(including subdirectories)
Archive files will be EXCLUDED.
------------------------------
------------------------------
Scan stopped by user after 2114 files were checked
No Malware files detected
Scan stopped at: 20.02.2014 09:48:01
Total Scan time: 00:03:15
************************************************************
***** DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.9.0.2628. For information, email support@simplysup.com
[Unregistered version]
Scan started at: 09:43:20 20 Feb 2014
Using Database v8303
Operating System: Windows Server 2008 R2 x64 (SP1) [Build: 6.1.7601]
File System: NTFS
UAC is ENABLED [default level]
UserData directory: C:\Users\Administrator\AppData\Roaming\Simply Super Software\Trojan Remover\
Database directory: C:\ProgramData\Simply Super Software\Trojan Remover\Data\
Logfile directory: C:\Users\Administrator\Documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files (x86)\Trojan Remover\
Running with Administrator privileges
************************************************************
Carrying out scan on C:\
(including subdirectories)
Archive files will be EXCLUDED.
------------------------------
------------------------------
Scan stopped by user after 48 files were checked
No Malware files detected
Scan stopped at: 20.02.2014 09:43:30
Total Scan time: 00:00:09
************************************************************
***** DRIVE/DIRECTORY SCAN *****
Trojan Remover Ver 6.9.0.2628. For information, email support@simplysup.com
[Unregistered version]
Scan started at: 20:22:28 19 Feb 2014
Using Database v8303
Operating System: Windows Server 2008 R2 x64 (SP1) [Build: 6.1.7601]
File System: NTFS
UAC is ENABLED [default level]
UserData directory: C:\Users\Administrator\AppData\Roaming\Simply Super Software\Trojan Remover\
Database directory: C:\ProgramData\Simply Super Software\Trojan Remover\Data\
Logfile directory: C:\Users\Administrator\Documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files (x86)\Trojan Remover\
Running with Administrator privileges
************************************************************
Carrying out scan on C:\
(including subdirectories)
Archive files will be EXCLUDED.
------------------------------
C:\Users\Administrator\AppData\Local\Temp\~nsu.tmp\Au_.exe appears to contain: Trojan.Dropper
C:\Users\Administrator\AppData\Local\Temp\~nsu.tmp\Au_.exe: 0 processes terminated
C:\Users\Administrator\AppData\Local\Temp\~nsu.tmp\Au_.exe has been deleted.
C:\Users\Administrator\Downloads\subsonic-4.7-setup.exe appears to contain: Trojan.Dropper
C:\Users\Administrator\Downloads\subsonic-4.7-setup.exe: 0 processes terminated
C:\Users\Administrator\Downloads\subsonic-4.7-setup.exe has been deleted.
------------------------------
Scan stopped by user after 54529 files were checked
2 Malware files detected
Scan stopped at: 20.02.2014 09:41:38
Total Scan time: 13:19:09
************************************************************
Der hat auch was gefunden die "Au_.exe"
dei habe ich gelöscht.
den Scan habe ich mehrmals gestartet und wieder abgebrochen weil ich den updater dazu auch nicht starten konnte, weil .exe. Erst nach einer Neuinstallation fragt er nach einem Update automatisch dann ging es mit der aktuellsten Datenbank. (nur falls man sich fragt warum so oft und abgebrochen etc.)
nach Einträgen in Eurem Forum habe ich dann foldendes gemacht:
Scan mit
Malwarebytes Anti-Malware
Folgende Logfiles (FULL SCAN):
Code:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2014.02.20.07
Windows Server 2008 R2 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Administrator :: WHSFAB19 [Administrator]
Schutz: Aktiviert
20.02.2014 17:30:48
mbam-log-2014-02-20 (17-30-48).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 660747
Laufzeit: 1 Stunde(n), 27 Minute(n), 21 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 4
C:\Users\Administrator\Downloads\rcp_dcomnew_sec_728.exe (PUP.Optional.RegCleanPro) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\ServerFolders\Bilder\Downloads\FreemakeVideoConverterSetup_4.0.4.3.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\ServerFolders\Bilder\Downloads\SoftonicDownloader_fuer_vidcoder.exe (PUP.Optional.Softonic) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\ServerFolders\Bilder\Downloads\SoftonicDownloader_fuer_xilisoft-dvd-to-3gp-converter.exe (PUP.Optional.Softonic) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
und ein Fastscan
Code:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2014.02.20.08
Windows Server 2008 R2 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Administrator :: WHSFAB19 [Administrator]
Schutz: Aktiviert
20.02.2014 20:03:30
mbam-log-2014-02-20 (20-03-30).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 229026
Laufzeit: 2 Minute(n), 52 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
So dann läuft gerade der
ESET Online Scanner nach der Anleitung hier:
http://www.trojaner-board.de/107478-...amme-mehr.html
Logfile reiche ich morgen früh nach, da der wohl noch ne weile braucht.
Nebenbei: Seit neuestem kann ich mich mit Outlook auch nicht mehr an dem Communigate anmelden. weiss nicht ob das damit zu tun hat?
Ich hoffe ihr könnt mir helfen. Aus den anderen Beiträgen hier sieht das nach einem tollen Forum aus.
Bevor ich den Server platt machen muss hätte ich gerne gewusst ob ich mir was eingefangen habe. Eigentlich bin ich umsichtig und mache nichts auf oder klicke was an schon gar nicht auf dem WHS.
Super vielen Dank!!
Ich bin morgen früh wieder online und kann dann aktiv mitarbeiten.
Gruß Gusch