|
Malware? Neu im Firmennetzwerk Hallo, bin in einer neuen Firma und seit gestern jetzt auch dort im Netzwerk mit meinem Laptop. Musste dahingehend auch die Laptop Encryption aktivieren (dieses McAffee laptop encryption zeugs, siehe die Logs). Seit gestern meldet mir meine Firewall (ESET), ständig neuen Traffic und frägt, ob ich blockieren oder zulassen will. Weiß jetzt nicht, ob das am Netzwerk liegt oder ob ich mir tatsächlich was eingefangen habe. Das Netzwerk is voller Viren etc., weil hier einige Workstations ohne aktuelle Scanner sind, weil sie nicht am Netz angeschlossen sind. Per USB-Sticks verbreitet sich das zeug hier dann. Hab meine Logs angehängt. Hoffe ihr kömmt mir sagen, ob alles in Ordnung ist. Danke. Damnation |
Zitat:
Was heißt "dein" Laptap? Ist das normal, dass jeder sein (verseuchtes) Privatgerät ins Firmennetz anschließen darf? :balla: |
In der Branche, in der ich arbeite, ist das ganz normal. Firma ist vielleicht auch der falsche Ausdruck. In Forschungsinstituten ist das der Normalfall, dass man sein eigenes Gerät zum Arbeiten mitbringt. Workstations, die für die Benutzung von Geräten benötigt werden, sind natürlich verfügbar. Um die kümmert sich aber keiner und sind nie am Netz angeschlossen. Was zwar gut ist, aber blöd auch, da die Virenscanner nicht aktuell sind... Einen Admin an sich gibts hier somit also auch nicht. Leider. Danke |
Zitat:
|
Weil mich die ständige Updates von meinen Adobe Produkten(Haupsächlich Photoshop, Illustrator und Acrobat) nerven. Mach das dann immer manuell, wenn ichs benötige. Mehr nicht. So schadet das aber nicht, oder? |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hey, Danke dir! Gerade gemacht. Im Anhang das Log. Welche Malware ist/war das denn? Wenn man einen USB-Stick anschließt, der auf einer der verseuchten Workstations dran war, erscheint immer eine Meldung wegen einer autorun.inf. Hat es der auf einen PC geschafft, obwohl ESET eigentlich gesagt hat, dass er die autorun.inf gelöscht hat? Danke. Lg Damnation |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo, alles ausgeführt. nach dem Neustart nach dem Combofix, war aber ewigkeiten die blaue Shell mit der Aussage, dass das Log jetzt erstellt wird offen. Irgendwann ist der PC ausgegangen. Hab ein Log gefunden (c:\cofi.exe\combofix.txt). Weiß nicht, ob das die richtige jetzt ist. Welche malware hatte ich denn? Danke!!! Damnation Code: ComboFix 11-03-23.03 - ZED 23.03.2011 18:18:09.1.2 - x86 |
Ganz duch sind wir noch nicht. Zitat:
Deinstallier es mal, dann sehen wir weiter. |
Wow. Das hätt ich jetzt nicht erwartet. Hier im Trojaner Universum hat sich ja einiges geändert. Keine HJT logs mehr, keine Firewalls mehr. :) einzeln deinstallieren geht nicht, aber werd dann Smart Security neu draufspielen, aber ohne Firewall. Danke einstweilen. Melde mich dann zurück, wenn alles klappt. Die Malware ist jetzt beseitigt? Wie krieg ich das denn jetzt hin, dass ich die autorun.inf Malware, die man hier per USBStick bekommt, nicht mehr kriege? Danke! Damnation |
Zitat:
Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Gehe nun wie folgt vor (Anleitung):
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist. Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal. |
Hallo, hab jetzt nur noch das Antivirus von ESET drauf. Dann hoff ich mal, dass ich geschützt bin. USB Stick hab ich auch bereinigt. Desktop ist aber nicht kurz verschwunden, wie in der anleitung beschrieben. Bin mir also nicht sicher, ob das funktioniert hat... Danke vielmals für deine Hilfe, Cosinus. Lg Damnation |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html |
Code: 2011/03/24 16:08:15.0324 5656 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28G:\VEROVALA\nebih.exe - Variante von Win32/Bflient.P Wurm G:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe - Win32/AutoRun.Agent.LG Wurm G:\9g86.exe - Win32/PSW.OnLineGames.NNU Trojaner G:\autorun.inf - INF/Autorun Virus G:\desktop.dll - Win32/AutoRun.COB Wurm 5 Meldungen. Ich nehm mal an, dass das Autorun Removal tool nicht funktioniert hat? Danke |
Hab gerade nochmal neugescannt und desinfiziert und jetzt sind die 5 genannten Sachen aber weg. Dennoch. Das Autorun disinfection tool scheint nicht so zu funktionieren, wie es in der anleitung beschrieben ist. Ich klick doppelt drauf, dann werd ich gefragt, ob ichs als Admin ausführen will. Dann erscheint kurz die Sanduhr am mauszeiger und dann wars das... |
Hast du die Tools per Rechtsklick als Admin ausgeführt? Sieht so aus, als wenn du es nicht getan hättest. Würde erklären warum der FlashDisinfector nicht funktionierte und warum das Log vom TDSS-Killer so kurz ist. Bitte prüfen und ggf. wiederholen. |
Hab den TDSS Killer und den FlashDisinfector beide nochmal als Admin ausgeführt (wird aber eh glaub ich automatisch gemacht, weil dieses Schildsymbol im Desktopsymbol zu sehen ist). Unveränderter Ausgang. TDSS Log sieht gleich aus. Flashdisinfector macht auch nicht mehr, als vorher. |
*hmpf* Dann mach so weiter: Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Kann das OSAM nicht runterladen. Zeigt mir immer einen Fehler, dass die Quelldatei nicht gelesen werden kann. Hier mal der Gmer Log: Code: GMER 1.0.15.15570 - hxxp://www.gmer.netMBRcheck sagt mir: Found non-standard or infected MBR. enter Y for more options or N for exit. Hab jetzt mal N gedrückt. Hier das Log: Code: MBRCheck, version 1.2.3 |
Für OSAM musst du McAfee deaktivieren! |
Ahh. Danke. Das erklärts ;) Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
Zitat:
|
Alles klar. Ist erledigt. :) |
Probier bitte nochmal den TDSS-Killer von Kaspersky und den FlashDisinfector. |
Log von TDSS: Code: 2011/03/25 11:37:23.0212 1192 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 |
Du führst auch alle Tools per Rechtsklick als Admin aus? :wtf: Wenn ja, erstell dir mal über die Systemsteuerung einen neuen Admin-User. Log dich aus und mit diesem neuen User ein. Probier da nochmal beide Tools aus. |
Ja. ich führe sie per Rechklick -> als Admin ausführen aus. Gerade das neue Konto gemacht. Alles wie vorher. Log sieht genauso aus, wie die anderen bisher. Auch das FlashDisinf. macht nix anderes. Diesmal hat er kurz danach aber gefragt, ob es denn richtig installiert wurde das tool und ob ich mit den gleichen einstellungen nochmal installieren will. Sonst tut sich aber nichts. |
Der TDSS Killer schaut übrigens mittlerweile anders aus. Is eh in Ordnung, oder? Hab einfach auf Scan geklickt und danach erscheint das Log automatisch. Soll ich mal den Norman TDSS Killer benutzen? |
Ja probier das Tool von Norman auch mal aus. |
Geht leider nicht: "Unable to load nsak.sys Error (0x00000001) |
Dann müssen wir wohl den MBR manuell mal fixen. Daten bleiben dabei erhalten. Du solltest trotzdem für den Fall der Fälle nochmal alles sichern. Hast du eine Win7-DVD 32-Bit zur Hand? Wenn du keine Win7-DVD hast, geht das auch mit einer Vista-Rescue-Disc, schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad die ISO-Datei herunter, brenn sie zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Wie gesagt, falls Du eine normale Windows-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Windows-DVD booten. Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Mach danach neue Logs mit MBRcheck und wenn's geht GMER. |
Ok. Werd morgen dann mal rohlinge kaufen gehen. Mit MBRCheck kann man das nicht reparieren? |
schoen. system is geschrottet nachdem ich es mit der vista recovery versucht hatte... natuerlich hab ich keine windows DVD zur verfuegung, um das Windows neu aufzusetzen jetzt. muss eigentlich was wichtiges arbeiten. so ein mist. beim Booten wird was von wegen "kann kein betriebssystem detektier werden"(oder so in der art) gesagt. Der befehl mit fixboot funktioniert nicht. meldet, dass kein betriebssystem ausgewaehlt ist oder sowas. Was kann ich jetzt noch machen? ich hab meine Win7 Installationsdvd auf der Platte, aber weiss nicht, wie ich das ueber die konsole auf den USB stick kopieren koennte. wie wuerde man das machen? Danke! Edit: scheinbar erkennt er meine C: Partition nicht. Koennte das an der Festplatten Encryption liegen? |
Besorg dir eine Win7-DVD und versuch damit den fixboot nochmal. |
Sieht sehr schlecht aus. Es wird meine Festplatte nicht mehr erkannt. Kann somit nicht mal Windows neuinstallieren. Anfangs wurde die Platte noch erkannt, aber jetzt nicht mehr. So ein Mist. Ich benoetige den PC unbedingt fuer die Arbeit. Weis nicht mal mehr, was ich jetyt machen kann ausser neue festplatte einbauen etc. |
Meine HDD wird als ungueltig erkannt und es nur eine 6gb grosse partition da. Kann es sein, dass da irgendwas schief gelaufen is und diese 6gb partition die Thinkpad service partition war? Wie krieg ich die HDD wieder als gueltig ohne Daten yu verlieren? Edit. laut diskpart ist meine HDD ungueltig und offline. kriegs aber nicht online. wie muss ich da vor gehen? |
Hallo, hab mir jetzt kurzerhand eine neue externe Festplatte gekauft. Festplatten getauscht und hab jetzt wieder windows am Laufen. Ohne Malware ;) Jetzt geht es aber um meine Daten! Die sind sehr wichtig. Meine Doktorarbeit hängt davon ab. In der Datenträgerverwaltung erscheint die HDD jetzt als ungültig. Lässt sich nicht "reaktivieren". Wie komm ich jetzt an die Daten? Danke für eure Hilfe. Damnation |
Versuch mal mit Testdisk die Platte bzw. den MBR zu reparieren => TestDisk, Download bei heise |
Muss ich dann die Festplatte wieder umbaun, um zu sehen, ob es funktioniert hat? |
Um an deine Daten wieder ranzukommen ist das prinzipiell egal in welchem Rechner die Platte steckt. |
Ich meinte halt, ob es vom Externen Festplatten Gehäuse dann gehen sollte oder ob die Platte eingebaut sein muss. Danke ;) |
Hm, sollte auch gehen wenn sie extern ist. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board