Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dropper.Gen im Firmennetzwerk entfernen (https://www.trojaner-board.de/75983-tr-dropper-gen-firmennetzwerk-entfernen.html)

nostream 02.08.2009 16:27
TR/Dropper.Gen im Firmennetzwerk entfernen
 
Hi,

wir haben auf unseren Workstations im Firmennetzwerk Avira AntiVir installiert. Auf allen Workstations wird alle paar Stunden und manchmal bei allen Workstations gleichzeitig der Alarm "TR/Dropper.Gen" von AntiVir ausgegeben.

Befallene Dateien sind:

1.) C:\Windows\System32\qfmmm.gft
2.) C:\Windows\System32\ggjjofk.uw

Wahrscheinlich alternieren die Dateien auch die Betroffen sind, aber die User an den Workstations löschen die Dateien bei Alarm einfach, so dass mir momentan nur diese beiden Namen bekannt sind.

Problem ist, dass das Löschen der betreffenden Dateien auf den Worksations mit AntiVir nicht wirklich zum Erfolg führt, da die Fehlermeldung dann nach einiger Zeit wieder auftritt.

Ich vermute deshalb, dass entweder:

1.) AntiVir den tatsächlichen Grund der Infektion nicht richtig erkennt und behebt und nur die Dateien im System32-Verzeichnis löscht, obwohl noch andere Dateien betroffen sind und wieder neue Dateien generiert werden, was z. B. auf ein Rootkit schließen lassen würde.

oder

2.) Sich der Trojaner - wie ein Wurm - nachdem er auf einer Workstation gelöscht wurde, wieder über das Firmennetzwerk verbreitet und sich die bereits bereinigte Workstation die Infektion erneut einfängt.

Bisherige Maßnahmen auf meinem Admin-Rechner bei deaktivierter Systemwiederherstellung:

1.) Komplett-Scan mit AntiVir - nichts zusätzlich gefunden
2.) Komplett-Scan mit Panda Online-Virencheck - nichts gefunden
3.) Komplett-Scan mit Spy-Bot - einiges gefunden und alles entfernen lassen

Ein HijackThis Log kann ich erst am morgigen Montag erstellen, da ich momentan zuhause bin und keinen VPN-Zugriff aufs Firmennetz habe.

Was mich aber schonmal interessieren würde ist, was ich unternehmen kann, damit die Ausbreitung übers Netzwerk ausgeschlossen bzw. genauer bestimmt werden kann. Ich dachte mir ich aktiviere auf meiner Admin-Workstation zunächst die Windows-Firewall mit der Option "Keine Ausnahmen" und führe dann die von euch empfohlenen Maßnahmen auf meiner Admin-Workstation durch. Anschließend - falls sich das System bereinigen ließ - deaktiviere ich die Firewall wieder. Fange ich mir den Trojaner wieder ein, sollte klar sein, dass sich der Trojaner übers Netzwerk verbreitet? Oder soll ich z. B. mit Wireshark nach bestimmten Netzwerkverkehr suchen?

Vielen Dank für eure Hilfe,
nostream


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:44 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129