Auf dem Server kriege ich mit Glem eine Rootkit Meldung, wie weiter? |
||
---|---|---|
#0
| ||
25.02.2009, 14:49
...neu hier
Beiträge: 9 |
||
|
||
25.02.2009, 15:04
Moderator
Beiträge: 7805 |
#2
Mit recht. Die wenigsten "Standardtools" fuer den Normaluser funktionieren unter Server und 64 Bit Betriebssystemen, so wie man es gewohnt ist.
Frage ist, was wurde auf den Clients gefunden und was soll diese angebliche Malware gemacht haben. Nebenbei, deine Gmer Version ist veraltet.... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.02.2009, 15:36
...neu hier
Themenstarter Beiträge: 9 |
#3
@raman
Zitat Frage ist, was wurde auf den Clients gefunden und was soll diese angebliche Malware gemacht haben.Das weiss ich nicht, ich wurde als drittperson hinzugezogen. Da ich den Server aufgesetzt und installiert hatte. Aber um die kosten zu sparen wurde der Gärtner gebeten die ganze Misere zum laufen zu bringen. Jetzt aber als gewisse Richtlinien und Berechtigungen und Offline Synchronisationen nicht mehr funktionierten, haben die mich angerufen. Ich habe ja Trendmicro auf dem Server installiert und ich konnte da nicht updaten, da ist mir auch aufgefallen das etwas mit dem Server nicht stimmt. Zitat Nebenbei, deine Gmer Version ist veraltet....Was kannst du mir empfehlen? Was soll ich tun? Danke dir! |
|
|
||
25.02.2009, 15:52
Moderator
Beiträge: 7805 |
#4
Du kannst ja eine aktuelle Version von Gmer nutzen!
Mache auch ein paar Kontrollscans mit der Avira Bootcd http://board.protecus.de/t23979.htm und der von Kaspersky. Link hab ich gerade nicht parat, aber google wird einen haben... Nur damit du erstmal die Malwaredateien finden kannst. Aber ob dir das im Endeffekt etwas bringt!? Gibt es kein einigermassen aktuelles Backup von der Betriebssystem Installation? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.02.2009, 09:02
...neu hier
Themenstarter Beiträge: 9 |
#5
Hallo Raman
Danke für die Antwort. Mit der aktuellsten GMER zeigt es mir genau das gleiche an. Zitat Nur damit du erstmal die Malwaredateien finden kannst. Aber ob dir das im Endeffekt etwas bringt!?Also ich habe ja jetzt Malwarescan und TrendMicro die "Business Worry Free Advance Version" installiert und er findet dort nichts. Die frage ist überhaupt ob ich der Meldung von GMER vertrauen kann? Das was nicht stimmt und die zwei EInträge in der Registry: Zitat HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dllnicht sauber sind das ist klar. Auch "wpotz" zum Beispiel sagt mir im Göögle gar nichts. Nur was heisst diese Meldung: Zitat Service C:\WINDOWS\System32\sbscrexe.exe (*** hidden *** ) [AUTO] SBCore <-- ROOTKIT !!!Sind die Dateien "injeziiert" mit einem Droper oder sind die Dateien nicht Original? Die werden doch vom Server verwendet, das sind doch Systemdateien. Die kann ich ja nicht löschen. Gebe es ein anderes Tool was mir nun bestätitgt das ich ein Datastream Tootkit habe? Danke in voraus für eine Antwort Elena P.S. Betreffend Backup, nein der Kunde wollte dies nicht, wie immer das selbe. Jetzt erntet er das was er säte. |
|
|
||
26.02.2009, 10:16
Moderator
Beiträge: 7805 |
#6
Ich hoffe du machst es ihm schoen teuer!
Zu den Gmer Funden. Die Richtung von dem was Gmer meldet passt schon. Schau mit Hilfe einer Livecd(Winpe oder Linux) nach, ob du die von gmer gemeldete dll so finden kannst. Wenn du den Rechner so startest, kann si sich ja nicht verstecken Es gibt Malware, die Gmer soetwas anzeigen laesst, obwohl die Datei selber eine Systemdatei ist Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wpotz <-- ROOTKIT !!! Achso, du solltest die DLL eigentlich auch ueber gmer und dem Reiter files finden koennen... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.02.2009, 10:19
...neu hier
Themenstarter Beiträge: 9 |
#7
@raman
Zitat Achso, du solltest die DLL eigentlich auch ueber gmer und dem Reiter files finden koennen...Die lyxroxym.dll Datei habe ich niergens gefunden, mit GMER nicht und IceSword auch nicht. Mit eine BartCD habe ich auch gestartet und nichts gefunden. Zitat Es gibt Malware, die Gmer soetwas anzeigen laesst, obwohl die Datei selber eine Systemdatei istUnd das heisst. Die Datei ist eine Systemdatei und die ist infiziert. Ich müsste Sie also von einer CD entpacken und dann ersetzen? Oder zeigt mit GMER an einfach wie die Datei angezeigt wird vom System her und in wirklichkeit heisst Sie völlig anders und hat einen anderen Namen? Danke in voraus wenn du mir noch die Fragen beantworten könntest. Liebe grüsse Elena |
|
|
||
Auf dem SBS2003 Server habe ich mit "GMER" einen Virus gefunden. Scheinbar wurde dieser Virus von einem Client übertragen worden (ja der Kunde wollte anfangs keine Antiviruslösung.). Alle WinXP Clients wurden neu aufgesetzt und mit "TrendMicro Business Worry Free" bewaffnet. Den Server kann ich nicht neu aufsetzten. Der Aufwand wäre zugross.
Ich habe folgendes versucht:
Malwarebytes ==> nichts gefunden.
HiJackThis ==> nichts gefunden.
StingerMcAfee ==> konnte ich nicht aufstarten.
Andere Antivirus und Spywarelösungen konnte ich auch nicht ausführen.
Ich erhielt immer eine Fehlermeldung oder Windows Explorer/Taskbar startete neu.
Interessanterweise konnte ich auch nicht auf Antivirenserverseiten mit dem IE7/Firefox, die Seite wurde einfach gesperrt. Genauso mit der Microsoft.com Seite.
Als ich nun auf dem Server "TrendMicro Business Worry Free" installierte konnte ich es nicht updaten. Ist ja klar alles war ja gesperrt.
Mit GMER habe ich folgende log:
Zitat
Ich habe die Datei C:\WINDOWS\system32\lyxroxym.dll nicht gefunden. Die gibts gar nicht. Jetzt habe ich aber in der Registry mit "GMER" folgende Einträge abgeändert:HKLM\SYSTEM\CurrentControlSet\Services\SBCore\
HKLM\SYSTEM\ControlSet002\Services\wpotz
Da ich die Einträge nicht löschen konnte, habe ich einfach bei folgenden Werten die Zeichenfolge in XXXXXXXXXXXXXXXXX geändert.
HKLM\SYSTEM\CurrentControlSet\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll
HKLM\SYSTEM\ControlSet002\Services\wpotz\Parameters@ServiceDll C:\WINDOWS\system32\lyxroxym.dll
Seitdem funtkionieren wieder die Seiten und ich kann auch TrendMicro updaten.
Nur beim erneutem Scan von "GMER" erhalte ich die obige log das immer noch der Rootkit existiert.
Hat irgendeiner eine Idee?
Danke in voraus für die Hilfe, dies wäre sehr lieb von euch!
Namaste
Elena
P.S. Mit dem Tool "The Avenger" (by swandog46) habe ich versucht die Einträge zu löschen. Nur funktioniert es nicht mit Server?