18
Conficker Neuinfzierung
Hallo zusammen
Bei einem unserer Kunden kämpfen wir gerade gegen den Conficker Virus, wobei wir die Systemabstürze und Ausfälle unter Kontrolle haben, seit wir den Patch von MS eingespielt haben.
Leider haben wir es bisher nicht geschafft, den Virus komplett zu entfernen. Zwar finden unsere Removaltools den Virus und beseitigen diesen erwartungsgemäss. Aber er installiert sich immer wieder.
Betreffend diesem Thema habe ich schon intensive Forschungen hinter mir und habe bisher noch keine Infos darüber bekommen, wie man einen Rechner vor einer neuinfzierung schützen kann.
Was habe ich alles Probiert:
Tools:
Kaspersky
Sophos
Bitdefender
Symantec
F-Secure
Panda Maleware
Einstellung:
- Systemwiederherstellung abgeschaltet
- Patch KB958644installiert
- Regfix von AVIRA eingespielt
- http://support.microsoft.com/kb/962007 (Hatte dann richtig Probleme mit Winlogon und musste diesen Rechner erst mittels XP CD reparieren)
Momentan lasse ich einen noch Test mit dem gesperrten Autorun laufen, bezweifle jedoch ob dieser klappt.
Hat sonst noch jemand eine Idee
Danke und Gruss MoonX
Leider haben wir es bisher nicht geschafft, den Virus komplett zu entfernen. Zwar finden unsere Removaltools den Virus und beseitigen diesen erwartungsgemäss. Aber er installiert sich immer wieder.
Betreffend diesem Thema habe ich schon intensive Forschungen hinter mir und habe bisher noch keine Infos darüber bekommen, wie man einen Rechner vor einer neuinfzierung schützen kann.
Was habe ich alles Probiert:
Tools:
Kaspersky
Sophos
Bitdefender
Symantec
F-Secure
Panda Maleware
Einstellung:
- Systemwiederherstellung abgeschaltet
- Patch KB958644installiert
- Regfix von AVIRA eingespielt
- http://support.microsoft.com/kb/962007 (Hatte dann richtig Probleme mit Winlogon und musste diesen Rechner erst mittels XP CD reparieren)
Momentan lasse ich einen noch Test mit dem gesperrten Autorun laufen, bezweifle jedoch ob dieser klappt.
Hat sonst noch jemand eine Idee
Danke und Gruss MoonX
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 121495
Url: https://administrator.de/contentid/121495
Printed on: April 20, 2024 at 00:04 o'clock
18 Comments
Latest comment
Eine Idee waere noch Stinger von McAfee laufen zu lassen. Welche Variante wurde den identifiziert?
BTW McAfee kann Conficker in all seinen Varianten mitlerweile ohne Probleme entfernen. Wichtig ist nur das eine reboot nach der Reinigung durchgefuehrt wird um den Arbeitsspeicher ebenfalls zu reinigen.
Ansonsten wuerde ich ein einmal komprimitiertes System nicht mehr trauen und es komplett neuinstallieren. Ihr habt doch sicher eine Datensicherung
.
BTW McAfee kann Conficker in all seinen Varianten mitlerweile ohne Probleme entfernen. Wichtig ist nur das eine reboot nach der Reinigung durchgefuehrt wird um den Arbeitsspeicher ebenfalls zu reinigen.
Ansonsten wuerde ich ein einmal komprimitiertes System nicht mehr trauen und es komplett neuinstallieren. Ihr habt doch sicher eine Datensicherung
.
Ich habe das komplette wochenende mit der beseitigung des Confiker.P (<-Die Version ist noch nirgends bekannt, nichtmal Avira wusste was von dessen existenz ) zugebracht, und habe alle entfernen können.
Die Punkte von oben nach unten durcharbeiten
Bei mir hat's funktioniert!
Gruß
) zugebracht, und habe alle entfernen können.Die Punkte von oben nach unten durcharbeiten
- Systemwiederherstellung deaktivieren
- SP3 installieren
- KB958644 installieren
- Regfix von Avira ausführen
- RootKitScan von Avira durchlaufen lassen
- Lokale Platten Scannen
- nach ca. 2h pro PC fertig
Bei mir hat's funktioniert!
Gruß
Hallo,
Während ihr versucht habt den Virus zu entfernen:
hängt der Rechner am LAN?
Hat der Rechner zugang zum Internet?
Gibt es auf dem Rechner Freigaben?
Wurde versucht den Virus mit z.b. Sophos Command Line (Extra Bootfähige CD erstellen) zu entfernen?
Welche Variante ist es?
Gibt es noch mehr PCs im Netzwerk?
Peter
Während ihr versucht habt den Virus zu entfernen:
hängt der Rechner am LAN?
Hat der Rechner zugang zum Internet?
Gibt es auf dem Rechner Freigaben?
Wurde versucht den Virus mit z.b. Sophos Command Line (Extra Bootfähige CD erstellen) zu entfernen?
Welche Variante ist es?
Gibt es noch mehr PCs im Netzwerk?
Peter
Hallo,
ich häng mich mal an den Beitrag dran.
Auch wir haben den Conficker B im Netzwerk. Leider waren unsere PCs nicht gepatcht.
Dies wurde/wird aber gerade nachgeholt.
Folgenden Stand haben wir:
Server 2003 komplett gepatcht und upgedatet (incl SP2): Infiziert mit dem Conficker B (auch teilweise die Ordner der User.
XP Clients (noch mit SP2): infiziert mit dem Conficker B
Ich habe einen Client mal nach Angaben von Avira bearbeitet (Rootkit Scan, regfix, kompletter Scan, Avira 9 über die SMC installiert, Systemwiderherstellung deaktiviert, Autorun deaktiviert). Hab den PC dann gescannt, Conficker gefunden und in Quarantäne geschickt. Dann noch das mrt von Microsoft duchlaufen lassen - ebenfalls gesäubert.
Nach einiger Zeit war er dann wieder da
Kann der Conficker trotzdem in ein gepatchtes System eindringen? Versteh ich nicht. Somit wäre doch die Arbeit Sinnlos, da es immer wieder User geben wird, die diesen im Netz verbreiten könnten. Ich dachte, der Patch etc. macht die PCs dicht; so dass der Conficker, wenn er einmal raus ist, auch nicht mehr rein kommt.
Kenn mich da aber leider nicht so aus. Vielleicht kann mir mal jemand auf die Sprünge helfen.
Gruß
Michael
P.S. Es gibt aber im Netzwerk momentan immer noch ungepatchte Systeme, da man ja nicht alle gleichzeitig bearbeiten kann.
ich häng mich mal an den Beitrag dran.
Auch wir haben den Conficker B im Netzwerk. Leider waren unsere PCs nicht gepatcht.
Dies wurde/wird aber gerade nachgeholt.
Folgenden Stand haben wir:
Server 2003 komplett gepatcht und upgedatet (incl SP2): Infiziert mit dem Conficker B (auch teilweise die Ordner der User.
XP Clients (noch mit SP2): infiziert mit dem Conficker B
Ich habe einen Client mal nach Angaben von Avira bearbeitet (Rootkit Scan, regfix, kompletter Scan, Avira 9 über die SMC installiert, Systemwiderherstellung deaktiviert, Autorun deaktiviert). Hab den PC dann gescannt, Conficker gefunden und in Quarantäne geschickt. Dann noch das mrt von Microsoft duchlaufen lassen - ebenfalls gesäubert.
Nach einiger Zeit war er dann wieder da
Kann der Conficker trotzdem in ein gepatchtes System eindringen? Versteh ich nicht. Somit wäre doch die Arbeit Sinnlos, da es immer wieder User geben wird, die diesen im Netz verbreiten könnten. Ich dachte, der Patch etc. macht die PCs dicht; so dass der Conficker, wenn er einmal raus ist, auch nicht mehr rein kommt.
Kenn mich da aber leider nicht so aus. Vielleicht kann mir mal jemand auf die Sprünge helfen.
Gruß
Michael
P.S. Es gibt aber im Netzwerk momentan immer noch ungepatchte Systeme, da man ja nicht alle gleichzeitig bearbeiten kann.
Hallo,
normalerweise nimmst du die rechner vom Netz bis das dein Netz wieder sauber ist. Warum schlägt aber dein Antivirus Programm auf dem Client nicht an wenn der nun gesäuberte Client wieder infiziert werden soll?
Peter
normalerweise nimmst du die rechner vom Netz bis das dein Netz wieder sauber ist. Warum schlägt aber dein Antivirus Programm auf dem Client nicht an wenn der nun gesäuberte Client wieder infiziert werden soll?
Peter
Mein Antivir schlägt ja auch an und entfernt diesen auch wieder. Bis zum nächsten mal...
Aber mal ne Frage: Was bringt die Patcherei, wenn sich das System durch einen verseuchten Client wieder komplett infiziert?
Ich dachte, die Patcherei bringt was....
Muss man jetzt ALLE Clients komplett vom Netz nehmen, scannen, säubern und erst dann wieder mit dem LAN verbinden?
Damit wäre die Anleitung die AVIRA mir geschickt hat ja völlig daneben. Diese empfehlen, per Konsole den regfix und rootkitscan auf die Clients zu kopieren und auszuführen. Anschliesen sollte noch ein Scan auf den Clients gemacht werden. Aber alles vom Server aus gesteuert. Somit wären die Clients aber noch mit dem LAN verbunden.
Macht irgendwie alles keinen Sinn
Gruß
Michael
P.S. Hab jetzt noch was gefunden:
Ich kann evtl. einen NEuinfizierung über das LAN nicht verhindern (falls ein ungepatchtes System noch mit drinnen ist), kann aber über die Patcherei und Einstellungen der Registry über die GPO einen Weiterverbreitung verhindern. Somit infizieren sich die Rechner wohl immer wieder, verbreiten den Conficker aber nicht mehr weiter. Sind alle Systeme gepatcht, dann sollte es irgendwann mal eine letzte Entfernung des Wurms geben. Ist das Richtig oder gibts einen Denkfehler???
Aber mal ne Frage: Was bringt die Patcherei, wenn sich das System durch einen verseuchten Client wieder komplett infiziert?
Ich dachte, die Patcherei bringt was....
Muss man jetzt ALLE Clients komplett vom Netz nehmen, scannen, säubern und erst dann wieder mit dem LAN verbinden?
Damit wäre die Anleitung die AVIRA mir geschickt hat ja völlig daneben. Diese empfehlen, per Konsole den regfix und rootkitscan auf die Clients zu kopieren und auszuführen. Anschliesen sollte noch ein Scan auf den Clients gemacht werden. Aber alles vom Server aus gesteuert. Somit wären die Clients aber noch mit dem LAN verbunden.
Macht irgendwie alles keinen Sinn
Gruß
Michael
P.S. Hab jetzt noch was gefunden:
Ich kann evtl. einen NEuinfizierung über das LAN nicht verhindern (falls ein ungepatchtes System noch mit drinnen ist), kann aber über die Patcherei und Einstellungen der Registry über die GPO einen Weiterverbreitung verhindern. Somit infizieren sich die Rechner wohl immer wieder, verbreiten den Conficker aber nicht mehr weiter. Sind alle Systeme gepatcht, dann sollte es irgendwann mal eine letzte Entfernung des Wurms geben. Ist das Richtig oder gibts einen Denkfehler???
Hallo,
nun es macht ja keinen Sinn den PC zu bereinigen, ihn aber am netz hängen zu lassen damit er wieder infiziert werden kann. Welcher Version von Antivir setzt du ein? Da ich oft Sophos einsetze, deshalb auch hier deren Anleitung:
http://www.sophos.de/support/knowledgebase/article/51169.html
Siehe aber besonders den Abschnitt
2. Netzwerkquarantäne zur Verhinderung der Infektionsausbreitung
Trennen Sie alle infizierten Computer durch Abziehen der Netzwerkkabel vom Netzwerk ab.
oder
Unterbinden Sie den Netzwerkzugriff über Client-Firewalls:
Bei Einsatz der Windows-Firewall über eine Gruppenrichtlinie:
1.Bearbeiten Sie die Gruppenrichtlinie für alle Computer.
2.Sie finden diese Einstellungen im Bereich "Computerkonfiguration" > "Administrative Vorlagen" > "Netzwerk" > "Netzwerkverbindungen", "Windows-Firewall" > "Domänenprofil" > "Windows-Firewall: "Ausnahme für Datei- und Druckerfreigabe zulassen".
3.Doppelklicken Sie darauf und deaktivieren Sie die Option
Peter
nun es macht ja keinen Sinn den PC zu bereinigen, ihn aber am netz hängen zu lassen damit er wieder infiziert werden kann. Welcher Version von Antivir setzt du ein? Da ich oft Sophos einsetze, deshalb auch hier deren Anleitung:
http://www.sophos.de/support/knowledgebase/article/51169.html
Siehe aber besonders den Abschnitt
2. Netzwerkquarantäne zur Verhinderung der Infektionsausbreitung
Trennen Sie alle infizierten Computer durch Abziehen der Netzwerkkabel vom Netzwerk ab.
oder
Unterbinden Sie den Netzwerkzugriff über Client-Firewalls:
Bei Einsatz der Windows-Firewall über eine Gruppenrichtlinie:
1.Bearbeiten Sie die Gruppenrichtlinie für alle Computer.
2.Sie finden diese Einstellungen im Bereich "Computerkonfiguration" > "Administrative Vorlagen" > "Netzwerk" > "Netzwerkverbindungen", "Windows-Firewall" > "Domänenprofil" > "Windows-Firewall: "Ausnahme für Datei- und Druckerfreigabe zulassen".
3.Doppelklicken Sie darauf und deaktivieren Sie die Option
Peter
Hallo
Wie willst du das "verbreiten" verhindern? Wo hast du das her? Was ist die Quelle?
[Edit] Sorry, überlesen. Der KB eintrag besagt ja nur das du damit verhinderst das ein befallenes System erneut zum Verbreiter werden, vorausgesetzt du hast den Conficker Erfolgreich beendet / entfernt. Er ist dann nicht iun der Lage nach einem Neustart nochmals zu starten. Das damit aber auch andere Dienste betroffen seien können ist Dir schon klar. Da bevorzuge ich doch lieber "vom Netzt nehmen". [Edit]
Peter
Mein Antivir schlägt ja auch an und entfernt diesen auch wieder.
Bis zum nächsten mal...
Ist es ein Online (OnAccess) Scanner?Bis zum nächsten mal...
Aber mal ne Frage: Was bringt die Patcherei, wenn sich das System
durch einen verseuchten Client wieder komplett infiziert?
Das patchen alleine hilft ja nicht!durch einen verseuchten Client wieder komplett infiziert?
Muss man jetzt ALLE Clients komplett vom Netz nehmen, scannen,
säubern und erst dann wieder mit dem LAN verbinden?
Ja.säubern und erst dann wieder mit dem LAN verbinden?
Damit wäre die Anleitung die AVIRA mir geschickt hat ja
völlig daneben. Diese empfehlen, per Konsole den regfix und
rootkitscan auf die Clients zu kopieren und auszuführen.
Anschliesen sollte noch ein Scan auf den Clients gemacht werden. Aber
alles vom Server aus gesteuert. Somit wären die Clients aber noch
mit dem LAN verbunden.
Und damit soll der Conficker aus deinem LAN entfernt sein? Unglaublich.völlig daneben. Diese empfehlen, per Konsole den regfix und
rootkitscan auf die Clients zu kopieren und auszuführen.
Anschliesen sollte noch ein Scan auf den Clients gemacht werden. Aber
alles vom Server aus gesteuert. Somit wären die Clients aber noch
mit dem LAN verbunden.
P.S. Hab jetzt noch was gefunden:
Ich kann evtl. einen NEuinfizierung über das LAN nicht
verhindern (falls ein ungepatchtes System noch mit drinnen ist), kann
aber über die Patcherei und Einstellungen der Registry über
die GPO einen Weiterverbreitung verhindern. Somit infizieren sich die
Rechner wohl immer wieder, verbreiten den Conficker aber nicht mehr
weiter.
verhindern (falls ein ungepatchtes System noch mit drinnen ist), kann
aber über die Patcherei und Einstellungen der Registry über
die GPO einen Weiterverbreitung verhindern. Somit infizieren sich die
Rechner wohl immer wieder, verbreiten den Conficker aber nicht mehr
weiter.
Wie willst du das "verbreiten" verhindern? Wo hast du das her? Was ist die Quelle?
[Edit] Sorry, überlesen. Der KB eintrag besagt ja nur das du damit verhinderst das ein befallenes System erneut zum Verbreiter werden, vorausgesetzt du hast den Conficker Erfolgreich beendet / entfernt. Er ist dann nicht iun der Lage nach einem Neustart nochmals zu starten. Das damit aber auch andere Dienste betroffen seien können ist Dir schon klar. Da bevorzuge ich doch lieber "vom Netzt nehmen". [Edit]
Peter
Hallo,
wir haben AVIRA Antivir 9 Pro.
Hier nochmal etwas, was ich gelesen habe:
http://support.microsoft.com/kb/962007/de
Darin geht es um folgendes:
Stoppen der Verbreitung von Conficker durch Gruppenrichtlinien
Hinweise:
Mit diesem Verfahren wird die Conficker-Schadsoftware nicht vom System entfernt. Es wird lediglich ihre Weiterverbreitung gestoppt. Zum Entfernen der Conficker-Schadsoftware sollten Sie ein Antivirenprogramm verwenden. Sie können die Schadsoftware auch manuell vom System zu entfernen. Führen Sie dazu die Schritte aus, die im Abschnitt "Manuelle Schritte zum Entfernen der Conficker.b-Variante" weiter unten in diesem Knowledge Base-Artikels beschrieben werden.
Meine Meinung dazu:
Ich kann evtl. einen NEuinfizierung über das LAN nicht verhindern (falls ein ungepatchtes System noch mit drinnen ist), kann aber über die Patcherei und Einstellungen der Registry über die GPO einen Weiterverbreitung verhindern. Somit infizieren sich die Rechner wohl immer wieder, verbreiten den Conficker aber nicht mehr weiter. Sind alle Systeme gepatcht, dann sollte es irgendwann mal eine letzte Entfernung des Wurms geben. Ist das Richtig oder gibts einen Denkfehler???
wir haben AVIRA Antivir 9 Pro.
Hier nochmal etwas, was ich gelesen habe:
http://support.microsoft.com/kb/962007/de
Darin geht es um folgendes:
Stoppen der Verbreitung von Conficker durch Gruppenrichtlinien
Hinweise:
Mit diesem Verfahren wird die Conficker-Schadsoftware nicht vom System entfernt. Es wird lediglich ihre Weiterverbreitung gestoppt. Zum Entfernen der Conficker-Schadsoftware sollten Sie ein Antivirenprogramm verwenden. Sie können die Schadsoftware auch manuell vom System zu entfernen. Führen Sie dazu die Schritte aus, die im Abschnitt "Manuelle Schritte zum Entfernen der Conficker.b-Variante" weiter unten in diesem Knowledge Base-Artikels beschrieben werden.
Meine Meinung dazu:
Ich kann evtl. einen NEuinfizierung über das LAN nicht verhindern (falls ein ungepatchtes System noch mit drinnen ist), kann aber über die Patcherei und Einstellungen der Registry über die GPO einen Weiterverbreitung verhindern. Somit infizieren sich die Rechner wohl immer wieder, verbreiten den Conficker aber nicht mehr weiter. Sind alle Systeme gepatcht, dann sollte es irgendwann mal eine letzte Entfernung des Wurms geben. Ist das Richtig oder gibts einen Denkfehler???
Wenn ich jetzt die MS Anleitung durchführe, verhindere ich doch die Verbreitung von diesen PCs (auch wenn diese noch infiziert sein sollten).
Wurde dieses Vorgehen auf allen Clients ausgeführt, könnte sich der Conficker danach nicht mehr weiter verbreiten (im Lan oder sonstwo).
Entferne ich den Conficker danach per mrt oder mit irgend einem anderen Tool (nachdem kein Client diesen mehr versenden kann), müsste sich doch das Problem erledigt haben?!
Bin grad nicht in der Lage, alle Clients vom Netz zu nehmen, da daran "leider" gearbeitet wird.
Bin für über 200 PCs alleine verantwortlich - mir fehlt einfach die Manpower händisch daran zu gehen(((
Gruß Micha
Edit: In dem MS Artikel steht ganz zum Schluß noch folgendes:
--> Bereinigen Sie die Systeme nach der Übertragung der Gruppenrichtlinie von Schadsoftware.
Wurde dieses Vorgehen auf allen Clients ausgeführt, könnte sich der Conficker danach nicht mehr weiter verbreiten (im Lan oder sonstwo).
Entferne ich den Conficker danach per mrt oder mit irgend einem anderen Tool (nachdem kein Client diesen mehr versenden kann), müsste sich doch das Problem erledigt haben?!
Bin grad nicht in der Lage, alle Clients vom Netz zu nehmen, da daran "leider" gearbeitet wird.
Bin für über 200 PCs alleine verantwortlich - mir fehlt einfach die Manpower händisch daran zu gehen
(((Gruß Micha
Edit: In dem MS Artikel steht ganz zum Schluß noch folgendes:
--> Bereinigen Sie die Systeme nach der Übertragung der Gruppenrichtlinie von Schadsoftware.
Hallo
Sorry für die mehrarbeit. Aber ich würde jetzt nachdenken, wie konnte das passieren und wie unterbinde ich das in Zukunft. Firmenpolicies überarbeiten und umsetzen.
Peter
Wenn ich jetzt die MS Anleitung durchführe, verhindere ich doch
die Verbreitung von diesen PCs (auch wenn diese noch infiziert sein
sollten).
Wurde dieses Vorgehen auf allen Clients ausgeführt, könnte
sich der Conficker danach nicht mehr weiter verbreiten (im Lan oder
sonstwo).
Richtig.die Verbreitung von diesen PCs (auch wenn diese noch infiziert sein
sollten).
Wurde dieses Vorgehen auf allen Clients ausgeführt, könnte
sich der Conficker danach nicht mehr weiter verbreiten (im Lan oder
sonstwo).
Entferne ich den Conficker danach per mrt oder mit irgend einem
anderen Tool (nachdem kein Client diesen mehr versenden kann),
müsste sich doch das Problem erledigt haben?!
nein. Du hast mit obigem zwar die zukünftige verbreitung verhindert, da aber noch Rechner infiziert sind, werden obige wieder infiziert.anderen Tool (nachdem kein Client diesen mehr versenden kann),
müsste sich doch das Problem erledigt haben?!
Bin grad nicht in der Lage, alle Clients vom Netz zu nehmen, da daran
"leider" gearbeitet wird.
Bin für über 200 PCs alleine verantwortlich - mir fehlt
einfach die Manpower händisch daran zu gehen(((
Das ist schon klar das es ein widerspruch ist nämlich Rechner vom Netz nehmen und trotzdem Arbeiten. Das ist auch sogenanntes "Worst Case Szenario" und da müssen dann auch mal härtere massnahmen greifen dürfen / können. Natürlich mit der GF abklären. Aber solange du dein Netz nicht sauber, wird es von deinem Netz auch verbreitet, evt. auch zu euren Kunden etc."leider" gearbeitet wird.
Bin für über 200 PCs alleine verantwortlich - mir fehlt
einfach die Manpower händisch daran zu gehen
(((Edit: In dem MS Artikel steht ganz zum Schluß noch folgendes:
--> Bereinigen Sie die Systeme nach der Übertragung der
Gruppenrichtlinie von Schadsoftware.
Klar. MS entfernt den nicht. Warum. dafür gibt es doch die AV Hersteller.--> Bereinigen Sie die Systeme nach der Übertragung der
Gruppenrichtlinie von Schadsoftware.
Sorry für die mehrarbeit. Aber ich würde jetzt nachdenken, wie konnte das passieren und wie unterbinde ich das in Zukunft. Firmenpolicies überarbeiten und umsetzen.
Peter
Du hast geschrieben:
nein. Du hast mit obigem zwar die zukünftige verbreitung verhindert, da aber noch Rechner infiziert sind, werden obige wieder infiziert.
Das ist mir klar. Aber diese neu infizierten PCs können den Conficker dann nicht mehr verteilen?! Richtig?
Somit habe ich dann zwar weiterhin ein infiziertes LAN, aber nur noch solange bis alle Clients diesen Wurm nicht mehr weiterverteilen. Diese bekommen Ihn dann nur noch solange, bis alle Clients an der Verteilung gehindert werden.
Wenn ich anschliesend Alle diese PCs (welche nur noch Träger, aber nicht mehr verteiler sind) desinfiziere, ist er doch auch weg?
Gruß Micha
P.S. Aus diesem Szenario zieh ich meine Lehren...!
nein. Du hast mit obigem zwar die zukünftige verbreitung verhindert, da aber noch Rechner infiziert sind, werden obige wieder infiziert.
Das ist mir klar. Aber diese neu infizierten PCs können den Conficker dann nicht mehr verteilen?! Richtig?
Somit habe ich dann zwar weiterhin ein infiziertes LAN, aber nur noch solange bis alle Clients diesen Wurm nicht mehr weiterverteilen. Diese bekommen Ihn dann nur noch solange, bis alle Clients an der Verteilung gehindert werden.
Wenn ich anschliesend Alle diese PCs (welche nur noch Träger, aber nicht mehr verteiler sind) desinfiziere, ist er doch auch weg?
Gruß Micha
P.S. Aus diesem Szenario zieh ich meine Lehren...!
Nach einiger Zeit war er dann wieder da
Das Problem kenne ich.
Wenn du sicher bist das deine Server "Clean" sind mußt du bei den Ordnerberechtigungen nach Gemeinsamkeiten suchen [Alle Berechtigungen anschauen, gibts da eine Maschine die für jedes Infizierte Verzeichnis Schreibrechte hat ?], dann hast du den Verursacher !
Laß mich raten, nach der Neuinfizierung, hast du den Conficker nur in bestimmten Verzeichnissen gefunden ?
Wie meine Vorredner schon sagten, vom LAN trennen , und Suche starten ist der einfachste Weg wenn dein netz noch nicht so groß ist.
Wenn die Leutz noch an den Kisten arbeiten , sollten diese eine Zwangspause einlegen sonst wirst du das Teil nie los.
Es gibt nur einen vernüftigen Weg.
1 .Alle Rechner vom Netz.
2. Antivirus Boot CD erstellen. (am besten zwei verschiedene Hersteller benutzen )
http://download.bitdefender.com/rescue_cd/BitDefenderRescueCD_v2.0.0_3_ ...
http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system ...
3. Alle Rechner von dieser Boot CD prüfen lassen.
4. Alles Patches und Updates auf allen Servern und Clients installieren.
5. Alles Virenscanner auf den Aktuellen Stand bringen.
Gruß Marcus
1 .Alle Rechner vom Netz.
2. Antivirus Boot CD erstellen. (am besten zwei verschiedene Hersteller benutzen )
http://download.bitdefender.com/rescue_cd/BitDefenderRescueCD_v2.0.0_3_ ...
http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system ...
3. Alle Rechner von dieser Boot CD prüfen lassen.
4. Alles Patches und Updates auf allen Servern und Clients installieren.
5. Alles Virenscanner auf den Aktuellen Stand bringen.
Gruß Marcus
Guten Morgen,
ich möchte mich diesem Beitrag einmal anschließen. Leider nur als Opfer.
Bei uns ist der Conficker- Wurm letzte Woche Dienstag das erste mal trotz komplett gepatchter Systeme aufgetreten. Wir nutzen G-DATA 10 mit neuesten Viren- und Programmversionen. Gemeldet wurde uns der Fund von \"Win32.Worm.Downadup.Gen\".
Dieser verbreitete sich dann natürlich dank Freigaben ruckzuck im Netzwerk.
Mittlerweile ist es uns durch deaktivieren des Taskplaners und entziehen der Schreibrechte für den Admin und das System auf den System32 Ordner halbwegs gelungen die Infektionen einzudämmen. (Quelle für die Maßnahmen war Microsoft). G-Data löscht natürlich den Virus.
Ich habe dann gestern sicherheitshalber nochmal die MRT auf den Servern angeschmissen um zu schauen ob wirklich alles weg war. Diese hat jedoch wider erwarten etwas gefunden ohne das G-Data sich gemeldet hat.
Seit Donnerstag allerdings fällt uns auf, dass der Virus scheinbar auf dem Domänen-Controllern die Konten zu deaktivieren scheint. Nach ettlichen Berichten und dem einschalten der An-und Abmelde Ereignisse ist mit aufgefallen, dass ein PC sich jede Sekunde 16mal mit einem Benutzer versucht anzumelden. Sobald das nicht mehr geht (ich nehme an, dass er es dann geschafft hat den Benutzer zu deaktivieren) nimmt er sich den nächsten Benutzer vor. Eine Reihenfolge scheint es dabei nicht zu geben.
Diesen PC hab ich natürlich direkt aus dem Netz genommen und die Meldungen verschwanden. Ich habe dann wiedereinmal alle Konten aktiviert. Leider wurden dann letzte Nacht wieder alle Konten deaktiviert, trotz das der besagt PC nicht an und nicht am Netzwerk war.
Gibt es eine Möglichkeit vorrübergehend die deaktivierung der Konten auszuschalten, so dass es dem Conficker nicht mehr möglich ist die Konten (von wo auch immer) zu deaktivieren. Das wäre zwar vorrübergehend eine Sicherheitslücke, würde uns aber etwas Zeit verschaffen.
Hat sonst evtl. noch jemand Tipps wie ich dem Virus auf die schliche kommen kann, bzw. wie ich genau herausfinde von welchem PC / Server aus das Konten-Bombardement ausgeführt wird?
Vielen Dank im Voraus und sorry für den langen Text.
ich möchte mich diesem Beitrag einmal anschließen. Leider nur als Opfer.
Bei uns ist der Conficker- Wurm letzte Woche Dienstag das erste mal trotz komplett gepatchter Systeme aufgetreten. Wir nutzen G-DATA 10 mit neuesten Viren- und Programmversionen. Gemeldet wurde uns der Fund von \"Win32.Worm.Downadup.Gen\".
Dieser verbreitete sich dann natürlich dank Freigaben ruckzuck im Netzwerk.
Mittlerweile ist es uns durch deaktivieren des Taskplaners und entziehen der Schreibrechte für den Admin und das System auf den System32 Ordner halbwegs gelungen die Infektionen einzudämmen. (Quelle für die Maßnahmen war Microsoft). G-Data löscht natürlich den Virus.
Ich habe dann gestern sicherheitshalber nochmal die MRT auf den Servern angeschmissen um zu schauen ob wirklich alles weg war. Diese hat jedoch wider erwarten etwas gefunden ohne das G-Data sich gemeldet hat.
Seit Donnerstag allerdings fällt uns auf, dass der Virus scheinbar auf dem Domänen-Controllern die Konten zu deaktivieren scheint. Nach ettlichen Berichten und dem einschalten der An-und Abmelde Ereignisse ist mit aufgefallen, dass ein PC sich jede Sekunde 16mal mit einem Benutzer versucht anzumelden. Sobald das nicht mehr geht (ich nehme an, dass er es dann geschafft hat den Benutzer zu deaktivieren) nimmt er sich den nächsten Benutzer vor. Eine Reihenfolge scheint es dabei nicht zu geben.
Diesen PC hab ich natürlich direkt aus dem Netz genommen und die Meldungen verschwanden. Ich habe dann wiedereinmal alle Konten aktiviert. Leider wurden dann letzte Nacht wieder alle Konten deaktiviert, trotz das der besagt PC nicht an und nicht am Netzwerk war.
Gibt es eine Möglichkeit vorrübergehend die deaktivierung der Konten auszuschalten, so dass es dem Conficker nicht mehr möglich ist die Konten (von wo auch immer) zu deaktivieren. Das wäre zwar vorrübergehend eine Sicherheitslücke, würde uns aber etwas Zeit verschaffen.
Hat sonst evtl. noch jemand Tipps wie ich dem Virus auf die schliche kommen kann, bzw. wie ich genau herausfinde von welchem PC / Server aus das Konten-Bombardement ausgeführt wird?
Vielen Dank im Voraus und sorry für den langen Text.
Hallo
also wir haben uns auch seid dem 2.11.09 (8:11 Uhr) den Conficker.B eingefangen.
Ich muss gestehen bei uns hatten nicht alle Server die aktuellen Patches (never touch a running system) Dies habe ich jetzt "glaube ich" unter kontrolle.
Pach von MS einspielen. Neu starten. MRT ausführen. Bisher sieht alles gut aus.
Eine besonderheit ist mir aber aufgefallen. Ich habe jetzt schon 3 PC`s mit XP die nach dem Neustart kaum noch Dienste starten (besonders die Netzwerkdienste).
Das heisst diese Rechner können nicht mehr auf unser Firmennetzwerk zugreifen. Ich kann auch die Dienste nicht manuell starten. Dabei ist merkwürdig, dass Windows es anscheint gar nicht richtig versucht. Es kommt "sofort" die Meldung Zeitüberschreitung beim starten.
Hat jeman vielleicht eine Idee womit das zusammenhängen kann? Die PC`s hatten XP SP3 - voll gepatch - Virusprogramm CA ETrust 8. Ich muss dazu sagen das diese Rechner erst diese Woche den Virenscanner bekommen haben (da war Conficker schon aktiv)
Vielen Dank im voraus.
also wir haben uns auch seid dem 2.11.09 (8:11 Uhr) den Conficker.B eingefangen.
Ich muss gestehen bei uns hatten nicht alle Server die aktuellen Patches (never touch a running system) Dies habe ich jetzt "glaube ich" unter kontrolle.
Pach von MS einspielen. Neu starten. MRT ausführen. Bisher sieht alles gut aus.
Eine besonderheit ist mir aber aufgefallen. Ich habe jetzt schon 3 PC`s mit XP die nach dem Neustart kaum noch Dienste starten (besonders die Netzwerkdienste).
Das heisst diese Rechner können nicht mehr auf unser Firmennetzwerk zugreifen. Ich kann auch die Dienste nicht manuell starten. Dabei ist merkwürdig, dass Windows es anscheint gar nicht richtig versucht. Es kommt "sofort" die Meldung Zeitüberschreitung beim starten.
Hat jeman vielleicht eine Idee womit das zusammenhängen kann? Die PC`s hatten XP SP3 - voll gepatch - Virusprogramm CA ETrust 8. Ich muss dazu sagen das diese Rechner erst diese Woche den Virenscanner bekommen haben (da war Conficker schon aktiv)
Vielen Dank im voraus.
Hallo swlPaule,
ich habe grad deinen Beitrag gefunden - weil ich in unserem Firmennetz EXAKT dasselbe Problem habe.
Ich habe die Standardrichtlinie testweise so geändert, dass nicht mehr nach 3 ungültigen Anmeldeversuchen die Konten gesperrt werden.
Das hat ziemlich genau 3 Stunden gehalten (nach gpupdate /force) ! Dann waren wiederum die meisten Konten gesperrt.
Habt ihr das Problem im Griff?
Darf ich fragen, wie?
Jetzt grade läuft ein Malware-Suchtool von Norman auf unserem Domaincontroller - dauert sehr lange...
DANKE und Gruss
Jörg
ich habe grad deinen Beitrag gefunden - weil ich in unserem Firmennetz EXAKT dasselbe Problem habe.
Ich habe die Standardrichtlinie testweise so geändert, dass nicht mehr nach 3 ungültigen Anmeldeversuchen die Konten gesperrt werden.
Das hat ziemlich genau 3 Stunden gehalten (nach gpupdate /force) ! Dann waren wiederum die meisten Konten gesperrt.
Habt ihr das Problem im Griff?
Darf ich fragen, wie?
Jetzt grade läuft ein Malware-Suchtool von Norman auf unserem Domaincontroller - dauert sehr lange...
DANKE und Gruss
Jörg
Morgen,
also die Aktion war für uns ziemlich aufwendig. Vielleicht gibt es da mittlerweile bessere Möglichkeiten.
Wir sind wie folgt vorgegangen:
- Geplante Tasks erstmal auf allen PCs und Servern (wenn möglich) deaktivieren, da Conficker sich unteranderem über einen geplanten Task 1 - 2 mal täglich auf anderen PCs verbreitet.
- Wir haben dann in unsere Logon.bat die beim Anmelden der User ausgeführt wird hinzugefügt, dass alle geplanten Tasks gelöscht werden (eigentlich haben die User ja auch keine)
---> Damit konnten wir dann die Neuinfizierung halbwegs eindämmen.
-- Mit dem McAffee Conficker Detection Tool (Netzwerktauglich) kannst du schauen welche PCs und Server aktuell schon betroffen sind (um sich einen Überblick zu verschaffen)
- Um eine komplette Bereinigung zu machen, sind wir damals an jeden PC gegangen haben uns ein paar Tools lokal auf den PC gezogen und haben dann das Netzwerk deaktiviert (solange bis alle PCs Clean waren)
- Die Programme die wir genutzt haben waren:
-- Sicherheitspatch : KB958644 (meine ich zumindest) einspielen
-- McAffee AVER S.T.I.N.G.E.R zum überprüfen ob der PC infiziert ist.
-- Dann auf jeden Fall das aktuellste Microsoft Tool zum entfernen bösartiger Software installieren und durchlaufen lassen
-- Danach wieder STINGER um zu schauen ob jetzt alles weg ist.
-- ConFicker deaktiviert zudem den Windows Update Dienst und den Intelligenten Hintergrund übertragungs Dienst. Diese müssen wieder auf automatisch gestellt werden.
Und weil das alles so schön ist und mann jetzt eh an jedem PC ist, kann man auch gleich Defrag und Datenträgerbereinigung und und und anschmeißen
Geschätzter Zeitaufwand pro PC ca. 30Minuten, vom Prinzip her sind es aber nur ein paar Klicks, der Rest läuft weitestgehend selbstständig.
Bei uns lag der Virus, bzw. der Initiatior in einer JPG Datei auf einem PC die irgendwo in den temporary Internetfiles lag.
Bis du das gemacht hast, hilft wirklich nur stündlich alle Konten händisch freizuschalten.
Im Ereignisslog für die Anmeldeversuche siehst du auch welcher PC sich ständig versucht anzumelden, wenn sich der Virus noch nicht zu stark ausgebreitet hat und ihr vielleicht PCs habt die noch frei sind (Mitarbeiter noch im Urlaub) mach ihn aus und lass den Mitarbeiter wo anders arbeiten und kümmer dich erstmal um die betroffenen PCs.
Wir haben übrigens im Netz eine möglichkeit gefunden die wir nicht empfehlen würden. Man sollte dem System die Rechte auf den System32 Ordner entziehen.
Das funktioniert so lange bis das erste Windows Update kommt oder ein Programm installiert wird. Anschließend ist im schlimmsten Fall das Windows hin.
Also das bitte nicht machen.
Ich hoffe ich konnte dir einen kleinen Einblick in eines unserer Wochenenden geben ;)
Viel Erfolg und über Rückmeldung ob alles geklappt hat würden wir uns freuen.
Grüße Paul
also die Aktion war für uns ziemlich aufwendig. Vielleicht gibt es da mittlerweile bessere Möglichkeiten.
Wir sind wie folgt vorgegangen:
- Geplante Tasks erstmal auf allen PCs und Servern (wenn möglich) deaktivieren, da Conficker sich unteranderem über einen geplanten Task 1 - 2 mal täglich auf anderen PCs verbreitet.
- Wir haben dann in unsere Logon.bat die beim Anmelden der User ausgeführt wird hinzugefügt, dass alle geplanten Tasks gelöscht werden (eigentlich haben die User ja auch keine)
---> Damit konnten wir dann die Neuinfizierung halbwegs eindämmen.
-- Mit dem McAffee Conficker Detection Tool (Netzwerktauglich) kannst du schauen welche PCs und Server aktuell schon betroffen sind (um sich einen Überblick zu verschaffen)
- Um eine komplette Bereinigung zu machen, sind wir damals an jeden PC gegangen haben uns ein paar Tools lokal auf den PC gezogen und haben dann das Netzwerk deaktiviert (solange bis alle PCs Clean waren)
- Die Programme die wir genutzt haben waren:
-- Sicherheitspatch : KB958644 (meine ich zumindest) einspielen
-- McAffee AVER S.T.I.N.G.E.R zum überprüfen ob der PC infiziert ist.
-- Dann auf jeden Fall das aktuellste Microsoft Tool zum entfernen bösartiger Software installieren und durchlaufen lassen
-- Danach wieder STINGER um zu schauen ob jetzt alles weg ist.
-- ConFicker deaktiviert zudem den Windows Update Dienst und den Intelligenten Hintergrund übertragungs Dienst. Diese müssen wieder auf automatisch gestellt werden.
Und weil das alles so schön ist und mann jetzt eh an jedem PC ist, kann man auch gleich Defrag und Datenträgerbereinigung und und und anschmeißen
Geschätzter Zeitaufwand pro PC ca. 30Minuten, vom Prinzip her sind es aber nur ein paar Klicks, der Rest läuft weitestgehend selbstständig.
Bei uns lag der Virus, bzw. der Initiatior in einer JPG Datei auf einem PC die irgendwo in den temporary Internetfiles lag.
Bis du das gemacht hast, hilft wirklich nur stündlich alle Konten händisch freizuschalten.
Im Ereignisslog für die Anmeldeversuche siehst du auch welcher PC sich ständig versucht anzumelden, wenn sich der Virus noch nicht zu stark ausgebreitet hat und ihr vielleicht PCs habt die noch frei sind (Mitarbeiter noch im Urlaub) mach ihn aus und lass den Mitarbeiter wo anders arbeiten und kümmer dich erstmal um die betroffenen PCs.
Wir haben übrigens im Netz eine möglichkeit gefunden die wir nicht empfehlen würden. Man sollte dem System die Rechte auf den System32 Ordner entziehen.
Das funktioniert so lange bis das erste Windows Update kommt oder ein Programm installiert wird. Anschließend ist im schlimmsten Fall das Windows hin.
Also das bitte nicht machen.
Ich hoffe ich konnte dir einen kleinen Einblick in eines unserer Wochenenden geben ;)
Viel Erfolg und über Rückmeldung ob alles geklappt hat würden wir uns freuen.
Grüße Paul
