Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hilfe Virusalarm!

Mitglied: Sysi

Sysi (Level 1) - Jetzt verbinden

06.10.2004, aktualisiert 07.10.2004, 5473 Aufrufe, 8 Kommentare

Hi leutz!

Habe nen Virus im Netz der mir langsam aber sicher alle Server vernichtet!
Sieht aus wie ein Blaster/Sasser, jedoch die Anti-Blaster/Sasser - Tools finden nichts.
Es kommt immer wieder die Meldung Pc wird nach 1 min heruntergefahren.

Das Commando: Shutdown -a FUNKTIONIERT NICHT

hoffe mir kann jemand was genaueres darüber sagen
Mitglied: Kessl
06.10.2004 um 13:08 Uhr
Hi

lass doch mal mcafees stinger drüberlaufen der hat bisher bei mir noch alles entdeckt! ( http://vil.nai.com/vil/stinger/ )

Natürlich schleunigst die entsprechenden Patches aufspielen!

Wahrscheinlich ist es das besten du trennst die entsprechenden Maschinen so lang vom Netz bis sie Wurm frei sind und alle Patches haben!
Bitte warten ..
Mitglied: defcon3
06.10.2004 um 15:06 Uhr
Hi,

neben Stinger, der wirklich gut und schnell ist, kannst Du auch mal Trend Micros OnlineScanner drüberlaufen lassen. Findest Du unter:

http://de.trendmicro-europe.com/enterprise/products/housecall_launch.ph ...

Viel Erfolg.

Grüsse

defcon3
Bitte warten ..
Mitglied: lou-cypher25
06.10.2004 um 15:51 Uhr
Wenn Dir ein Wurm o.ä. alle Server vernichtet, solltest Du vieleicht drüber nachdenken ALLES zu trennen und einen Server nach dem Anderen anzugehen ???

Christian
Bitte warten ..
Mitglied: linkit
07.10.2004 um 07:01 Uhr
Hallo,

1. @Nowitzki: erstmal diesem Rat folgen... so einen Rechner / Server etc. immer isolieren

2. Dies kann nur durch einen Virus, Wurm etc. ausgeführt werden, wenn nicht die Sicherheitsupdates für RPC installiert wurde => somit wahrscheinlich Fehler von Admin.
=> Also erstmal alle Rechner mit aktuellen Updates versorgen, damit du genügend Zeit hast bei diesem Problem zu suchen, sonst fährt die Kiste ständig runter.

3. Es gibt mehr Würmer, die sich dieser Sicherheitslücke bedienen: beispiel gabot.... teilweise hebeln diese sogar den Virenscanner aus. Aber alle haben hier etwas gemeinsam, entweder stehen diese unter den RUN Einträgen in der Registry oder du findest diese ganz leicht in den laufenden Prozessen.
a) Geh also folgendermaßen vor: Schau alle Prozesse mit dem Taskmanager durch und gib deren Namen bei Google ein und schau, was sich hinter diesem Prozess verbirgt.
Achtung: Genau auf Schreibweise achten: Beispielsweise ist LSASS ein Systemdienst, aber LSAS ein Virus....
b) Schau dir die ganze Registry durch (nicht mit msconfig) nach dem Schlussel RUN (ganze Zeichenfolge vergleichen).... auch hier die einzelnen Calls vergleichen mit Google, falls du nicht weißt, was dahinter steckt.
4. Wenn du den Wurm gefunden hast, bei Symantec etc. den Fix oder Anleitung runterladen, wie man diesen entfernt....
5. Für die Zukunft, Sicherheitsplan ausarbeiten und umsetzen. Updates, Virenscanner, Firewall entsprechend anpassen.
Bitte warten ..
Mitglied: linkit
07.10.2004 um 07:03 Uhr
Anmerkung: Falls der Rechner immer zu schnell runterfährt und du das RPC Sicherheitsupdate nicht installieren kannst...


=> Task manger aufrufen => Prozess liste => hier ein Screenshot oder Digibild machen von allen Porzessen und an einem anderen Rechner wie beschrieben nachgucken, was das alles ist.
=> Wurm gefunden => Prozess beenden oder in der Registry unterbinden.
Bitte warten ..
Mitglied: 5398
07.10.2004 um 15:33 Uhr
Ich kenne noch keinen Virus, der sich im abgesicherten Modus starten kann ;)

PC vom Netz nehmen und im abgesicherten Modus starten.
Folgende Keys umbenennen:
Local_Machine\Software\Microsoft\Windows\Current Version\Run
Current_User\Software\Microsoft\Windows\Current Version\Run
Falls vorhanen auch RunOnce oder Run Service beachten.

Autostart-Ordner umbenennen und in Win.ini den load und run Eintrag umbenennen (falls gefüllt)

Danach kann der PC normal gestartet werden und mit normalen Virensoftware geprüft und gesäubert werden, da der Virus nicht mehr aktiv ist.
Bitte warten ..
Mitglied: lou-cypher25
07.10.2004 um 15:51 Uhr
@5398

Deine Aussage halte ich für gewagt und unter Umständen gefährlich.

Sicher muß ein Virus einen auslösenden Mechanismus haben, der ihn zum Start veranlasst.
Aber nur weil dies bei den großen Epidemien der letzten 3 Jahre nicht vorkam, gibt es dennoch Viren die eben nicht an diese Autostartgeschichten gebunden sind und sich an beliebige Prozesse hängen können.
Ein Start im "Abgesicherten Modus" bietet daher genausowenig Sicherheit, wie die Deaktivierung der Autostarteinträge im "Normalen Modus".

Aus meiner Sicht ist die Isolation des befallenen Systems und das Scannen mittels einem sauberen System (z.B. Livelinux mit Einbindung aktueller Virenkennungen), die beste Variante ein System zu bereinigen.

Christian
Bitte warten ..
Mitglied: linkit
07.10.2004 um 18:56 Uhr
@5398

Muß hier meinem Namensvetter Christian absolut folgen... wegen Übelkeit macht keiner eine Magenoperation... ich halte das Umbenennen der Schlüssel nicht nur für gefährlich, sondern außerdem auch für absolut überzogen. Gefährlich deshalb, weil es durchaus in diesen Schlüsseln Werte geben kann, die für einen Netzwerkbetrieb unerlässlich sind, beispielweise nistet sich der Novellclient hier unter anderem gerne mit ein.

Außerdem gibt es sehr wohl viren, denen der abgesicherte Modus absolut wurscht ist und für die der RUN keine Rolle spielt... aktuelle PC-Welt lesen => ausführende Schlüssel...
Bitte warten ..
Ähnliche Inhalte
Datenbanken
Hilfe bei Datenbankabfrage
gelöst Frage von e51bomagDatenbanken11 Kommentare

Hallo liebe Community, hab gerade ein Blackout bzgl. Realisierung einer Abfrage. Folgende Datenbank: noten: nid, loginname, fid, note, type ...

Vmware
Hilfe bei Betriebssysteminstallation
gelöst Frage von N4m3n7os3rVmware7 Kommentare

Hallo liebe User, ich bin neu hier und hoffe das ihr mir helfen könnt. Ich bin seit einiger Zeit ...

Batch & Shell
Hilfe bei Powershell
Frage von Bommi1961Batch & Shell4 Kommentare

Hallo zusammen! Ich such und such und bin zu blöd es zu finden Ich such nach einer löschen, wie ...

Monitoring
Hilfe bei Wireshark
gelöst Frage von GummixMonitoring17 Kommentare

Hallo, irgendwas im Netzwerk verursacht immer wieder Download und Upload traffic. Jetzt habe ich gelesen, dass man das einfach ...

Neue Wissensbeiträge
Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 16 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 22 StundenWindows 102 Kommentare

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 1 TagE-Mail15 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Viren und Trojaner
Neues ct-desinfect 2018 erschienen
Information von Lochkartenstanzer vor 2 TagenViren und Trojaner1 Kommentar

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Windows Server
2012 R2 Server Keine Anmeldung möglich Meldung: Laut den Sicherheitsrichtlinien auf diesem PC sollen informationen zur letzten interaktiven Anmeldung angezeigt werden
Frage von Speedy18A4Windows Server21 Kommentare

Hallo, ich habe vor einigen Wochen einen zweiten Domain Controller zu meiner Domain hinzugefügt. Funktionierte alles wunderbar. Auch die ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneerE-Mail15 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...