Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Komischer Virus oder Wurm

Mitglied: sfera-haiza

sfera-haiza (Level 1) - Jetzt verbinden

03.09.2007, aktualisiert 06.09.2007, 6138 Aufrufe, 11 Kommentare

Blockt Virenprogramme und Update.exe'n

ndzwar habe ich win 2003 server und hab nen Bock im System. Der Virus verhindert, dass Dateien entpackt werden die den namen tragen "update.exe" oder sooder auch andere Dateien anderer Anti Viren Tools.
Spiele ich übers Netzwerk die Upadte dateien ( z.B. aus einem Service Pack) auf, so wird sie gelöscht sobald ich an dem befallenem PC auf den Ordner klicke.

Was ist das für ein Mistteil?

Symtic Antivirus hatte nix gefunden und den NOD 32 setzte ich übers Netzwerk auf den betroffenem PC ein, da der Virus wohl am System selbst auf die Anti Viren Tools losgeht , die Updatefunktion blockt und sie größtenteils außer Kraft setzt.


Welcher Virus kanns sein und wie kann ich ihn außer Kraft setzen?
Mitglied: gnarff
04.09.2007 um 05:42 Uhr
Hallo sfera-haiza!

Der komische Virus ist ein Wurm und heißt Nyxem.gen.
Das ".gen" habe ich dabei angefügt, da wir ja nicht wissen, ob es sich dabei tatsächlich um den originären Nyxem.E handelt oder um eine neue Variante.
Dieses Schadprogramm ist auch bekannt unter den Namen:

W32.Blackmal.E@mm
Kama Sutra
W32/MyWife.d@MM
Email-Worm.Win32.Nyxem.e

Verhalten des Schädlings:
Einmal installiert blockt er die Updates der folgenden Antivirenlösungen [soweit mir bekannt]:
Norton AntiVirus
Symantec
Mc Afee
Trend Micro
Panda Anti Virus
Kaspersky
eTrust EZ Antivirus

Der Wurm, sofern sich nichts geändert hat, residiert in einer Update.exe Datei und manipuliert an jedem Dritten Werktag im Monat Dateien mit den folgenden Endungen:
*.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.pps, *.zip, *.rar, *.pdf, *.psd, *.dmp.
Dabei löscht er deren Inhalt und fügt stattdessen folgende Meldung ein:
DATA Error [47 0F 94 93 F4 K5]

Dieser Schädling verbreitet sich über die Netzwerkfreigaben und befällt so das gesamte Netzwerk.

Vorgehensweise in einer Produktionsumgebung [Best Practices]:
Der Server ist sofort vom Netzwerk zu trennen und neu aufzusetzen
Es wird sofort ein Backup aller Datenbestände gefahren.
Die Clients werden gereinigt

Von F-Secure gibt es das Reinigungstool F-Force.
Es handelt sich dabei um eine *.zip Datei mit folgendem Inhalt:
          • f-force.exe - the main executable file
          • eult.rtf - End User License Terms document
          • readme.rtf - Readme file in RTF format
          • readme.txt - Readme file in ASCII format

Um F-Force benutzen zu koennen bedarf es eines Updates, die Datei latest.zip.

Nach erfolgreicher Entfernung des Schadprogramms, sind alle verfügbaren Festplatten nochmals zu scannen, besonders in den Archiven, da F-Force diese von seinem Scanning standardmäßig ausnimmt.

Sollte es sich nicht um eine Produktionsumgebung handeln, so kannst Du versuchen auch den Server mit dem Tool zu reinigen; obwohl ich nicht weiß, ob das unter Server 2003 funktioniert.
Es gäbe alternativ noch den Bitdefender Onlinescan.

Ich warne nochmals eindringlich davor zu versuchen den Server einem Reinigungsversuch zu unterziehen, falls er sich in einer Produktionsumgebung befindet. Geht dieses Unterfangen schief, droht dreißig Tage später Datenverlust und Betriebsausfall.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 07:28 Uhr
Leider gibts da von dir verlinkte Programm nichtmehr. (ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip) Ich meine ich hätte mir die Seite auch schonmal aufgerufen gehabt.
Bitte warten ..
Mitglied: gnarff
04.09.2007 um 08:27 Uhr
Seltsam, ich habe es mir gerade noch einmal heruntergeladen, der download funktioniert...
Ich habe noch ein anderes Removal Tool gefunden:
http://www.bitdefender.com/site/Downloads/browseFreeRemovalTool
bitte zu Win32.Nyxem.E@mm (.exe) herunterscrollen und downloaden.
saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 13:24 Uhr
Das AntiNyxem-EN.exe ist spitze Hatte es geschafft erswt 3 sec offen zu bleiben, dann ist es innerhalb einer halben Sekunde nach dem öffnen wieder zu.

Ich habe gerade ds f-force Programm am laufen, dass brach nicht zusammen,- mal sehen was bei rumkommt.
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 18:43 Uhr
Nee Ju8ngs hatte leider nix gebracht , das f-force Programm fand zwar was und beseitigte es, dass ers beim zweiten Scan nicht wieder fand aber dennoch sobald ich wieder enie update.exe auf den PC spiele ist sie binnen einer Sekunde wieder weg.
Bitte warten ..
Mitglied: gnarff
04.09.2007 um 20:19 Uhr
Ich hatte Dir ja gesagt, dass wir nicht wissen ob es sich um die originäre Version des Nymex.E handelt oder um eine neue Variante.
Die von Dir verwendeten Tools sind schon etwas älteren Datums.

Weitere Gründe warum eine Desinfizierung scheitern kann:
- Das Betriebssystem Windows 2003 Server wird nicht unterstützt.
- Die Systemwiederherstellung wurde nicht abgeschaltet und nach erfolgter Desinfektion alle alten Wiederherstellungspunkte gelöscht.
- Nach erfolgter Desinfektion wurden die festplatten nicht einem kompletten Scanning unterzogen
- Der Rechner wurde vorher nicht vom Netzwerk getrennt

Hier ist noch ein Tool von Symantec W32.Blackmal@mm Removal Tool das unterstützt auch Windows NT, vllt. hast du damit mehr Glück.
Als letzten Ausweg gibt es noch den Bitdefender Onlinescanner

Ich glaube aber, dass Du besser beraten bist, den Server neu aufzusetzen - wie ich weiter oben schon ausfuehrte und in Zukunft ein besseres Sicherheitsmanagment implementierst.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 22:15 Uhr
Also auch das Norton Programm sagte mir nun, dass er nix gefunden hat.
Naja muss ja was drauf sein, denn wenn im System Dateien fehlen würden, dann wütrden sich ja gewisse Dateien nicht nachwievor automatisch löschen sobald ich sie aufspiele, oder?
Also ist da doch noch noch einer im Spiel
Bitte warten ..
Mitglied: gnarff
05.09.2007 um 00:56 Uhr
Deine letzte Chance vor dem Neu aufsetzen der Servers ist der Bitdefender Onlinescanner, die Links dazu hatte ich ja bereits oben gepostet. Ich habe mich gerade informiert, der unterstützt auch 2003 Server und erkennt alle Varianten dieses Schädlings.
Systemwiederherstellung ausschalten nicht vergessen!

Das von Hand entfernen ist schwierig, der Erfolg kann nicht zu 100% garantiert werden und dauert länger als das Neuaufsetzen eines Servers.
Meine Meinung zu kompromittierten Server- Betriebssystemen hatte ich ja auch schon kundgetan.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
06.09.2007 um 16:41 Uhr
So das Ende vom Lied: Es half nur Neuinstallation

Der Virus wurde nicht entdeckt.
Bitte warten ..
Mitglied: gnarff
06.09.2007 um 17:09 Uhr
Na, habe ich Dir doch gesagt:
Wenn Server befallen, dann Neuinstallation; alles andere ist unverantwortlich.
Da Du nun drei Tage daran herumgebastelt hast, kannst Du das gesamte Netzwerk nun auch noch, Client fuer Client untersuchen. Client, sofern nicht Thin, aus dem Netz nehmen und von Hand die Festplatte durchscannen, Backupserver, Mailserver...na, Du bist ja Angler und hast Geduld.
Petri Heil...

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
06.09.2007 um 17:46 Uhr
Nee habe keine Clienten
Benutze es als Workstation.
Bitte warten ..
Ähnliche Inhalte
Sicherheit

Virenportale - Viren, Würmer, Trojaner zum Download

Frage von CorraggiounoSicherheit9 Kommentare

Hallo zusammen, kann mir jemand ein gutes Portal empfehlen, wo ich Viren, Trojaner downloaden kann. Möchte die Viren auf ...

Viren und Trojaner

Zepto Virus

Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

iOS

Virus auf iphone

Frage von jensgebkeniOS17 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...

Exchange Server

E-Mail "komisch" dargestellt

Frage von ahstaxExchange Server4 Kommentare

Hallo, ich versuche gerade, einem Problem Herr zu werden. Wir bekommen (pgp-verschlüsselte) E-Mails von einem Kontakt. Diese geht unserem ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 15 StundenE-Mail3 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 16 StundenHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 20 StundenSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 1 TagServer-Hardware3 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
Kann DNS-Einträge nicht finden
gelöst Frage von BPeterWindows Server19 Kommentare

Hallo, wenn ich folgenden Befehl absetze, bekomme ich eine Liste zurück mit allen Einträgen der DNS-Zone. Wenn ich aber ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...