85807
Aug 04, 2010, updated at 09:59:49 (UTC)
2928
5
0
SBS 2003 Virus Problem
Hi
Ich weiß garnicht ob dieser Berreich der richtige dafür ist.
Hab in einer SBS 2003 n Problem mit dem Security Tool Virus.
Es ist eingentlich nur 1 Benutzer und 2 PCs die dieser benutzt hat betroffen.
1. Problem, der Virus installiert sich immer wieder neu in die registry. GDATA Client findet den nicht.
2. Laut google muss dieser im agb. Modus deinstalliert werden. Unter Software is der aber auch nie zu finden gewesen.
3. Wenn ich die registry vom serv. gespch. Profil von Einträgen des Viruses entferne kann diese nicht mehr geladen werden. Es kommt danach eine Fehlermeldung, dass das Profil nicht geladen werden konnte und das jetzt ein neues Lokales erstellt wird. Also alle Dateien weg.
4. Der User hat sich gestern noch bei einem anderen PC angemeldet. Security Tool ist dort zwar jetzt nicht gefunden worden aber seit dem kann sich dort generell keiner mehr anmelden ohne das der PC dabei abstützt (hängen bleibt).
Kann ev auch mit dem GDATA Update zu tun haben, dass ich über nacht einspielen hab lassen. Management Version 8.0 auf 10.5 wurde upgedatet.
Ich hab jetzt schon mehrere Tage damit verbracht diesen Virus wegzubekommen aber finde keine effiziente Lösung.
Meine letzte Auswahl wäre. Neues Profil erstellen und die benötigten Dateien dann einzeln in das neue Profil kopieren?
Was sagt ihr?
p.s.: MS Tool zum entf bösartiger Software wurde auch schon intensiv einmal über den PC drüber gefahren und hat dateien gefunden, aber nach nem Neustart is das teil immer noch da.
Ich weiß garnicht ob dieser Berreich der richtige dafür ist.
Hab in einer SBS 2003 n Problem mit dem Security Tool Virus.
Es ist eingentlich nur 1 Benutzer und 2 PCs die dieser benutzt hat betroffen.
1. Problem, der Virus installiert sich immer wieder neu in die registry. GDATA Client findet den nicht.
2. Laut google muss dieser im agb. Modus deinstalliert werden. Unter Software is der aber auch nie zu finden gewesen.
3. Wenn ich die registry vom serv. gespch. Profil von Einträgen des Viruses entferne kann diese nicht mehr geladen werden. Es kommt danach eine Fehlermeldung, dass das Profil nicht geladen werden konnte und das jetzt ein neues Lokales erstellt wird. Also alle Dateien weg.
4. Der User hat sich gestern noch bei einem anderen PC angemeldet. Security Tool ist dort zwar jetzt nicht gefunden worden aber seit dem kann sich dort generell keiner mehr anmelden ohne das der PC dabei abstützt (hängen bleibt).
Kann ev auch mit dem GDATA Update zu tun haben, dass ich über nacht einspielen hab lassen. Management Version 8.0 auf 10.5 wurde upgedatet.
Ich hab jetzt schon mehrere Tage damit verbracht diesen Virus wegzubekommen aber finde keine effiziente Lösung.
Meine letzte Auswahl wäre. Neues Profil erstellen und die benötigten Dateien dann einzeln in das neue Profil kopieren?
Was sagt ihr?
p.s.: MS Tool zum entf bösartiger Software wurde auch schon intensiv einmal über den PC drüber gefahren und hat dateien gefunden, aber nach nem Neustart is das teil immer noch da.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148292
Url: https://administrator.de/contentid/148292
Printed on: April 18, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hi !
Nicht mit Adminrechten arbeiten....
Versuche die betroffenen Rechner mit einer Linux Live-CD oder einem Rescue System zu booten und entferne damit die Malware...Unter einem infizierten, laufenden System wirst Du meist verkaggeierd. Warum? Weil der Entwicker der Malware will, dass Du sie nicht entfernen kannst....Leuchtet ein, nicht wahr? Klappt die Entfernung damit auch nicht, dann setze die befallenen Rechner komplett neu auf....
mrtux
Zitat von @85807:
Was sagt ihr?
Was sagt ihr?
Nicht mit Adminrechten arbeiten....
Versuche die betroffenen Rechner mit einer Linux Live-CD oder einem Rescue System zu booten und entferne damit die Malware...Unter einem infizierten, laufenden System wirst Du meist verkaggeierd. Warum? Weil der Entwicker der Malware will, dass Du sie nicht entfernen kannst....Leuchtet ein, nicht wahr? Klappt die Entfernung damit auch nicht, dann setze die befallenen Rechner komplett neu auf....
mrtux
Hi mrtux.
Meinst du jetzt man soll den Benutzern keine Lokalen Adminrechte geben?
Problem sind die Eigenen Dateien die von Benutzer2 (Virus Benutzer1 hat sich an PC von Benutzer 2 angemeldet) jetzt am Server weg sind bzw dort leider nicht gespeichert wurden.
Ich muss die erst einmal wieder finden. Hoffentich sind sie lokal noch da so wie Sie der Kunde hatte.
Aufsetzten ist ne gute aber letzte Lösung die ich erst in einigen Tagen durchführen könnte. Distanz zu Firma usw.
Bei PC1: muss ich nur zusehen dass sich der Virus nicht in die Registry kopiert. Wenn ich mich dort als Admin anmelde hab ich keine Probleme, nur sobald Benutzer1
sich anmeldet ist der Virus gleich ersichtlich da.
Bei PC2: erstmal die Daten finden und wegsichern. Der PC stürtzt leider immer ab. Man kann sich nicht mehr anmelden. Werd mal den GDATA Client deinstallieren bzw. deaktivieren. Vielleicht verursacht der den Crash.
Bei PC2 gabs noch keinen eindeutigen Hinweiss das der Virus auch drauf ist.
Bin für alle weiteren Tipps danikbar.
Meinst du jetzt man soll den Benutzern keine Lokalen Adminrechte geben?
Problem sind die Eigenen Dateien die von Benutzer2 (Virus Benutzer1 hat sich an PC von Benutzer 2 angemeldet) jetzt am Server weg sind bzw dort leider nicht gespeichert wurden.
Ich muss die erst einmal wieder finden. Hoffentich sind sie lokal noch da so wie Sie der Kunde hatte.
Aufsetzten ist ne gute aber letzte Lösung die ich erst in einigen Tagen durchführen könnte. Distanz zu Firma usw.
Bei PC1: muss ich nur zusehen dass sich der Virus nicht in die Registry kopiert. Wenn ich mich dort als Admin anmelde hab ich keine Probleme, nur sobald Benutzer1
sich anmeldet ist der Virus gleich ersichtlich da.
Bei PC2: erstmal die Daten finden und wegsichern. Der PC stürtzt leider immer ab. Man kann sich nicht mehr anmelden. Werd mal den GDATA Client deinstallieren bzw. deaktivieren. Vielleicht verursacht der den Crash.
Bei PC2 gabs noch keinen eindeutigen Hinweiss das der Virus auch drauf ist.
Bin für alle weiteren Tipps danikbar.
Leider nützt das mit den "nicht-mit-Adminrechten-arbeiten" auch nicht immer (auch wenn es ein guter Ansatz ist).
Ich war mit den Conficker.b befallen und hat in der Domäne so ziemlich jeden Rechner befallen, von W2k-W2k8, egal ob mit lokalAdmin oder nur User-rechten...
Interessant wird es zuerst, wenn du mal postest, WAS sich infiziert hat...
Gruß
Carsten
Ich war mit den Conficker.b befallen und hat in der Domäne so ziemlich jeden Rechner befallen, von W2k-W2k8, egal ob mit lokalAdmin oder nur User-rechten...
Interessant wird es zuerst, wenn du mal postest, WAS sich infiziert hat...
Gruß
Carsten
YAY
Fürs erste scheint der Virus von PC1 entfernt zu sein.
Hab sicherheitshalber nen neuen Benutzer erstellt. Aber wir werden morgen wenn der USER wieder da ist sehen ob es hinhaut.
Problem ist jetzt nur noch PC2 der total rumspinnt.
Hab dort GDATA deinstalliert und jetzt konnte ich mich erfolgreich anmelden.
Jedoch komisch ist, dass er das Profil nicht am Server Speichert. Der Ordner "Benutzername" am Server ist leer.
Hab jetzt die IP Einstellungen kontrolliert. Der DNS Eintrag hat gefehlt. Hoffe das das schuld war.
Mach jetzt noch einen sauberen GDATA Clean und kopier nebenbei die "Dokumente und Einstellungen" manuell ins Serverporifl" als Sicherung. Installier dan GDATA neu drauf und dann seh ich ob ich endlich in mein wohl verdienten Urlaub den ich eig schon seit Montag antreten sollte machen kann ;)
P.s.: Danke euch wegen dem Tip "Administrator"
Die Firma vor uns hat diesem Benutzer 1 MItglied von "Administratoren" und "Domänen-Admins" gemacht. Kein Wunder das dann gerade der Benutzer befallen wurde.
Ja sobald ein PC einer Domäne beitritt kann man unter "Benutzerkontenverwaltung" die Sachen einstellen.
Dort gibt es dann nur Standardbenutzer oder Administrator. Wobei ich denke das mit "Administrator" nur lokaler Admin gemeint ist, oder bezieht sich das auch die gesammte Domäne? Ne oder!
liebe Grüße
Christian
Fürs erste scheint der Virus von PC1 entfernt zu sein.
Hab sicherheitshalber nen neuen Benutzer erstellt. Aber wir werden morgen wenn der USER wieder da ist sehen ob es hinhaut.
Problem ist jetzt nur noch PC2 der total rumspinnt.
Hab dort GDATA deinstalliert und jetzt konnte ich mich erfolgreich anmelden.
Jedoch komisch ist, dass er das Profil nicht am Server Speichert. Der Ordner "Benutzername" am Server ist leer.
Hab jetzt die IP Einstellungen kontrolliert. Der DNS Eintrag hat gefehlt. Hoffe das das schuld war.
Mach jetzt noch einen sauberen GDATA Clean und kopier nebenbei die "Dokumente und Einstellungen" manuell ins Serverporifl" als Sicherung. Installier dan GDATA neu drauf und dann seh ich ob ich endlich in mein wohl verdienten Urlaub den ich eig schon seit Montag antreten sollte machen kann ;)
P.s.: Danke euch wegen dem Tip "Administrator"
Die Firma vor uns hat diesem Benutzer 1 MItglied von "Administratoren" und "Domänen-Admins" gemacht. Kein Wunder das dann gerade der Benutzer befallen wurde.
Ja sobald ein PC einer Domäne beitritt kann man unter "Benutzerkontenverwaltung" die Sachen einstellen.
Dort gibt es dann nur Standardbenutzer oder Administrator. Wobei ich denke das mit "Administrator" nur lokaler Admin gemeint ist, oder bezieht sich das auch die gesammte Domäne? Ne oder!
liebe Grüße
Christian
Das Problem ist gelöst.
Aber warum kann ich nur in diesem Thread meine Nachrichten nicht editieren.
Aber warum kann ich nur in diesem Thread meine Nachrichten nicht editieren.
