Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sober.AG auf MS-Exchange 2003 Server

Mitglied: technicalcare

technicalcare (Level 1) - Jetzt verbinden

20.12.2005, aktualisiert 15.01.2006, 4374 Aufrufe, 11 Kommentare

Hallo, wir haben folgendes Problem: auf unserem Server (MS2003 SmallBusiness) hatsich offenbar der Sober.AG Virus eingenistet...Unser Virenscanner (Trend-Micro) löscht zwar die ausgehenden Mails, an die der Virus angehängt wird. Es werden aber alle 15 min. neue Mails versendet, der Absender ist einer unserer User. Wobei Mails unter diesem Account auch verschickt werden, wenn dieser User gar nicht anwesend ist, und sein PC ausgeschaltet ist.
Der Virus muß also auf dem Server sitzen. Der Virenscanner findet nichts, auch ein Versuch den Virus manuell zu entfernen brachte keinen Erfolg...Wer kennt eine Lösung für dieses Problem ?
Mitglied: 16568
20.12.2005 um 15:06 Uhr
In solchen Fällen:


LAN aus


Dann präparierst Du Dir eine Barts PE Disk, auf die packst Du dann auch eScan:
(ich nutz' dazu ERD-Commander, weil ich ja 'ne Firma hab, die das jede Woche macht...)

<a href="http://www.trojaner-info.de/hijacker/escan.shtml" target="_blank">Tutorial zu eScan hier</a>

Mit dem scannst Du dann den Server.

Sollte eScan mit aktuellen Signaturen nichts finden, so würde ich mich so weit aus dem Fenster lehnen, und sagen, da isse nix druff.

Dann kannste jeden einzelnen Client durchgehen...
(daß das Spaß macht, hat keiner gesagt...)


Wenn Du dann noch immer nicht fündig geworden bist, melde Dich wieder;
dann kommst Du um professionelle Hilfe nicht rum
(also nix selber rumwurschteln...)



Gruß

ein Dich bedauernder

Lonesome Walker
Bitte warten ..
Mitglied: ConnecT
27.12.2005 um 11:50 Uhr
ich halte es für relativ unwahrscheinlich, daß der Sober.AG Deinen Server infiziert hat, denn dazu hätte jemand auf dem Server den Virus ausführen müssen...

Du kannst ja zur Sicherheit mal den Housecall drüber laufen lassen:
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php

P.S. woher weist Du eigentlich, daß von Eurem Netz aus Viren versendet werden?
Der Sober verwendet eine eigene SMTP-Engine und benötigt zum Versand kein Exchange. Exchange dürfte deshalb von diesem Virus eigentlich gar nichts mitbekommen...

Gruß Christian
Bitte warten ..
Mitglied: technicalcare
27.12.2005 um 12:44 Uhr
Bin mir ziemlich sicher, dass unser Server die Viren sendet, denn der Virenscanner meldet die ausgehenden mails und löscht diese auch, weil die Anhänge vom Sober.Ag befallen sind.
Dies geschieht auch dann, wenn alle PCs aus sind und nur der Server läuft !
Bitte warten ..
Mitglied: ConnecT
27.12.2005 um 14:11 Uhr
auf dem Server lässt sich der Sober.AG leicht identifizieren:

existiert ein Verzeichnis %windows%\WinSecurity mit folgenden Dateien?
- csrss.exe
- services.exe
- smss.exe

wie der Sober.AG manuell zu entfernen ist, findest Du bei TREND MICRO unter:
http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr ...

P.S. wie ist TREND MICRO auf dem Server eigentlich installiert?
- OfficeScan Client zum Schutz des Servers und
- ScanMail zum Schutz von Exchange?
Der OfficeScan sollte den Virus eigentlich finden und beseitigen können, wenn der Damage Cleanup Service aktuell ist...

Gruß Christian
Bitte warten ..
Mitglied: technicalcare
27.12.2005 um 14:43 Uhr
Das angegebene Verzeichnis existiert nicht. Der Virenscanner ist aktuell. Ein kompletter Scan mit Serverprotect brachte keine Ergebnisse; auch das manuelle Entfernen, wie von TrendMicro beschrieben brachte kein ergebnis, weil die angegebenen Dateien und DLLS auf dem Server nicht vorhanden sind.
Werde heute abend den Server vom Netz trennen, um zu sehen, ob dann auch noch mails mit dem Virus generiert werden.

Gibt es evtl. eine Möglichkeit, den Header einer befallen mail einzusehen um festzustellen, von welcher IP-Adresse die Mails kommen.
Das Problem ist, die mails erscheinen nicht im Gesendet-Ordner, man erkennt nur an den Benachrichtigungen vom Virenscanner, dass eine mail rausgeschickt wurde und diese vom ScanMail gelöscht wurde
Bitte warten ..
Mitglied: 16568
27.12.2005 um 23:03 Uhr
Nicht böse sein, was ich jetzt schreibe, aber:

Wie viel Erfahrung hast Du mit Exchange?
Mit Emails?

Im Email-Header erkennt man seeeeeehr viele Dinge, die sicherlich auch zu einer Problem-Lösung führen können...


Daher rate ich Dir, professionelle Hilfe zu Rate ziehen.
Der Exchange ist binnen 2 Stunden auf Herz und Nieren geprüft.
Kostenpunkt sollte hier 500,- ? mit Lösungs-Ansatz/-Weg nicht überschreiten.
(zumindest würde meine Firma so handeln...)


Lonesome Walker
Bitte warten ..
Mitglied: technicalcare
28.12.2005 um 13:10 Uhr
Danke, wir sind selber Profis...
Ich habe schon ca. 20 Exchange Server installiert...
Nicht böse sein, aber es wird leider nichts mit dem Auftrag für deine Firma
Bitte warten ..
Mitglied: technicalcare
28.12.2005 um 13:13 Uhr
Zudem ist das Problem hier, das der Header nicht ausgelesen werden kann, da die mails ja sofort vom Virenschanner gelöscht werden....
Bitte warten ..
Mitglied: 16568
29.12.2005 um 02:23 Uhr
1. will ich hier definitiv keine Neukunden gewinnen
(hab schon genug Probleme, außerdem war die Summe als Richtwert zu verstehen)
2. kannst Du kein Pro sein, denn wärst Du Pro, würdest Du vielleicht auf die simpelste Idee kommen, mal den Virenscanner abzuschalten, wa?
(und wenn jemand erst ma 20 Exchanges installiert hat, sorry, aber dazu bedarf es wirklich mehr, als nur 20, um Pro zu sein...)

Naja, vielleicht semi...


LSW
PS: Nicht immer gleich vorschnell schreiben, manche Sachen muß man 2x lesen...
Bitte warten ..
Mitglied: cykes
15.01.2006 um 11:02 Uhr
Hi,

falls Du Zugriff auf die C'T Ausgaben vom letzten Jahr hast, such Dir mal die
Ausgaben 18/2005 bzw. 23/2005 raus, da ist jeweils eine bootfähige CD bzw. DVD
mit den wichtigsten Sicherheitstools dabei.
Am betsen nimmst Du den PE Builder aus Ausgabe 23/2005 und erstellst
Dir auf einem gesichert sauberen System ein bootfähiges Windows PE
(entweder XP oder Win 2k3 Server, wie Du willst) und integrierst Dir die
wichtigsten Viren- und Spywarescanner (Spybot S&D, eScan, McAffee Stinger usw.)
in die erstellte Boot-CD.
Damit checkst Du Deinen Server dann mal durch.
Es wäre durchaus möglich, dass der laufende MassMailingWurm die korrekte Arbeit
des installierten Virenscanners einschränkt.

Gruss

cykes
Bitte warten ..
Mitglied: cykes
15.01.2006 um 11:14 Uhr
Nochmal hi,

alternativ kannst Du natürlich auch eine aktuelle Knoppicilin CD verwenden (->Google),
aber mal ne andere Frage, könnte es eventuell sein, dass Euer Exchange nicht 100%
korrekt konfiguriert ist, und dass eventuell ein ausserhalb der Firma laufender Sober.AG
Euren Mailserver als Relay verwendet, sprich ist ein Zugriff von ausserhalb der Firma
auf Euren Exchange möglich?

Gruss

cykes
Bitte warten ..
Ähnliche Inhalte
Exchange Server

MS Exchange 2016 kann nicht installiert werden da noch ein Exchange 2003 gefunden wird

Frage von MultiStormExchange Server17 Kommentare

Hallo, ich habe aktuell das Problem das sich der Exchange 2016 nichtr instrallieren lässt. Folgende ausgangssituation: Windows 2003 SBS ...

Exchange Server

Exchange 2003 (Windows Server 2003)

gelöst Frage von ET-StudentExchange Server6 Kommentare

Hallo alle zusammen ich hab auf einem alten Server Microsoft Server 2003 und Exchange 2003 installiert und es läuft ...

Exchange Server

Verteilerlisten Exchange Server 2003

Frage von MultiStormExchange Server5 Kommentare

Hallo, ich hoffe das die frage soweit recht einfach ist. ich suche auf einem Exchange Server 2003 die3 Verteilerliste? ...

Exchange Server

Keine Verbindung zwischen Handys und MS Exchange Server 2010 mehr

gelöst Frage von andreas1234Exchange Server6 Kommentare

Hallo, bis vor kurzem hat alles wunderbar funktioniert. Ich habe letzten Donnerstag den WSUS Server meiner Firma neu aufgesetzt, ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 1 TagAusbildung9 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 3 TagenSpeicherkarten3 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 3 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 4 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware19 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
gelöst Frage von Green14Windows Server12 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...

Suche Projektpartner
Debian 9.5 32 Bit und PHP 7 Fehlerbeseitigungen
Frage von zeroblue2005Suche Projektpartner11 Kommentare

Hallo Zusammen, ich habe eine VM auf Basis von ESXI am laufen. Dieser wurde unter Debian 7 installiert mt ...

Windows 10
Windows 10 Spracherkennung - Eure Meinungen?
Frage von honeybeeWindows 1011 Kommentare

Hallo, wollte heute mal aus Neugier die Spracherkennung unter Windows 10 (Version 1803) ausprobieren und war mehr wie enttäuscht. ...