Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Conficker und Terminal Server

Frage Sicherheit Viren und Trojaner

Mitglied: cmmarburg

cmmarburg (Level 1) - Jetzt verbinden

03.04.2012 um 10:10 Uhr, 2836 Aufrufe, 7 Kommentare

Moin Moin

Bei einem 2008R2 TS tritt an Clients, die unter XPembedded auf laufen auf, das angesteckte USB.Sticks sich den Conficker Trojaner einfangen. Irgendwo läuft er und/oder irgendwo ist eine Lücke. Auf dem Server selber findet weder der Installierte AV, noch diverses andere Scanner wie Stinger & Co einen Wurm. Auch manuell sind keine Spuren sichtbar.
Frage: kann es sein, das der Wurm nur in einem Benutzerprofil läuft, das Gesamtsystem aber nicht befallen ist? Der Server ist Patchmässig auf den aktuellen Stand und die Benutzer sind halt nur Benutzer und haben keine erweiterten Rechte.
Ist es möglich, das der Remotdesktopclient auf dem XPembedded einen angesteckten USB-Stick so im Netzwerk erreichbar macht, das er von einem anderen System aus infiziert werden kann? Es sind zwar auf den Clients administrative Freigaben vorhanden, aber der User unter dem der RDP-Client läuft hat keine Admin-Rechte und der Administrator ist kennwortgeschützt.
Für ein paar Tips im konkreten Fall wäre ich dankbar.

Gruß
Mitglied: Icedg
03.04.2012 um 10:26 Uhr
Moin,

hast du schoneinmal versucht den Server mit der neuesten Avira CD zu scannen ?

Gruß
Ice
Bitte warten ..
Mitglied: SlainteMhath
03.04.2012 um 10:28 Uhr
Moin,

ist den auf den XPE Kisten ein Virenscanner installiert? Oder sind die zumindest auf den aktuellen Stand druchgepatcht?
IIRC verbreitet sich Conficker neben USB auch über eine Lücke im RPC - und befällt somit auch XPE Systeme. Nach einen Neustart ist das System zwar wieder sauber, wird aber i.d.R. von seinen "Nachbarn" einfach neu infiziert.

lg,
Slainte
Bitte warten ..
Mitglied: Ravers
03.04.2012 um 12:11 Uhr
Hi,

nimm mal das KK-Tool (Kaspersky); das half mir damals am meisten!

Prüfen, reinigen und danach patchen. Ist n fieser Möp!

teuteuteu

ravers
Bitte warten ..
Mitglied: cardisch
03.04.2012 um 12:27 Uhr
Mahlzeit,

ich hatte mit dem Mcaffee ConTest gearbeitet und war auch sehr zufriden,
aber wie ALLE Vorredner schon geschrieben haben:
DIe PC´s befallen sich regelmäßig untereinander selbst neu.
Meine Systeme (XP und ganz wenige W7) waren komplett durchgepatched, angeblich sogar conficker-sicher, aber das war nur wunschdenken.
Die W7-Rechner hat es damals (so fern ich mich noch richtig erinnere) nicht oder nur vereinzelt getroffen (ich hatte damals aber auch höchstens ein dutzend.
AV-Lösung gab es damals noch nicht.
Und das ganze ist jetzt gut zwei Jahre her.

Gruß

Carsten
Bitte warten ..
Mitglied: cmmarburg
03.04.2012 um 13:49 Uhr
Den Server habe ich u.a. auch mit Avira gescannt und Allem was in Reichweite ist. Manuell hinterlässt er ja auch sichtbar Dinge, die man aus vielen Removalanleitungen entnehmen kann. Nix. Ich denke nicht, das es der Server ist.
Die XPe Systeme sind nicht durchgepatcht, haben nur einen ollen Geode drinn und zwischen 1 und 2GB Flash
Kann sich der Wurm auch in einer Benutzersitzung auf dem TS installieren? Der hätte ja dann gefunden werden müssen, aber ich musstraue AV-Software, wenn sie nix finden. In den letzten Wochen hatte ein System mit dem Ucash-Mist, der offline weder von Kaspersky, noch Avira, AVG und Symantec EndpointSec. 12 gefunden wurde.
Bitte warten ..
Mitglied: SlainteMhath
03.04.2012 um 13:54 Uhr
Die XPe Systeme sind nicht durchgepatcht,
Das ist dein Problem, glaub mir.
Bitte warten ..
Mitglied: cmmarburg
03.04.2012 um 17:10 Uhr
Ich glaube auch das es das Problem ist. Ich habe auch davon abgeraten auf der XPembedded Schiene zu bleiben. Für ein normales XP haben die Geräte keinen Platz und dies sind alle mit Images vom Hersteller neu installiert worden, wobei es schon problematisch war diese Images zu bekommen.
Einfach mal Windowsupdate laufen lassen ist wohl auch nicht so einfach möglich:
http://blogs.msdn.com/b/embedded/archive/2007/04/04/why-can-t-i-use-win ...
Ich würde ja die XPe Systeme ersetzen. Geht aber wegen kosten nicht. Das einzige was möglich wäre die bezüglich des Trojaner bekannten Updates einpielen, schauen, ob an der Maschine noch Infektionen auftreten und dann ausrollen.
Alternativ wäre irgendein Linuxoides Thinclientsystem auf den Maschinen zu installieren. Es darf halt mal wieder nix kosten und Zeit darf es auch nicht brauchen.
Aber danke für die Info.

Gruss
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...