Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Conficker und Terminal Server

Frage Sicherheit Viren und Trojaner

Mitglied: cmmarburg

cmmarburg (Level 1) - Jetzt verbinden

03.04.2012 um 10:10 Uhr, 2874 Aufrufe, 7 Kommentare

Moin Moin

Bei einem 2008R2 TS tritt an Clients, die unter XPembedded auf laufen auf, das angesteckte USB.Sticks sich den Conficker Trojaner einfangen. Irgendwo läuft er und/oder irgendwo ist eine Lücke. Auf dem Server selber findet weder der Installierte AV, noch diverses andere Scanner wie Stinger & Co einen Wurm. Auch manuell sind keine Spuren sichtbar.
Frage: kann es sein, das der Wurm nur in einem Benutzerprofil läuft, das Gesamtsystem aber nicht befallen ist? Der Server ist Patchmässig auf den aktuellen Stand und die Benutzer sind halt nur Benutzer und haben keine erweiterten Rechte.
Ist es möglich, das der Remotdesktopclient auf dem XPembedded einen angesteckten USB-Stick so im Netzwerk erreichbar macht, das er von einem anderen System aus infiziert werden kann? Es sind zwar auf den Clients administrative Freigaben vorhanden, aber der User unter dem der RDP-Client läuft hat keine Admin-Rechte und der Administrator ist kennwortgeschützt.
Für ein paar Tips im konkreten Fall wäre ich dankbar.

Gruß
Mitglied: Icedg
03.04.2012 um 10:26 Uhr
Moin,

hast du schoneinmal versucht den Server mit der neuesten Avira CD zu scannen ?

Gruß
Ice
Bitte warten ..
Mitglied: SlainteMhath
03.04.2012 um 10:28 Uhr
Moin,

ist den auf den XPE Kisten ein Virenscanner installiert? Oder sind die zumindest auf den aktuellen Stand druchgepatcht?
IIRC verbreitet sich Conficker neben USB auch über eine Lücke im RPC - und befällt somit auch XPE Systeme. Nach einen Neustart ist das System zwar wieder sauber, wird aber i.d.R. von seinen "Nachbarn" einfach neu infiziert.

lg,
Slainte
Bitte warten ..
Mitglied: Ravers
03.04.2012 um 12:11 Uhr
Hi,

nimm mal das KK-Tool (Kaspersky); das half mir damals am meisten!

Prüfen, reinigen und danach patchen. Ist n fieser Möp!

teuteuteu

ravers
Bitte warten ..
Mitglied: cardisch
03.04.2012 um 12:27 Uhr
Mahlzeit,

ich hatte mit dem Mcaffee ConTest gearbeitet und war auch sehr zufriden,
aber wie ALLE Vorredner schon geschrieben haben:
DIe PC´s befallen sich regelmäßig untereinander selbst neu.
Meine Systeme (XP und ganz wenige W7) waren komplett durchgepatched, angeblich sogar conficker-sicher, aber das war nur wunschdenken.
Die W7-Rechner hat es damals (so fern ich mich noch richtig erinnere) nicht oder nur vereinzelt getroffen (ich hatte damals aber auch höchstens ein dutzend.
AV-Lösung gab es damals noch nicht.
Und das ganze ist jetzt gut zwei Jahre her.

Gruß

Carsten
Bitte warten ..
Mitglied: cmmarburg
03.04.2012 um 13:49 Uhr
Den Server habe ich u.a. auch mit Avira gescannt und Allem was in Reichweite ist. Manuell hinterlässt er ja auch sichtbar Dinge, die man aus vielen Removalanleitungen entnehmen kann. Nix. Ich denke nicht, das es der Server ist.
Die XPe Systeme sind nicht durchgepatcht, haben nur einen ollen Geode drinn und zwischen 1 und 2GB Flash
Kann sich der Wurm auch in einer Benutzersitzung auf dem TS installieren? Der hätte ja dann gefunden werden müssen, aber ich musstraue AV-Software, wenn sie nix finden. In den letzten Wochen hatte ein System mit dem Ucash-Mist, der offline weder von Kaspersky, noch Avira, AVG und Symantec EndpointSec. 12 gefunden wurde.
Bitte warten ..
Mitglied: SlainteMhath
03.04.2012 um 13:54 Uhr
Die XPe Systeme sind nicht durchgepatcht,
Das ist dein Problem, glaub mir.
Bitte warten ..
Mitglied: cmmarburg
03.04.2012 um 17:10 Uhr
Ich glaube auch das es das Problem ist. Ich habe auch davon abgeraten auf der XPembedded Schiene zu bleiben. Für ein normales XP haben die Geräte keinen Platz und dies sind alle mit Images vom Hersteller neu installiert worden, wobei es schon problematisch war diese Images zu bekommen.
Einfach mal Windowsupdate laufen lassen ist wohl auch nicht so einfach möglich:
http://blogs.msdn.com/b/embedded/archive/2007/04/04/why-can-t-i-use-win ...
Ich würde ja die XPe Systeme ersetzen. Geht aber wegen kosten nicht. Das einzige was möglich wäre die bezüglich des Trojaner bekannten Updates einpielen, schauen, ob an der Maschine noch Infektionen auftreten und dann ausrollen.
Alternativ wäre irgendein Linuxoides Thinclientsystem auf den Maschinen zu installieren. Es darf halt mal wieder nix kosten und Zeit darf es auch nicht brauchen.
Aber danke für die Info.

Gruss
Bitte warten ..
Ähnliche Inhalte
Monitoring
Port abhören (Malware Conficker)
gelöst Frage von MesaricMonitoring8 Kommentare

Werte Profis :), ich benötige wieder einmal euren Rat. Ich würde gerne ein gewisses Port bei unserem Server abhören ...

Windows Server
Terminal Server Lizenz Server
gelöst Frage von rocco61Windows Server2 Kommentare

Hallo zusammen, Frage , kann ich einen 2008 Server als Lizenzserver für einen 2012 einstellen?, nein denke ich. Benötigt ...

Viren und Trojaner
Conficker Virus im Netzwerk ( PFsense , Snort )
Frage von cafepostViren und Trojaner20 Kommentare

Hallo Zusammen , ich hab denn conficker virus in meinem Netzwerk , in meinem netz sind ca 100 user ...

Windows Server
Terminal Server 2012
Frage von Anfaenger69Windows Server10 Kommentare

Hallo zusammen, wir betreiben seit kurzer Zeit eine Terminal Server Farm mit Windows Server 2012. Von Anfang an hatten ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows 10
Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App
Tipp von kgbornWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...