Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Komischer Virus oder Wurm

Frage Sicherheit Viren und Trojaner

Mitglied: sfera-haiza

sfera-haiza (Level 1) - Jetzt verbinden

03.09.2007, aktualisiert 06.09.2007, 5996 Aufrufe, 11 Kommentare

Blockt Virenprogramme und Update.exe'n

ndzwar habe ich win 2003 server und hab nen Bock im System. Der Virus verhindert, dass Dateien entpackt werden die den namen tragen "update.exe" oder sooder auch andere Dateien anderer Anti Viren Tools.
Spiele ich übers Netzwerk die Upadte dateien ( z.B. aus einem Service Pack) auf, so wird sie gelöscht sobald ich an dem befallenem PC auf den Ordner klicke.

Was ist das für ein Mistteil?

Symtic Antivirus hatte nix gefunden und den NOD 32 setzte ich übers Netzwerk auf den betroffenem PC ein, da der Virus wohl am System selbst auf die Anti Viren Tools losgeht , die Updatefunktion blockt und sie größtenteils außer Kraft setzt.


Welcher Virus kanns sein und wie kann ich ihn außer Kraft setzen?
Mitglied: gnarff
04.09.2007 um 05:42 Uhr
Hallo sfera-haiza!

Der komische Virus ist ein Wurm und heißt Nyxem.gen.
Das ".gen" habe ich dabei angefügt, da wir ja nicht wissen, ob es sich dabei tatsächlich um den originären Nyxem.E handelt oder um eine neue Variante.
Dieses Schadprogramm ist auch bekannt unter den Namen:

W32.Blackmal.E@mm
Kama Sutra
W32/MyWife.d@MM
Email-Worm.Win32.Nyxem.e

Verhalten des Schädlings:
Einmal installiert blockt er die Updates der folgenden Antivirenlösungen [soweit mir bekannt]:
Norton AntiVirus
Symantec
Mc Afee
Trend Micro
Panda Anti Virus
Kaspersky
eTrust EZ Antivirus

Der Wurm, sofern sich nichts geändert hat, residiert in einer Update.exe Datei und manipuliert an jedem Dritten Werktag im Monat Dateien mit den folgenden Endungen:
*.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.pps, *.zip, *.rar, *.pdf, *.psd, *.dmp.
Dabei löscht er deren Inhalt und fügt stattdessen folgende Meldung ein:
DATA Error [47 0F 94 93 F4 K5]

Dieser Schädling verbreitet sich über die Netzwerkfreigaben und befällt so das gesamte Netzwerk.

Vorgehensweise in einer Produktionsumgebung [Best Practices]:
Der Server ist sofort vom Netzwerk zu trennen und neu aufzusetzen
Es wird sofort ein Backup aller Datenbestände gefahren.
Die Clients werden gereinigt

Von F-Secure gibt es das Reinigungstool F-Force.
Es handelt sich dabei um eine *.zip Datei mit folgendem Inhalt:
          • f-force.exe - the main executable file
          • eult.rtf - End User License Terms document
          • readme.rtf - Readme file in RTF format
          • readme.txt - Readme file in ASCII format

Um F-Force benutzen zu koennen bedarf es eines Updates, die Datei latest.zip.

Nach erfolgreicher Entfernung des Schadprogramms, sind alle verfügbaren Festplatten nochmals zu scannen, besonders in den Archiven, da F-Force diese von seinem Scanning standardmäßig ausnimmt.

Sollte es sich nicht um eine Produktionsumgebung handeln, so kannst Du versuchen auch den Server mit dem Tool zu reinigen; obwohl ich nicht weiß, ob das unter Server 2003 funktioniert.
Es gäbe alternativ noch den Bitdefender Onlinescan.

Ich warne nochmals eindringlich davor zu versuchen den Server einem Reinigungsversuch zu unterziehen, falls er sich in einer Produktionsumgebung befindet. Geht dieses Unterfangen schief, droht dreißig Tage später Datenverlust und Betriebsausfall.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 07:28 Uhr
Leider gibts da von dir verlinkte Programm nichtmehr. (ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip) Ich meine ich hätte mir die Seite auch schonmal aufgerufen gehabt.
Bitte warten ..
Mitglied: gnarff
04.09.2007 um 08:27 Uhr
Seltsam, ich habe es mir gerade noch einmal heruntergeladen, der download funktioniert...
Ich habe noch ein anderes Removal Tool gefunden:
http://www.bitdefender.com/site/Downloads/browseFreeRemovalTool
bitte zu Win32.Nyxem.E@mm (.exe) herunterscrollen und downloaden.
saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 13:24 Uhr
Das AntiNyxem-EN.exe ist spitze Hatte es geschafft erswt 3 sec offen zu bleiben, dann ist es innerhalb einer halben Sekunde nach dem öffnen wieder zu.

Ich habe gerade ds f-force Programm am laufen, dass brach nicht zusammen,- mal sehen was bei rumkommt.
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 18:43 Uhr
Nee Ju8ngs hatte leider nix gebracht , das f-force Programm fand zwar was und beseitigte es, dass ers beim zweiten Scan nicht wieder fand aber dennoch sobald ich wieder enie update.exe auf den PC spiele ist sie binnen einer Sekunde wieder weg.
Bitte warten ..
Mitglied: gnarff
04.09.2007 um 20:19 Uhr
Ich hatte Dir ja gesagt, dass wir nicht wissen ob es sich um die originäre Version des Nymex.E handelt oder um eine neue Variante.
Die von Dir verwendeten Tools sind schon etwas älteren Datums.

Weitere Gründe warum eine Desinfizierung scheitern kann:
- Das Betriebssystem Windows 2003 Server wird nicht unterstützt.
- Die Systemwiederherstellung wurde nicht abgeschaltet und nach erfolgter Desinfektion alle alten Wiederherstellungspunkte gelöscht.
- Nach erfolgter Desinfektion wurden die festplatten nicht einem kompletten Scanning unterzogen
- Der Rechner wurde vorher nicht vom Netzwerk getrennt

Hier ist noch ein Tool von Symantec W32.Blackmal@mm Removal Tool das unterstützt auch Windows NT, vllt. hast du damit mehr Glück.
Als letzten Ausweg gibt es noch den Bitdefender Onlinescanner

Ich glaube aber, dass Du besser beraten bist, den Server neu aufzusetzen - wie ich weiter oben schon ausfuehrte und in Zukunft ein besseres Sicherheitsmanagment implementierst.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 22:15 Uhr
Also auch das Norton Programm sagte mir nun, dass er nix gefunden hat.
Naja muss ja was drauf sein, denn wenn im System Dateien fehlen würden, dann wütrden sich ja gewisse Dateien nicht nachwievor automatisch löschen sobald ich sie aufspiele, oder?
Also ist da doch noch noch einer im Spiel
Bitte warten ..
Mitglied: gnarff
05.09.2007 um 00:56 Uhr
Deine letzte Chance vor dem Neu aufsetzen der Servers ist der Bitdefender Onlinescanner, die Links dazu hatte ich ja bereits oben gepostet. Ich habe mich gerade informiert, der unterstützt auch 2003 Server und erkennt alle Varianten dieses Schädlings.
Systemwiederherstellung ausschalten nicht vergessen!

Das von Hand entfernen ist schwierig, der Erfolg kann nicht zu 100% garantiert werden und dauert länger als das Neuaufsetzen eines Servers.
Meine Meinung zu kompromittierten Server- Betriebssystemen hatte ich ja auch schon kundgetan.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
06.09.2007 um 16:41 Uhr
So das Ende vom Lied: Es half nur Neuinstallation

Der Virus wurde nicht entdeckt.
Bitte warten ..
Mitglied: gnarff
06.09.2007 um 17:09 Uhr
Na, habe ich Dir doch gesagt:
Wenn Server befallen, dann Neuinstallation; alles andere ist unverantwortlich.
Da Du nun drei Tage daran herumgebastelt hast, kannst Du das gesamte Netzwerk nun auch noch, Client fuer Client untersuchen. Client, sofern nicht Thin, aus dem Netz nehmen und von Hand die Festplatte durchscannen, Backupserver, Mailserver...na, Du bist ja Angler und hast Geduld.
Petri Heil...

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
06.09.2007 um 17:46 Uhr
Nee habe keine Clienten
Benutze es als Workstation.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Viren und Trojaner
Virus macht Bilder unleserlich (25)

Frage von linguin zum Thema Viren und Trojaner ...

Erkennung und -Abwehr
Proxy um Anti Virus Sicherheit zu erhöhen ? (6)

Frage von agnostiker zum Thema Erkennung und -Abwehr ...

Viren und Trojaner
gelöst Seltsames Verhalten! Virus? Plinker! (14)

Frage von achim222 zum Thema Viren und Trojaner ...

Viren und Trojaner
Odin File Virus Ransomware Is Here! (1)

Link von ticuta1 zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...