Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS 2003 Virus Problem

Frage Microsoft Windows Server

Mitglied: 85807

85807 (Level 2)

04.08.2010, aktualisiert 11:59 Uhr, 2666 Aufrufe, 5 Kommentare

Hi

Ich weiß garnicht ob dieser Berreich der richtige dafür ist.
Hab in einer SBS 2003 n Problem mit dem Security Tool Virus.
Es ist eingentlich nur 1 Benutzer und 2 PCs die dieser benutzt hat betroffen.

1. Problem, der Virus installiert sich immer wieder neu in die registry. GDATA Client findet den nicht.
2. Laut google muss dieser im agb. Modus deinstalliert werden. Unter Software is der aber auch nie zu finden gewesen.
3. Wenn ich die registry vom serv. gespch. Profil von Einträgen des Viruses entferne kann diese nicht mehr geladen werden. Es kommt danach eine Fehlermeldung, dass das Profil nicht geladen werden konnte und das jetzt ein neues Lokales erstellt wird. Also alle Dateien weg.
4. Der User hat sich gestern noch bei einem anderen PC angemeldet. Security Tool ist dort zwar jetzt nicht gefunden worden aber seit dem kann sich dort generell keiner mehr anmelden ohne das der PC dabei abstützt (hängen bleibt).
Kann ev auch mit dem GDATA Update zu tun haben, dass ich über nacht einspielen hab lassen. Management Version 8.0 auf 10.5 wurde upgedatet.
Ich hab jetzt schon mehrere Tage damit verbracht diesen Virus wegzubekommen aber finde keine effiziente Lösung.

Meine letzte Auswahl wäre. Neues Profil erstellen und die benötigten Dateien dann einzeln in das neue Profil kopieren?

Was sagt ihr?


p.s.: MS Tool zum entf bösartiger Software wurde auch schon intensiv einmal über den PC drüber gefahren und hat dateien gefunden, aber nach nem Neustart is das teil immer noch da.
Mitglied: mrtux
04.08.2010 um 12:02 Uhr
Hi !

Zitat von 85807:
Was sagt ihr?

Nicht mit Adminrechten arbeiten....

Versuche die betroffenen Rechner mit einer Linux Live-CD oder einem Rescue System zu booten und entferne damit die Malware...Unter einem infizierten, laufenden System wirst Du meist verkaggeierd. Warum? Weil der Entwicker der Malware will, dass Du sie nicht entfernen kannst....Leuchtet ein, nicht wahr? Klappt die Entfernung damit auch nicht, dann setze die befallenen Rechner komplett neu auf....

mrtux
Bitte warten ..
Mitglied: 85807
04.08.2010 um 12:31 Uhr
Hi mrtux.


Meinst du jetzt man soll den Benutzern keine Lokalen Adminrechte geben?

Problem sind die Eigenen Dateien die von Benutzer2 (Virus Benutzer1 hat sich an PC von Benutzer 2 angemeldet) jetzt am Server weg sind bzw dort leider nicht gespeichert wurden.
Ich muss die erst einmal wieder finden. Hoffentich sind sie lokal noch da so wie Sie der Kunde hatte.
Aufsetzten ist ne gute aber letzte Lösung die ich erst in einigen Tagen durchführen könnte. Distanz zu Firma usw.

Bei PC1: muss ich nur zusehen dass sich der Virus nicht in die Registry kopiert. Wenn ich mich dort als Admin anmelde hab ich keine Probleme, nur sobald Benutzer1
sich anmeldet ist der Virus gleich ersichtlich da.

Bei PC2: erstmal die Daten finden und wegsichern. Der PC stürtzt leider immer ab. Man kann sich nicht mehr anmelden. Werd mal den GDATA Client deinstallieren bzw. deaktivieren. Vielleicht verursacht der den Crash.
Bei PC2 gabs noch keinen eindeutigen Hinweiss das der Virus auch drauf ist.

Bin für alle weiteren Tipps danikbar.
Bitte warten ..
Mitglied: cardisch
04.08.2010 um 13:16 Uhr
Leider nützt das mit den "nicht-mit-Adminrechten-arbeiten" auch nicht immer (auch wenn es ein guter Ansatz ist).
Ich war mit den Conficker.b befallen und hat in der Domäne so ziemlich jeden Rechner befallen, von W2k-W2k8, egal ob mit lokalAdmin oder nur User-rechten...
Interessant wird es zuerst, wenn du mal postest, WAS sich infiziert hat...

Gruß

Carsten
Bitte warten ..
Mitglied: 85807
04.08.2010 um 14:21 Uhr
YAY

Fürs erste scheint der Virus von PC1 entfernt zu sein.
Hab sicherheitshalber nen neuen Benutzer erstellt. Aber wir werden morgen wenn der USER wieder da ist sehen ob es hinhaut.

Problem ist jetzt nur noch PC2 der total rumspinnt.
Hab dort GDATA deinstalliert und jetzt konnte ich mich erfolgreich anmelden.
Jedoch komisch ist, dass er das Profil nicht am Server Speichert. Der Ordner "Benutzername" am Server ist leer.
Hab jetzt die IP Einstellungen kontrolliert. Der DNS Eintrag hat gefehlt. Hoffe das das schuld war.
Mach jetzt noch einen sauberen GDATA Clean und kopier nebenbei die "Dokumente und Einstellungen" manuell ins Serverporifl" als Sicherung. Installier dan GDATA neu drauf und dann seh ich ob ich endlich in mein wohl verdienten Urlaub den ich eig schon seit Montag antreten sollte machen kann ;)

P.s.: Danke euch wegen dem Tip "Administrator"

Die Firma vor uns hat diesem Benutzer 1 MItglied von "Administratoren" und "Domänen-Admins" gemacht. Kein Wunder das dann gerade der Benutzer befallen wurde.

Ja sobald ein PC einer Domäne beitritt kann man unter "Benutzerkontenverwaltung" die Sachen einstellen.
Dort gibt es dann nur Standardbenutzer oder Administrator. Wobei ich denke das mit "Administrator" nur lokaler Admin gemeint ist, oder bezieht sich das auch die gesammte Domäne? Ne oder!

liebe Grüße
Christian
Bitte warten ..
Mitglied: 85807
30.08.2010 um 14:13 Uhr
Das Problem ist gelöst.

Aber warum kann ich nur in diesem Thread meine Nachrichten nicht editieren.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Zepto Virus
Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Windows Server
Benutzer problem bei sbs 2011
gelöst Frage von jensgebkenWindows Server5 Kommentare

Hallo Gemeinschaft, habe bei meinem SBS das Problem, dass wenn ich einen neuen Benutzer unter Windows Button - Systemsteuerung ...

Windows Server
Zertifikat Problem mit SBS 2011
Frage von jensgebkenWindows Server7 Kommentare

Hallo Gemeinschaft, Ich möchte auf meinem SBS 2011 ein selbst erstelltes Zertifikat einrichten, so dass ich auch von extern ...

Windows 10
Virus Locky infiziert das Bios ?
gelöst Frage von 1Werner1Windows 104 Kommentare

Moin, ich habe auf einen mit Locky Virus befallenden PC das Windows neu aufgesetzt, und natürlich auch das Programm ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 15 MinutenViren und Trojaner

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 4 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell8 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...