Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wenn bei einem Virus garnichts mehr Hilft? Virenspezialist?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: 49110

49110 (Level 1)

25.01.2010, aktualisiert 09.02.2010, 7933 Aufrufe, 24 Kommentare

Ein Unternehmen wird eines Viruses nicht mehr mächtig und kann diesen mit sämtlichen Sicherheitstools nicht mehr entfernen auch nicht mit der Enterprise Virenschutzlösung (Kaspersky Open Space Security). Der Virus hat mehrere Client PC's befallen und auch Server, das ausmaß der Verbreitung ist für den Betrieb "kritisch" weil nicht mehr gearbeitet werden kann.

Ein Unternehmen wird eines Viruses nicht mehr mächtig und kann diesen mit sämtlichen Sicherheitstools nicht mehr entfernen auch nicht mit der Enterprise Virenschutzlösung (Kaspersky Open Space Security). Der Virus hat mehrere Client PC's befallen und auch Server, das ausmaß der Verbreitung ist für den Betrieb "kritisch" weil nicht mehr gearbeitet werden kann.

In diesem fall ist trotz Vorkehrungen der Worst-Case eingetreten, wie der Virus in das Unternehmen kam, ist vorab zweitrangiger Priorität einzustufen, was könnte man in diesem Fall dem Unternehmen raten? Habt ihr Ideen / Anregungen, es gibt doch bestimmt Firmen die sich darauf spezialisiert haben und dem Unternehmen helfen könnten. Würdet Ihr direkt über Kaspersky gehen, hat jemand schon solche Erfahrungen gemacht?
Mitglied: H41mSh1C0R
25.01.2010 um 09:40 Uhr
das wichtigste ist die Server voneinander abschotten um in Fleissarbeit jeden Server einzeln zu behandeln, wenn möglich.
Wenn Backups vorhanden sind, evtl. die Server sogar virtualisiert sind, alte VMs/Backups einspielen wo das Problem noch nicht bestand.

Um was für einen Virus geht es?

Client-Server oder Terminal-Server Lösung im Einsatz?

Viele Viele Fragen ^^
Bitte warten ..
Mitglied: 49110
25.01.2010 um 09:51 Uhr
Wir sind Dienstleister für ein Warenwirtschaftsystem in dem Unternehmen und nicht spezialisiert auf dem Gebiet was Virenentfernung anbelangt, also fällt das nicht in unseren Tätigkeitsbereich. Das Unternehmen hat eine eigene IT Abteilung die sich dem Problem bereits angenommen hat, diese wiederum haben sich an uns gewandt, weil Ihnen die gängigen mittel einfach nicht weiterhelfen. Dettailierte Fragen wurden seitens eines anderen Mitarbeiters nicht gestellt, wir wollen dem Unternehmen lediglich eine Firma / Spezialisten übermitteln die sich dem Problem professionell annehmen...Eine Formatierung von verschiedenen Systemen wäre in meinen Augen z.B. keine Lösung, im Heimbereich kann man das gerne mal machen aber bei einem Unternehmen mit 300 Mitarbeitern und 20 Servern ist das eher unangebracht.
Bitte warten ..
Mitglied: Arch-Stanton
25.01.2010 um 09:53 Uhr
einem Unternehmen mit 300 Mitarbeitern und 20 Servern ist das eher unangebracht.

Der Virus macht da wohl keine Unterschiede, also plattmachen, neu installieren und backups einspielen.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: 49110
25.01.2010 um 10:02 Uhr
Bei Servern wohl kein Problem wenn tägliche Backups des kompletten Systems vorhanden sind. Wir haben da kein Problem weil unsere Server mit Linux bei dem Kunden stehen...Über die Backupvorkehrungen weis ich auf den Windows Servern leider nicht bescheid, weil dies eben die eigene IT-Abteilung betreut, bei Clients, sprich den Arbeitsplätzen gibt es in vielen Unternehmen keine Backups weil sie lediglich das front-end bilden. Aber nun nochmals, mit so einer Aussage ist dem Unternehmen nicht unbedingt geholfen, Ihr wollt mir jetzt nicht ernsthaft weiss machen dass es keine IT Dienstleister im Umfeld IT-Sicherheit spezialisiert auf Viren- / Wurm- / Malwareentfernung gibt, die sich dem Problem annehmen würde?
Bitte warten ..
Mitglied: 49110
25.01.2010 um 10:11 Uhr
Zitat von Arch-Stanton:
> einem Unternehmen mit 300 Mitarbeitern und 20 Servern ist das eher unangebracht.

Der Virus macht da wohl keine Unterschiede, also plattmachen, neu installieren und backups einspielen.

Gruß, Arch Stanton

Mir scheint so als ob hier die eigentlich Frage komplett / absichtlich überlesen wird? Mit System Plattmachen und neu aufsetzen ist nicht professionell geholfen. Die vorgehensweise wäre wie gesagt Server und Clients einzeln auseinander zu halten, vom netz zu trennen und dann versuchen die Schädlingssoftware zu entfernen, erst wenn das alles nicht hilft wird an Backups gedacht und diese werden zurückgespielt, aber selbst hier ist nicht sicher wann und wo der Virus das System/ die Systeme befallen hat. Hier geht es eigentlich nicht um die Frage nach dem eigentlichen Vorgang sondern wer den Vorgang ausführt, hier ist schon klar dass das Unternehmen selbst (die eigene IT Abteilung) Hilfe eines professionellen Dienstleisters braucht, der die Tätigkeiten die ihr hier vorschlagt ausführt! Und genau das ist meine Frage, wen Ihr hier wärmstens Empfehlen könntet?
Bitte warten ..
Mitglied: Tommy70
25.01.2010 um 10:17 Uhr
Hallo,

wenn die schon Kaspersky einsetzen, würde ich als erstes mal mit deren Support Kontakt aufnehmen.
Bitte warten ..
Mitglied: Arch-Stanton
25.01.2010 um 10:28 Uhr
professionell ist also das tagelange herumdoktern mit Virenschutzprogrammen? Meines Erachtens verhält es sich mit einem Firmen-Pc genau wie mit einem Privat-PC. Wenn systemrelevante Dateien zerstört sind, was bei deinem Kunden noch zu ermitteln sein wird, dann wird man um eine Neuinstallation nicht herumkommen. Warum findest Du keine Dienstleister? Es gibt doch genug Hersteller von A wie Avira bis ... Einfach mal bei denen melden.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: 49110
25.01.2010 um 10:28 Uhr
Hi Tommy

Das ist eine sehr gute Idee, diese habe ich bereits vorgeschlagen, stellt sich nur die Frage ob es über Kaspersky einen Fachmann gibt der sich das vor Ort anschaut, bin gespannt auf deren Antwort. Hat vielleicht noch jemand Erfahrungen damit gemacht und sich mal externe Hilfe geholt?

Danke für dein Beitrag Tommy
Bitte warten ..
Mitglied: 49110
25.01.2010 um 10:36 Uhr
Zitat von Arch-Stanton:
professionell ist also das tagelange herumdoktern mit Virenschutzprogrammen? Meines Erachtens verhält es sich mit einem
Firmen-Pc genau wie mit einem Privat-PC. Wenn systemrelevante Dateien zerstört sind, was bei deinem Kunden noch zu ermitteln
sein wird, dann wird man um eine Neuinstallation nicht herumkommen. Warum findest Du keine Dienstleister? Es gibt doch genug
Hersteller von A wie Avira bis ... Einfach mal bei denen melden.

Gruß, Arch Stanton

Arch-Stanton

Mittlerweile hast du also auch geschnallt um was es hier geht, genau das ist eben die Frage...Bietet der Dienstleister einen Service an wo ein Mitarbeiter vor Ort kommt und sich das ganze anschaut oder bietet er z.B. nur die Software anversich an und ich Frage hier einfach nur wer damit schon Erfahrung gemacht hat und Empfehlungen aussprechen kann. Alle anderen Vorschläge zur Vorgehensweise haben einen Hauch von persönlichen Vorgehensweisen wie man das Problem angehen "könnte". Aber ist ja auch okey dass man sich auch damit befasst / beschäftigt, also Danke für deine Vorschläge...
Bitte warten ..
Mitglied: H41mSh1C0R
25.01.2010 um 11:17 Uhr
da du dich so auf das behandeln festlegst:

- ruf die Firmen an und frage ob die dir einen Fachmann vorbei schicken auch wenn der im Fall des Falles selber deinen Backup einspielt und Sauber Geld dabei einsackt

Ich denke wenn ihr den Service bezahlt, wird jedes AV Unternehmen einen Fachmann vorbeischicken, nur wird das bei steigender Größe des Serverparks keine Aldiaktion.


Wie groß ist die IT Abteilung in dem betroffenen Unternehmen?
Bitte warten ..
Mitglied: 49110
25.01.2010 um 11:42 Uhr
Ich glaub die interne IT Abteilung bei denen hat ca. 5 Mitarbeiter...Bisher hab ich keine Info von Ihnen wie es um einen Fachmann von Kaspersky steht der das ganze wieder gerade biegt. ICh muss ehrlich sagen ich hatte bisher intern das vergnügen mal einen befallenen Exchange wieder auf fordermann zu bringen und als Zuckerschlecken war das nicht zu bezeichnen. Ich frag mich ja selbst wozu das Unternehmen eine 5 köpfige IT Abteilung hat die das dann nach aussen weitergeben will, vielleicht ist das Problem Ihnen schlichtweg über den Kopf gewachsen, nimm mal an sonst hätten Sie auch nicht hier bei mir angerufen...Ich schweif jetzt auch mal ein bissl vom Thema ab...Mir sind in dem Bereich etwas die Hände gebunden, allein im IT Sicherheitsbereich sich frei zu bewegen ist nicht sonderlich einfach, man möge nur dran denken, du bist bei einer Firma angestellt und bietest z.B. IT Sicherheit in Form von einer AV Lösung einem Kunden an, dem passiert genau sowas wie jetzt, dieser stellt dann eine Schadensersatzforderung an dich und klagt das ganze natülich gesetzlich ein...Welche Vorkehrungen für solch einen Fall hast du getroffen?
Bitte warten ..
Mitglied: noodyn
29.01.2010 um 14:20 Uhr
1. Welcher Schädling?
2. Welche Versuche wurden unternommen um ihn zu entfernen?
3. Gibt es von Antivirus Herstellern bekannte Gegenmittel? Wenn die nicht helfen: Support anrufen!
4. letzte (!) Möglichkeit: Neuinstallation aus Backups.
Bitte warten ..
Mitglied: secure75
01.02.2010 um 13:14 Uhr
Hallo,
ich bin ein Spezialist für solche Problemfälle. Ich/Wir haben vielfach schon genau solche Probleme gelöst.
Referenzen haben wir auch genau in dem Bereich. Gerne stehen wir hierfür, falls noch Bedarf besteht bereit.
Gruß
mic
Bitte warten ..
Mitglied: propain66
01.02.2010 um 22:30 Uhr
Moin isAG-fz, ich würde alle rechner Plattmachen - damit kann man sich sicher sein das der Virus entfernt wurde.
Dann würde ich ein Rechner mit M0n0wall zur firewall umfunktionieren.
Bitte warten ..
Mitglied: FalconTR
02.02.2010 um 22:13 Uhr
Vielleicht ein wenig unprofessionel, aber in kleineren Netzwerken hats funktioniert...
1. alle Kabel ziehen
2. z.B. Desinfect (heise aus der ct) lizenziert einsetzten, sprich enthaltene Virenscanner kaufen (oder unterliege ich da einem Irrtum, dass das dann immer noch nicht legal ist?)
3. Virensignaturen auf USB Stick ziehen
4. jeden Rechner scannen
5. Daumen drücken, dass keine Systemrelevanten Dateinen weg oder beschädigt sind (sonst aus Backup oder von sauberem System neu einspielen)

Dafür braucht man meiner Meinung nach nicht unbedingt einen Virenspezialisten.
Vorher kann man ja noch ein Vollbackup ziehen, damit man den Ausgangszustand wieder herstellen kann.

Könnte funktionieren, muss aber nicht...

Gruß
FalconTR
Bitte warten ..
Mitglied: crashzero2000
08.02.2010 um 09:21 Uhr
Hallo isAG-fz,

ich gebe dir da recht : Plattmachen ist in einer solchen Umgebung kaum realisierbar.
Jeder Virus ist auch manuel wieder entfernbar, allerdings stellt sich die Frage der Zeit, des Ausfalles und des Arbeitsaufwandes.
Gibt es aktuelle Backups, dann einspielen und verlustierte Daten nachpflegen, bedarf ein wenig Koordination der IT mit den "Dateneingebern".

Als Beispiel :
Ich arbeite in einem größeren, sicherheitsrelevanten Unternehmen.
Wenn die Unternehmensdaten so "relevant" sind darf man NIE auf eine AV und eine FW-Lösung setzen.
[Mind. 2-Stufenkonzept].

Zusammensetzen der IT´ler, Plan machen ! Planloses Vorgehen erschwert die Arbeit.
Festsetzen von Prioritätsservern/Schlüsselservern - Diese zuerst abarbeiten [FInanzdatenbankserver etc.]
Dann sekundäre Server abarbeiten.
Feststetzen von Prioritätsworkstations/schlüsse-PC´s. - Diese zuerst abarbeiten, dann sekundäre PC´s. [Buchhaltung/Controlling etc.]

1. Frage, Klärung wie ist der Virus in das System gekommen.
Kann die Frage nicht geklärt werden, ist eine Neuinfektion [nach manueller Entfernung oder nach "Plattmachen"] sehr wahrscheinlich
2. Ist das "Eindringen" bekannt, zuerst den Weg versperren
3. Identifizierung des Viruses [Trojaner ? Keylogger ? - Internetzugang trennen !]
4. Schaffung einer Insellösung [1 PC mit Internetzugang ohne Zugang auf das "infizierte" System]
5. Kommunikation , nach Identifizierung des Infekts, mit AV-Hersteller
6. Genaue Instruktionen für Desinfektion vom AV-Hersteller holen

Herunterfahren ALLER Workstations [Vermutlich nur nachts machbar ?]

Server vom Netz trennen.
Aufteilung der IT´ler, jeder IT´ler nimmt sich einen Server vor [Netzwerk ist getrennt] und arbeiteten die Desinfektion ab [Vermutlich ja nur nachts machbar ?]
Das mit allen Servern.

Nun die Server mit aktuellem Virenpattern scannen [AV-Hersteller wird ja wohl mittlerweile an aktuelles Pattern geliefert haben.
Server an das Netz erst klemmen wenn alle Workstations sicher Desinfiziert wurden.
Server ans Netz, Workstations ans Netz - Erneuter Scan [Intensity].

Professionelle Unternehmen arbeiten da nicht anders, mit Zeitausfall etc. ist definitiv zu rechnen, das läßt sich nicht vermeiden.

Sicherheitskonzept überdenken [Mind. 2 Stufenkonzept !]

Bei Systemdefekten auf den Servern kann ich nur hoffen das es DC´s sind welche sich mit anderen DC´s in z.B. Vertrauenstellung replizieren, dann stellt selbst ein Serversystem-Defekt kein so großes Problem dar.
Notfalls Systemreparaturen durchführen, dieses Thema ist aber größer und kann hier nicht ohne weiteres ausgeführt werden.
Da gibt es einiges mehr zu beachten ...
[Ev. Systemstate gesichert ?]

Ein Konzept wäre :
1.Eine XY-AV Lösung auf der FW
2.Eine andere XY-AV Lösung [Client-Server Applikation] für die Server und Workstations [Muß Emailprogramm implementierbar sein, sowie einen Webguard besitzen]
[2 Stufen AV]
3. z.B. Nutzung von Exchange mit Emailarchivierungssystem : Ein weiteres AV-Packet nur für Exchange und Emailarchiv [Häufigster Weg der Infizierung]
[Bis hier wäre es dann bereits ein 3 Stufenkonzept]
4. Vermeidung von Infizierungen von intern durch Nutzung "fremder" Datenträger bzw. Speichermedien
a. Abschalten/ausbauen von Datenträgerlaufwerken [CD/DVD/Disk] wenn möglich
b. Autorun-Funktion unter Windows deaktivieren [Über DC GPO einrichtbar]
c. Endpoint Secure Appliance installieren [Wenn CD/DVD/Speichermedien-Nutzung benötigt wird]
Hier dann nur die firmeneigenen Geräte erlauben [USB-Sticks etc.]
Unternehmensrichtlinie entwerfen und mit GF / Betriebsrat abklären : "Es sind KEINE firmenfremden bzw. von der IT vorgescannte Datenträger zu nutzen !"

usw.usw.usw.

Eine 100% Sicherheit gibt es nicht, allerdings kann man das Risiko auf ein Minimum reduzieren.
Bitte warten ..
Mitglied: elknipso
08.02.2010 um 10:03 Uhr
Würde mich interessieren wie der Fall ausgegangen ist.
Bitte warten ..
Mitglied: gnarff
09.02.2010 um 15:11 Uhr
Die einzige Loesung in diesem Fall war und ist: Backups von allen Daten machen; sofern dies nicht schon standardmaessig vollzogen wurde, alles plattmachen und Neuinstallieren. Nachtarbeit einplanen und genuegend Kaffe in Thermobehaeltern bereitstellen.
Diese Entscheidung haette bereits nach dem ersten Tag gefaellt werden muessen.
Schaeden entstanden durch Betriebsausfaelle kann ein Unternehmen u.U.von der Steuer absetzen.

Solche Probleme enstehen, wenn ein Unternehmen bei der IT-Sicherheit sich auf sog. AV-Loesungen verlaesst, ohne ein vernuenftiges Sicherheitskonzept erarbeitet und umgesetzt zu haben. Der beste Beweis dafuer ist dieser Thread an sich; dass hier geragt wird, wie weiter vorgegangen werden muss.
In einem vernuenftigen Sicherheitskonzept wird auch das Worst-case Szenario behandelt.

@ crashzero:
Jeder Virus ist auch manuel wieder entfernbar, allerdings stellt sich die Frage der Zeit, des Ausfalles und des Arbeitsaufwandes.

Das ist FALSCH!

@secure75
Ich/Wir haben vielfach schon genau solche Probleme gelöst.
Referenzen haben wir auch genau in dem Bereich.

...

Saludos
gnarff
Bitte warten ..
Mitglied: 49110
09.02.2010 um 15:52 Uhr
@gnarff
Du hast mit deinem Allgemeinen Sicherheitskonzept natürlich recht! Von einem Worst-Case sollte man immer ausgehen, dann sind die Abläufe klar, nur wie man es so kennt haben viele Unternehmen in der Hinsicht nichts getan. Das Unternehmen um das es hier geht ist nicht gerade klein und hat daraus gelernt.

@cashzero + alle andern
Es wurde grössten Teil so vorgegangen wie cashzero es beschrieben hat, es handelte sich um einen Trojaner der sich auf den Clients und den Servern breit gemacht hat. Die Verbindung zum Internet wurde gekappt, der Serverraum wurde komplett gekapselt von den Clientrechnern und die Server untereinander waren auch nicht mehr erreichbar. Die Server Systeme wurden über Nacht mit einer speziellen Kaspersky Rescue CD gebootet, speziell für Windows Server, die Schädlinge sauber entfernt und danach wieder gestartet, bei dem Schädling handelte es sich wie gesagt und einen bekannten entfernbaren Schädling der normalerweise auch im abgesicherten Modus und ein paar manuellen Eingriffen in der Registry + Entfernungstool entfernt werden kann.

Das hat diese Kaspersky Rescue CD aber alles selbst getan, natürlich nur mit aufforderung durch den Benutzer damit keine wichtigen Systemdateien gelöscht werden. Somit hatten es der Domain, Backupdomain und Exchangeserver schonmal überstanden. Diverse Citrixserver haben wohl bis auf einen auch das Szenario komplett überstanden, die Linuxserver hat es natürlich grossartig nicht gekümmert das da ein Trojaner umherwüted (auf denen lief zum Glück das Herzstück des Unternehmens, die Datenbank des Warenwirtschaftsystems von uns).

Alles in allem konnten die Server innerhalb von einer Woche wieder auf vordermann gebracht werden, die Clients wurden nebenher ebenfalls untersucht und gesäubert, bis jetzt verhält sich anscheinend alles Still und die Virenscanner schlagen keinen Alarm mehr. Alles in allem ist es klimpflich ausgegangen, mit jeder menge Nachtschicht für das Unternehmen dass den Trojaner professionell entfernt hat und einem Arbeitsausfall von ca. einer Woche für externe Mitarbeiter über Citrix und Interne Arbeitsplatzrechner...

Auch das besagte IT Sicherheitskonzept wurde anscheined überarbeitet....Gottseidank lernen Kunden erst dann wenn es zu spät ist und der Wagen sprichwörtlich gegen den Baum gefahren ist....Was natrülich jetzt für funktionen vom trojaner genutzt wurden und welche Unternehmenkritische Daten vielleicht ausspioniert wurden bleibt ein Rätsel, jedenfalls sollte das Konzept hoffentlich eine komplett neue Benutzernamen & Passwort Struktur haben und zwar für so ziemlich alle Systeme, egal ob Firewall, Client oder Server weil zum Portfolio des trojaners ein Keylogger gehörte! Gesehen hab ich das Konzept nicht...Es hiess lediglich es gab eins, es wurde überarbeitet und mal schaun wie es künftig dort zugeht.

"closed"

Nachtrag: Cashzeros kurz zusammengestelltes Konzept in einem FORUM im INTERNET könnten sich sogar viele von euch und auch Unternehmen mal zu gemüte führen. Dein Beitrag war so ziemlich der Hilfreichste, neutral und fremd jeglicher Kritik. Kritik und Spott Hilft in so einem Fall recht wenig @gnarff

Was dein 3 Stufenkonzept angeht umfasst die Firewall des Kunden -> Watchguard (Sec. Appliance mit GW AV), die Kaspersky Enterprise Space Securtiy (Server/Client Lösung) und spezielle Kaspesky Exchange Spam / AV Client wie Serverseitig das ganze. Mir ist schleierhaft wie die sich das Ding einfangen konnten...
Bitte warten ..
Mitglied: crashzero2000
10.02.2010 um 07:10 Uhr
Erneut moinsen ....

Zitat :
"Mir ist schleierhaft wie die sich das Ding einfangen konnten..."

Ja, das kannst du laut sagen.
Ich habe auch schon die ominösesten Fälle gehabt.
4 AV Engines mit aktuellen Pattern [Standartvirus im Netz], im Pattern aber die Signatur des Viruses bekannt, aber trotzdem im Netz.
[Client/Server AV].

Das einzige was ich herausgefunden habe :
3-4 Workstations hatten seid geraumer Zeit Updateprobleme mit dem AV-Server.
Die Pattern waren auf einem Stand von vor ca. 14 Tagen, allerdings wir/ist die Signatur des Viruses bereits seid Monaten bekannt, hätten also den Clients bekannt sein müssen.

Meine Vermutung : Bewußte Infizierung. Dienst des AV auf dem Client nicht richtig geschützt, wurde beendet, dann mit externem Datenträger infiziert, DIenst erneut gestartet,Ereignisprotokoll gelöscht.
[Allerding hätte das zumindest im Ereignisprotokoll des AV-Server zu sehen sein müssen.]

@gnarff
Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als andere.
Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden Betrieb löschbar.


Bisher hatte ich lediglich eine Virenvariante die sich nicht so einfach "löschen" ließ.
Aber auch dafür gibt es Werkzeuge, Mittel und Methoden.
Ich habe schon einiges an Viren und deren Auswirkungen gesehen und kann behaupten : Das wird sicherlich nicht das Ende der Fahnenstange sein.

Meine Meinung :Die schlimmsten Viren : Polymorphe, Stealthtechniknutzende-,Würmer mit Keyloggfunktion und Backdoor.
Bitte warten ..
Mitglied: elknipso
10.02.2010 um 09:40 Uhr
Zitat von crashzero2000:
@gnarff
Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als andere.
Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden Betrieb
löschbar.

Das kann man so nicht stehen lassen. Also nochmal in aller Deutlichkeit, nein das ist schlicht falsch!
Es lassen sich nicht alle Viren wieder manuell entfernen. Mal völlig abgesehen davon, ist ein einmal infiziertes System nicht mehr vertrauenswürdig!

Daher ist die einzige wirklich sichere Methode das neu aufsetzen des Systems und rücksichern der Daten.
Bitte warten ..
Mitglied: 49110
10.02.2010 um 10:05 Uhr
Zitat von elknipso:
> Zitat von crashzero2000:
> @gnarff
> Doch, alle Viren sind auch manuel "killbar", allerdings ab einer gewissen Virenstruktur eben schwieriger als
andere.
> Manchmal muß man abstruse Wege gehen, manchmal reicht ein F8-Reboot.
> Gute AV´s machen ja nichts anderes, manchmal sind diese eben nur einfach nicht im herkömmlichen, laufenden
Betrieb
> löschbar.

Das kann man so nicht stehen lassen. Also nochmal in aller Deutlichkeit, nein das ist schlicht falsch!
Es lassen sich nicht alle Viren wieder manuell entfernen. Mal völlig abgesehen davon, ist ein einmal infiziertes System nicht
mehr vertrauenswürdig!

Daher ist die einzige wirklich sichere Methode das neu aufsetzen des Systems und rücksichern der Daten.

Das Variiert ziemlich stark von Schädling zu Schädling und ich sage Bewusst Schädling weil das Wort Virus, Trojaner, Wurm usw. umfasst. Man darf nie verallgemeinern und in diesem Fall war der bekannte Trojaner von Systemen entfernbar ohne dass Risiken zu einer Neuinfektion bestehen.

Wenn man sich natürlich einen Schädling einfängt der sich rapide vermehrt und immer tiefer ins System eingräbt und es schlichtweg nicht mehr Überschaubar ist welche Dateien er befallen hat und das Risiko einer erneuten Infektion groß sind ist deine Variante mit "System neu aufsetzen" sicherlich die bessere. Aber einfach mal so altdaten in das neue saubere System einschleusen grenzt dann doch wiederum an idiologie...Wie Ihr lesen könnt ist das interpretationsfrage ;)

Ich bin jetzt mal davon ausgegenagen dass elknipso die altdaten einfach gesichert hat ohne sie zu prüfen und den Schädling gleich mit.
Bitte warten ..
Mitglied: elknipso
10.02.2010 um 11:08 Uhr
Zitat von 49110:
Ich bin jetzt mal davon ausgegenagen dass elknipso die altdaten einfach gesichert hat ohne sie zu prüfen und den
Schädling gleich mit.

Selbstverständlich muss man die Altdaten entsprechend auch überprüfen, wenn man nicht sicher weiss, dass die letzte Sicherung von einem Schädlings freien Systeme erfolgte.
Bitte warten ..
Mitglied: gnarff
10.02.2010 um 18:11 Uhr
@isAG

Kritik ist immer dann gut solange sie konstruktiv ist und wie du selbst bemerkt hattest du mir Recht gegeben.
Den Spottfaktor kann ich in meinem Kommentar beim besten Willen nicht entdecken.

Saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Viren und Trojaner
Virus macht Bilder unleserlich (25)

Frage von linguin zum Thema Viren und Trojaner ...

Erkennung und -Abwehr
Proxy um Anti Virus Sicherheit zu erhöhen ? (6)

Frage von agnostiker zum Thema Erkennung und -Abwehr ...

Viren und Trojaner
gelöst Seltsames Verhalten! Virus? Plinker! (14)

Frage von achim222 zum Thema Viren und Trojaner ...

Viren und Trojaner
Odin File Virus Ransomware Is Here! (1)

Link von ticuta1 zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...