ich beschreibe mal kurz das folgende Problem mit dem wir uns seit Tagen auseinander setzen.
Nun, anscheinend haben wir uns irgendwo den Con****er eingefangen.
Trotz Virenscanner und trotz Windows XP SP3.
Das Problem:
Der Virenscanner:
Der Virenscanner erkennt eine immer zu erstellende Datei unter System32 als Variante des Con****er.X Wurm. Zum Beispiel die XhZrb.qp.
Dann steckt er diese in Quarantäne und löscht sie bei einem Neustart.
Das Problem dabei ist, dass es damit nicht getan ist. Am nächsten Tag erscheint die Meldung nochmal.
Dann dachte ich daran ein Con****er-Removal Tool zu benutzen.
Virus wurde gefunden und beseitigt...
Am nächsten Tag dann die Ernüchterung: es erscheint wieder die Meldung.
Alles in Allem sind es gut 17 PCs die befallen sind und gleichzeit im Server-Log auftauchen mit dieser Variante..
IPS der Firewall haben wir aktiviert, dort wurde er auch erkannt und geblockt. Das war gestern.
Heute, als es wieder zu Meldungen kam, stand immerhin nichts mehr in dem Firewall-Log.
Wo können wir noch ansetzen?
Ich stehe schon im Kontakt mit dem Hersteller der Antiviren-Software.
Wir können uns schon nicht erklären warum diese Datei auf zig Rechnern erstellt werden soll wobei diese geschützt und gepatcht sind.
Ich hatte damals einen ähnlichen Fall mit Con****er.. der gleiche Virenschutz hat diesen erkannt und ohne Probleme entfernt.
der Con****er kann sich eigentlich nur im Netzwerk verbreiten wenn ungepatchte Windows Systeme exisitieren und er ein gültiges Benutzerkonto mit Passwort hat.
Also alle Windowssysteme auf aktuellen Patchlevel bringen. (Die Server auch) Bei befallenden Systemen sind div. Dienste die dazu notwendig sind deaktiviert. Also schauen und aktivieren.
Unterbinde den Einsatz von Wechseldatenträger, Con****er kommt gerne über USB Sticks mit der Autorunfunktion.
Grunsätzlich sollte man ein System welches von einem Virus befallen war / ist nur säubern um die dort evtl vorhandenen Daten zu retten.
Nachdem alle Daten gesichert sind, sollte man auf jeden Fall eine Neuinstallation der Systeme durchführen. Man weiss nämlich nie so genau was man sich da eingefangen hat und was ggf. noch nachgeladen wurde... Bei 17 Systemen kannst du dir das ja direkt mit nem kleinen Win 7 Deployment Projekt verbinden Dann freuen sich die User :-)
Das Seltsame ist ja, dass ein Scan der Tool negativ ist.
Zudem scanne ich gerade mit dem McAffee Netzwerkscanner und siehe da... negativ.
Ich bekomm hier noch einen Nervenzusammenbruch wegen dem Mist.
Der Virenscanner schickt die Dinger in Quarantäne, dann ist für ein paar Stunden Ruhe, dann wieder... Ich meine irgendwo muss dieser ja lauern.
Mittlerweile habe ich 3 Tools getestet.
Eset, Mc Affee, Sophos Netzwerkscanner (Gruppenrictlinien Funktion) und NICHTS...
Patchstand ist überall hoch, dank WSUS und automatischer Genehmigung, vielleicht nicht von vor zwei Wochen wenn es ein Außendienstnotebook war.. aber mindestens SP3.
Der Virenscanner ist auch aktuell.
Mal schauen was der Scanner noch so sagt.. noch ist er nicht fertig.
Eigentlich wollte ich zum Thema neuinstallieren von befallenden Systemen nichts sagen Ich möchte auch keine Diskussion dazu lostreten.
Es muss natürlich jeder selbst entscheiden wann ein System seiner Meinung nach Neuinstalliert werde muss. Dazu sind wir ja "Profis" und können das gut einschätzen hoffe ich.
Ich habe schon viele Systeme vom Con****er befreit und guten Gewissens die System als "sauber" erklärt. Nach sorgfältiger Kontrolle von Virenscannern, Firewalls und Systemverhalten. Das setzt voraus, dass man weiß wie diese Trojaner funktionieren.
Ich habe aber auch Systeme gleich nach 5 Minuten Besichtigung aufgegeben wenn, seit 1 Jahr keine Updates mehr gemacht wurden und Programme wie Hijackthis und Konsorten ihr Werk unzureichend verrichtet haben. Oder es sich um Uraltsysteme handelte.
Die Idee das ganze mit einem Windows 7 Deployment zu verbinden ist zwar sehr schön, hilft in diesem Falle und Moment nicht wirklich weiter.
Das ganze muss ja auch erst mal geplant werden, und das geht ja auch nicht von heute auf morgen.
Nach der Deaktivierung der Systemwiederherstellung auf den Clients per GPO kommt nichts mehr.
Dieser Verdacht wurde durch den AV Hersteller verstärkt... ich konnte es vorher nicht wirklich glauben obwohl ich auch schon diesen Fall hatte.
Naja..
Also seit zwei Tagen ist Ruhe.
Man sollte sich aber auch nicht zu sehr wundern wenn man einen zB 400MHz PC ohne Virenschutz hält, weil dieser mit AV in die Knie geht...
Oder der Chef ohne AV arbeitet weil Gleiches Phänomen an seinem Rechner auftrat...
Zum Glück war nicht dieser befallen... aber man weiß ja nie... und für die Zukunft achtet man dann schon darauf.
Dass es mich weiterhin irritiert dass der AV Schutz so viel Performance frisst (was ich zum Ersten Mal höre) ist mal Nebensache.
Grüße und Danke an euch!
Dann freuen sich die User :-)
