Gulp

Das Alter des Mainboards spielt eh keine Rolle, da man durch die INstallation des Modbios ohnehin den Garantieanspruch verliert.

Ich habe für mein Asus A8R32-MVP Deluxe selbst ein Modbios gefunden und geflasht, das die Firmware des dort integrierten SiL 3132 aktualisiert und man so den aktuellsten Treiber verwenden kann und der Controller ein paar mehr Platten erkennen kann.

Man sollte aber vorsichtig sein, nicht alle angebotenen Modbiose halten was sie versprechen und der Virenscanner sollte aktuell sein, hier treiben sich durchaus ein paar "Spassvögel" unter den guten Programmierern rum.

Wie man auf meine Signatur kommt, ganz einfach: Viel Star Trek und Simpsons gucken und das dann kombinieren. ;)

Grüsse

Gulp

Jep, die DB Files/Transaktionslogs an sich (oder das Verzeichnis in dem die DB Files und Logs liegen) sollte man zB auch bei SQL Datenbanken aus dem Echtzeitscan nehmen. Die kann meist eh kein Filescanner auslesen ......

Grüsse

Gulp

Kommt drauf an was Du meinst, ein Scanner auf dem Server auf dem Exchange installiert ist oder ein in Exchange eingeklinkter Scanner (wie zB TrendMicro Scanmail, Symantec Messaging Security, usw).

Grüsse

Gulp

Hast Du ein Messprotokoll der Verkabelung (für mich immer Pflicht bei Verkabelungen)?

Hört sich für mich auf den ersten Blick eher nach mangelnder Sorgfalt bei der Verkabelung an (Schirmung nicht korrekt angelegt, Kabelpaare nicht korrekt aufgelegt/mangelnder Kontakt).

Für 1000BaseT kann man durchaus auch Cat5 verwenden, wenn es sauber verlegt wurde.

Kategorie 5

.... snip

Kabel der Kategorie 5 werden häufig bei strukturierten Verkabelungen von Computernetzen wie zum Beispiel Fast- oder Gigabit-Ethernet verwendet. Dies hat die weite Verbreitung von 1000Base-T (Gigabit-Ethernet) gefördert, da hierzu lediglich eine Cat-5-Leitung benötigt wird.

Das Cat-5e-Kabel ist eine genauer spezifizierte Version von Cat-5, die hauptsächlich im deutschsprachigen Raum Europas für die Verwendung in Langstrecken-100Base-T-Netzverbindungen zum Tragen kommt. Sorgfältig vorgenommene Installationen, die ursprünglich als Cat-5 installiert und abgenommen wurden, erfüllen meist auch die Norm Cat-5e.

.... snip

Quelle: Twisted-Pair-Kabel - Wikipedia

Grüsse

Gulp

Nun es gibt das ein oder andere Forum, wo sich ein paar gewitzte Leute unter anderem mit dem modden von BIOS'en beschäftigt und Dir eventuell damit aushelfen können die passende S-ATA Controller Firmware in Dein BIOS zu basteln. Füttere Google mal mit modbios und Deinem Boardnamen, vielleicht kommt da ja was bei raus .....

Grüsse

Gulp

Mächtiges Teil muss ich sagen, für Unbedarfte allerdings etwas over-sized (ist ja auch nicht die Zielgruppe), jetzt heisst's "Entdecke die Möglichkeiten ......" ;)

Grüsse

Gulp

Die Registry die man über die Boot DVD sieht ist die des gestarteten WindowsPE. Hier muss man über "Datei --> Struktur laden" die Registry von Vista manuell laden, dann kann man die auch "bereinigen" wenn man weiss was man tut. Gerade bei Acronis und anderen Imagern werden aber Filtertreiber geladen, die lassen sich nicht immer gut lokalisieren und entfernen.

Die Registry Files setzen sich wie folgt zusammen:

• HKEY_CLASSES_ROOT - virtual key. Actual location is in HKEY_LOCAL_MACHINE\Software\Classes (see below);
  
• HKEY_CURRENT_USER - the key corresponds to C:\Documents and Settings\UserName\NTUSER.DAT of user currently logged in. You may access registry data of any user;
  
• HKEY_LOCAL_MACHINE - virtual key. Is combined from few files:
  
• HKEY_LOCAL_MACHINE\HARDWARE - virtual branch; no file there.
  
• HKEY_LOCAL_MACHINE\SAM - corresponds to C:\WINDOWS\system32\config\sam file;
  
• HKEY_LOCAL_MACHINE\SECURITY - corresponds to C:\WINDOWS\system32\config\SECURITY file;
  
• HKEY_LOCAL_MACHINE\SOFTWARE - corresponds to C:\WINDOWS\system32\config\software file;
  
• HKEY_LOCAL_MACHINE\SYSTEM - corresponds to C:\WINDOWS\system32\config\SYSTEM file;
  
• Note: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet is just symbolic link to HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001.
  

Grüsse

Gulp

R2 ist ein Windows Server 2003 SP1 mit diversen Zusätzen, die garantiert nichts mit dem Multicore Problem zu tun haben.

Grüsse

Gulp

Worte sind Schall und Rauch, in Lizenzdingen sollte man grundsätzlich ausschliesslich auf schriftliche, rechtsverbindliche Antworten des Lizenzgebers vertrauen.

Der Aussage des Adobe Support jedenfalls würde ich in diesen Dingen absolut nicht vertrauen wollen, das kann auch gut und gerne ein Dienstleister in Irland oder Mumbai sein, der alles behaupten kann.

Grüsse

Gulp

Geheilt? Na ich weiss nicht, der Wurm lädt andere Schadsoftware herunter (eventuell auch bisher noch unbekannte), kannst Du sicher sein, dass jetzt wirkllich alles weg ist oder findet Dein Virenscanner nur nichts (wie anfänglich bei dem Wurm wohl auch?) ...........

Das wäre mir zu heiss (hatte ich glaube ich schon mal in dem Fred erwähnt).

Grüsse

Gulp

Hmm der Vorteil bei Acronis liegt doch darin, dass man das Image auch lokal als Laufwerk mounten kann und sich daraus alles rausziehen kann was man an Dateien braucht. (oder sogar Daten einfügen kann, wenn man es nicht schreibgeschützt mountet).

Grüsse

Gulp

moin,

 

mittlerweile gibt es eine download-seite. allerdings kommt am ende zur zeit noch eine "404" Seite.

Windows 7 Beta herunterladen

Die gab's gestern aber auch schon (mein Live Login hatte sogar noch funktioniert, beim Key generieren war dann allerdings Essig) .....

[EDIT] ... wobei die Downloadlinks wohl nur auf der deutschen Seite aktiviert wurden, auf der englischen Windows 7 Seite konnte ich den ganzen Abend keinen Downloadlink finden.[/EDIT]

Hier hab ich aber noch einen:

Kundenvorschau auf Windows 7 Beta

Grüsse

Gulp

warum muss es immer in solche herzblut diskussionen ausarten.

Richtig, dabei will ich doch nur begreiflich machen, dass, Sicherheitskonzept hin oder her, es verdammt gefährlich ist sich drauf zu verlassen, dass man den einen Virus nun erfolgreich entfernt hat und mögliche andere Infektionen übersieht.

WSUS verteilt updates und die rechner sind auf neuestem stand, das täuscht auch der virus dem WSUS vor, das ist kein argument.

traffic auf sicherheitsseiten wird geblockt (zum glück nit umgeleitet und gefaked). ob sch der virenscanner bestätigt aktualisiert hat sagt der post nicht.

der Virus in der gegebenen Form macht nur Sinn als Türöffner für Botnetze,

d.h. sobald er sich beim Virenproduzenten meldet geht die arbeit erst los, es werden weitere komponenten nachgeladen.

 

für eine ncht zu bestimmende zeitspanne war der virus im system aktiv.

ob und was er nachgeladen hat könnte z.b. der proxy oder die firewall wissen.

Die Komponenten die nachgeladen wurden (wenn welche nachgeladen wurden) werden spezieller auf ein system eingehen und werden evtl. erst in wochen in virendefinitionen aufgenommen.

 

Die Lücken die das virus nutzt sind teilweise einfachste defaultpasswoerter.

Full ack!

Solange nicht geklärt ist woher der virus kam sind alle Komponenten verdächtig.

Anstatt mit logs zu bestätigen das die infektion nicht ueber weg x erfolgte wird beleidigt darauf verwiesen das ja schonmal geschrieben wurde das alles sicher sei.

Absolut richtig, auch wenn das mächtig Arbeit bedeutet, niemand hat behauptet man könne immer den einfachen Weg nehmen.

Beide Seiten könnten etwas entspannter sein.

.. ich für meinen Teil bin völlig entspannt, die Zeiten wo ich mich in Foren aufrege sind vorbei. :cool: :D

Grüsse

Gulp

Hallo,

zur aufklärung. Es sind zwei verschiedene Systeme von ein und dem selben Virus betroffen. Und mittlerweile so wie gehört habe hat es noch andere erwischt.

Und nochmal zum Thema Sicherheit. Wir verwenden WSUS. Unsere Systeme sind nachweißlich auf neuestem Stand und der GDATA Virenscanner holt sich stündlich seine Updates.

Es handelt sich bei dem Virus um eine neue Version die von allen Antivieren Scanner auser F-Secure nicht erkannt wird und auch selbst mit dem F-Secure Scanner nicht gelöscht werden kann.

(seit 6.Januar2009bekannt)

Ich hoffe ich habe mich verständlich ausgedrückt.

 

Trotzdem Besten Dank an euch für die Angboten links.

 

Der Patch für XP den du mir gelinkt hast war bei uns schon eigespielt. Daran lags also nicht.

Gibts da noch andere Patches. Was ist mit den Vista maschienen? Dafür gibts nix soweit ich sehen kann.

 

mfg

 

Alveran

Ist Lesen wirklich Glückssache? Oder die Tabelle mit den Links zu den einzelnen Systemen aus Microsoft Security Bulletin MS08-067 – Critical irgendwie unverständlich, ich finde da nun ganz deutlich einen Downloadlink für Vista und Vista SP1. :suspect:

Hätte man sich mal mit dem Virus und seinen Varianten (zB B) vertraut gemacht so wäre einem aufgefallen, dass:

.... It also attempts to spread to network shares protected by weak passwords and blocks access to security-related Web sites. ......

Quelle (vom 31.12.2008 im übrigen): MS08-067 : W32.Downadup.B

oder

It can use several different methods to spread, including using the recently patched vulnerability in Windows Server Service, guessing network passwords and infecting USB sticks. As an end result, once the malware gains access to the inside of a corporate network, it can be unusually hard to eradicate fully.

Quelle: Corporate networks warned over outbreak of Downadup worm

Genau dies beschrieb ich schon in Post 32

Zudem kann der Wurm auch von gepachten Workstations mit Internetkontakt auf die Server per RPC gelangt sein, er hat unter anderem eine BrutForce Passwordliste an Bord um sich über die Administrativen Freigaben zu verbreiten.

Im Klartext, der Wurm kann sich nicht nur über ungepatchte, sondern zB bei Verwendung von unsicheren oder einfach erratbaren Passwörtern über ganz normale Netzwerkfreigaben oder die Administrativen Freigaben verbreiten, auch bei System die den Patch bereits installiert haben.

Sprich, hier gilt es eine sicheres Gesamtpaket unter anderem aus 1) Patchstand der Systeme, 2) aktueller Virenscanner, 3) gesicherter Internetzugang und 4) gesicherten Datenträgern (zB USB Drives) wohlgemerkt gleichzeitig implementiert zu haben.

Sorry, aber alles andere ist die bereits angesprochene Betriebsblindheit und kalter Kaffee.

Mal ganz provokant formuliert (und damit will ich Dir keinesfalls ans Bein treten, mir wäre lieber wir würden das hier nur theoretisch diskutieren), warum hat es denn mein Netz nicht erwischt? Glück? Oder vielleicht doch eher ein adäquates Sicherheitskonzept?

Grüsse

Gulp

Kein Problem, ich blick auch nicht immer durch die "konsistente" Benamsung der Virennamen durch die ganzen AntiVir Hersteller .... ;)

Hehe zumindest Du hast schon mal einen Kern erfasst (im Gegensatz zum TO), was meinst Du wieso in allen Artikeln zu dem Teil immer wieder das Wort "Firewall" so häufig vorkommt. ;)

Der andere Kern ist, dass man sich auch wenn man Downadup/Conf*cker entfernen kann (was ja an sich nicht schwer ist), man eben nicht weiss was das Teil so alles während seiner aktiven Zeit veranstaltet hat, wenn man schon nicht gemerkt hat, dass sich das Teil eingenistet hat, seine Systeme nicht mit wichtigen Patches bestückt, alte Virensignaturen verwendet (Symantec hatte schon Ende November Signaturen zur Erkennung, die anderen Hersteller dürften nicht weit davon weg liegen) oder gar alles zusammen praktiziert, dann hat man in der Regel auch keine wirklich ausgeklügelten Firewall Regeln oder Netzwerkprotokolle an der Hand ...... irgendwie ein Teufelkreis, isn't it? ;)

Grüsse

Gulp

Conf_icker und Downadup sind identisch, Symantec nennt den Downadup und die meisten anderen Hersteller eben Conf_icker (wobei ich den namen wegen dem f*cker eher bescheiden finde).

Grüsse

Gulp

 

Nochmal zur Lösung des Problems. Ich kann ihn ja Mit dem Programm deaktivieren und danach aus der Registry entfernen. Das behebt aber nicht das Grundsatzproblem das ich ihn nach einer halben Stunde wieder habe.

Und nun?

 

Betroffen sind vorallem Windows XP SP3, dafür gibt es von Microsoft keinen Patch.

 

Momentan ist er nicht wieder auf Windows 2003 Server und Vista aufgetaucht.

Du wiegst Du mit dem entfernen allerdings in einer ziemlich trügerischen Sicherheit, denn Du weisst nicht was der Wurm alles noch heruntergeladen und installiert hat.

Dass es für XP SP3 keinen Patch gibt ist schlichtweg falsch:

Microsoft Security Bulletin MS08-067 – Critical

Ergibt einen Überblick über alle betroffenen Systeme und Bulletin Updates.

Daraus gibt es folgenden Downloadlink für XP SP3:

Security Update for Windows XP (KB958644)

Zitat: Supported Operating Systems: Windows XP Service Pack 2; Windows XP Service Pack 3

Zitat: Das Interessante bei dieser Wurm-Variante: Ist der Server-Dienst erst einmal ausgetrickst, spielt der Wurm den benötigten Sicherheits-Patch selbst auf das System, wobei die Sicherheitslücke damit nicht geschlossen ist. Lediglich andere Würmer werden daran gehindert, das System zu befallen.

Quelle: Confi_cker.A: Microsoft warnt vor Windows-Wurm

Das wäre mir alles irgendwie zu heiss ......

Grüsse

Gulp

Sach mal liest Du die Beiträge von zahni auch?

Du sollst in Vista das Programm "VirtualPC" mit Hilfe des Links von zahni (hier nochmal Downloaddetails: VPC 2007 SP1) herunterladen, in Vista installieren und dann dort einen virtuellen PC konfigurieren (dafür ist das Programm notwendig) und den Server in diesen virtuellen PC installieren, dann brauchst Du weder Dein Vista wegzuwerfen, noch den S-ATA Treiber (den es möglicherweise auch nicht für 2003 gibt je nach verwendetem S-ATA Controller Chip).

Jetzt verstanden? Wenn nicht, dann lass es mit dem 2003er, der ist dann zu schwer und komplex für Dich.

Grüsse

Gulp

Lest den 1. Artikel!!!

 

- Alle Hardware neu gestartet, inkl Firewall, Router und Switch's

 

Juniper Firewall SSG 140 und ISA im Datacenter, SSG 5 VPN in den Niederlassungen etc..

 

Bitte wenn, denn erst alles von Anfang an lesen, ab erstem Eintrag!

Wobei ich dachte dass man hier Hilfe erhält und nicht dummes gemecker.. :suspect:

 

So, ich bin dann hier raus

Herby

Hat ja wirklich viel genutzt wenn man den Thread hier so verfolgt ..... und scheint ja auch ne echt sichere Sache zu sein Eure Config, war wohl nur ein virtueller Wurm oder ne Fata Morgana.

Zu schade wenn man die Wahrheit nicht vertragen kann, aber wie nannte Lukas das ..... Betriebsblindheit.

Grüsse

Gulp

Da sag ich nur:

Microsoft: Kunden spielen "Russisches Roulette" mit ihren Systemen

ABER: 50 Server mit Exchange 2003 / 2007 und Teil- wie Vollreplikaten mit ca 850GB Public Datenbank und alles in allem gegen 700 user mit entprechenden Userhomes und Postfächer etc einfach so mal neu installieren?!

Tut mir leid aber Dein ABER kann ich nicht gelten lassen, es ist meines Erachtens grob fahrlässig seine Systeme nicht rechtzeitig zu patchen und dann zusätzlich offenbar ohne Virenschutz laufen zu lassen. Da spielt weder die Menge an Systemen oder zu erwartender Arbeit eine Rolle.

Was mich nun noch interessieren würde ist;

- Warum war des Root Kit "nur" auf den Servern und nicht auch auf allen Arbeitstationen??

- Wer oder was hat mir das Root Kit "eingeschleppt"

zu Frage 1: Vermutlich haben die Workstations den Patch wohl schon erhalten oder deren Virensignaturen waren aktuell.

zu Frage 2: Vermutlich hat man vergessen die Internetverbindung auf den betroffenen Servern zu sichern, der Patch war/ist nicht installiert, es gibt Benutzerkonten auf den Servern oder im AD mit einfach zu erratenden Passwörtern und/oder die Virensignaturen waren/sind nicht aktuell. Zudem kann der Wurm auch von gepachten Workstations mit Internetkontakt auf die Server per RPC gelangt sein, er hat unter anderem eine BrutForce Passwordliste an Bord um sich über die Administrativen Freigaben zu verbreiten.

Da wir aber sowieso vor haben dieses Jahr die ganze Serverfarm zu virtualisieren, wir sich das neu aufsetzten so zum Glück "von alleine" erledigen

Con****er schlägt bei Kärntner Regierung zu

Wenn ich aus dem Artikel Sachen wie:

Der Wurm versuchte gespeicherte Daten und insbesondere Passwörter auszuspähen und über das Internet zu transferieren, .......

lese kann ich nur sagen:

Na dann fangt am besten direkt mit den Neuinstallationen an! .... und ändert gleich alle Eure Passwörter!

Grüsse

Gulp

Nun die korrekte "Reinigung" der svchost dürfte einfach sein:

Das Löschen des folgenden Registry Schlüssels dürfte da abhelfen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[PATH OF WORM EXECUTABLE]"

Zudem erhält man hier gleich den Dateipfad geliefert und kann da gleich aufräumen.

Allerdings ist die Frage von djmaker nicht ganz uninteressant. Allein die Tatsache, dass Eure Scanner eine (zumindest bei Symantec) seit 21. November bekannte Malware nicht identifizieren kann, würde mich jegliches Vertrauen in das System (oder die Systeme) verlieren lassen, da absolut nicht gewährleistet ist, dass da nicht noch mehr "Zeugs" herumkriecht. Zumal die Malware auch ein Downloader ist und andere Malware herunter lädt und im System verankert.

So ein System käme bei mir nie um eine Neuinstallation herum, säubern wäre mir da zu riskant.

Grüsse

Gulp

Gibt es zu den Dienstfehlern irgendwelche Einträge im Eventlog?

Grüsse

Gulp

Glaub mir, ich für meinen Teil würde keine Reparturinstallation bei einem DC mit installiertem Exchange und das ist der SBS ja zwangsläufig machen wollen.

Wenn die Datenträger nicht vorhanden sind, dann sehen die Chancen sowieso schlecht aus, zumal die Systemwiederherstellung bei 2003 doch ein bisschen anders funktioniert wie unter XP und es Snapshots in 2003, wie auch die Funktion "Systemwiederherstellung" so nicht unter 2003 existiert.

Wenn Du Zeit genug hast, dann kannst Du es ja durchaus mit der Reparaturinstallation versuchen, wenn die Datenträger da sind, im schlimmsten Fall hast Du dann entweder ein total jungfräuliches System mit den Registryinformationen von der damaligen Erstinstallation und ein unkonfiguriertes System oder aber Du hast echt Glück und es klappt alles. Es gibt dann noch viel Spielraum dazwischen mit erst später auftretenden Fehlern etc.

Das würde ich mir nicht antun wollen und daher die direkte Rücksicherung mit BackupExec immer vorziehen.

BTW: Das wäre dann ein günstiger Zeitpunkt sich anschliessend Gedanken über ein entsprechendes Backup und Rücksicherungskonzept zu machen, das auch solche Desaster Fälle mitberücksichtigt.

Grüsse

Gulp

Wenn doch Symantec BackupExec verwendet wird, warum machst Du keine Rücksicherung des Systems und willst ne Reparaturinstallation (die für XP angedacht und sinnvoll ist, wo die User selten eine Backupsoftware, die für solche Fälle gedacht ist, verwenden) machen?

Grüsse

Gulp

OK diese Lösung ist mir auch klar...

was habe ich falsch gemacht oder hbe ich die Möglichkeit das wieder hinzukriegen ohne eine Neu installation durchzuführen

Wenn Du das Folgende präzisieren und detailliert(er) beschreiben könntest:

habe die Domänen anmeldung rausgenommen, und auf Arbeitsgruppe umgestellt"Home".

 

Habe schon mit cia commander die Passwörter zurück gesetzt aber bekomme immer die geiche Meldung.

dann wären die Aussichten auf eine Antwort wesentlich günstiger, denn ohne zu wissen was genau Du gemacht hast fällt es verständlicherweise schwer das was wir nicht wissen können als falsch zu klassifizieren.

Grüsse

Gulp