heuchler 17 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Hallo zusammen, ich beschreibe mal kurz das folgende Problem mit dem wir uns seit Tagen auseinander setzen. Nun, anscheinend haben wir uns irgendwo den Con****er eingefangen. Trotz Virenscanner und trotz Windows XP SP3. Das Problem: Der Virenscanner: Der Virenscanner erkennt eine immer zu erstellende Datei unter System32 als Variante des Con****er.X Wurm. Zum Beispiel die XhZrb.qp. Dann steckt er diese in Quarantäne und löscht sie bei einem Neustart. Das Problem dabei ist, dass es damit nicht getan ist. Am nächsten Tag erscheint die Meldung nochmal. Dann dachte ich daran ein Con****er-Removal Tool zu benutzen. Virus wurde gefunden und beseitigt... Am nächsten Tag dann die Ernüchterung: es erscheint wieder die Meldung. Alles in Allem sind es gut 17 PCs die befallen sind und gleichzeit im Server-Log auftauchen mit dieser Variante.. IPS der Firewall haben wir aktiviert, dort wurde er auch erkannt und geblockt. Das war gestern. Heute, als es wieder zu Meldungen kam, stand immerhin nichts mehr in dem Firewall-Log. Wo können wir noch ansetzen? Ich stehe schon im Kontakt mit dem Hersteller der Antiviren-Software. Wir können uns schon nicht erklären warum diese Datei auf zig Rechnern erstellt werden soll wobei diese geschützt und gepatcht sind. Ich hatte damals einen ähnlichen Fall mit Con****er.. der gleiche Virenschutz hat diesen erkannt und ohne Probleme entfernt. Vielleicht hat hier jemand Erfahrungen damit. Grüße, Daniel Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Wie imkmer in solchen Fällen: Das System neu installiern. Keine Alternative ist Avira AntiVir Rescue System . Man kann aber damit mal schauen, was man sich sonst nocht so eingefangen hatte. -Zahni Zitieren Link zu diesem Kommentar
tcpip 12 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Hallo Daniel, der Con****er kann sich eigentlich nur im Netzwerk verbreiten wenn ungepatchte Windows Systeme exisitieren und er ein gültiges Benutzerkonto mit Passwort hat. Also alle Windowssysteme auf aktuellen Patchlevel bringen. (Die Server auch) Bei befallenden Systemen sind div. Dienste die dazu notwendig sind deaktiviert. Also schauen und aktivieren. Unterbinde den Einsatz von Wechseldatenträger, Con****er kommt gerne über USB Sticks mit der Autorunfunktion. Säubere die Systeme mit entsprechenden Tools. MRT, Stinger, usw. Man braucht meistens mehrere. Hier gibt es eine Auswahl: http://www.heise.de/security/artikel/Die-Infoseite-zu-Con****er-270120.html Das McAfee Netzwerkscannertool ist gut zu gebrauchen: http://www.mcafee.com/us/enterprise/con****ertest.html Hier gibt es auch eine Reihe von Infos und guter Tools die weiterhelfen. http://net.cs.uni-bonn.de/wg/cs/applications/containing-con****er Ändere das Administrator Passwort. Viel Glück und gutes gelingen tcpip Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Hi, Grunsätzlich sollte man ein System welches von einem Virus befallen war / ist nur säubern um die dort evtl vorhandenen Daten zu retten. Nachdem alle Daten gesichert sind, sollte man auf jeden Fall eine Neuinstallation der Systeme durchführen. Man weiss nämlich nie so genau was man sich da eingefangen hat und was ggf. noch nachgeladen wurde... Bei 17 Systemen kannst du dir das ja direkt mit nem kleinen Win 7 Deployment Projekt verbinden ;) Dann freuen sich die User :-) Zitieren Link zu diesem Kommentar
heuchler 17 Geschrieben 3. März 2010 Autor Melden Teilen Geschrieben 3. März 2010 Moin und Danke für die vielen Antworten. Das Seltsame ist ja, dass ein Scan der Tool negativ ist. Zudem scanne ich gerade mit dem McAffee Netzwerkscanner und siehe da... negativ. Ich bekomm hier noch einen Nervenzusammenbruch wegen dem Mist. Der Virenscanner schickt die Dinger in Quarantäne, dann ist für ein paar Stunden Ruhe, dann wieder... Ich meine irgendwo muss dieser ja lauern. Mittlerweile habe ich 3 Tools getestet. Eset, Mc Affee, Sophos Netzwerkscanner (Gruppenrictlinien Funktion) und NICHTS... Patchstand ist überall hoch, dank WSUS und automatischer Genehmigung, vielleicht nicht von vor zwei Wochen wenn es ein Außendienstnotebook war.. aber mindestens SP3. Der Virenscanner ist auch aktuell. Mal schauen was der Scanner noch so sagt.. noch ist er nicht fertig. Zitieren Link zu diesem Kommentar
tcpip 12 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Eigentlich wollte ich zum Thema neuinstallieren von befallenden Systemen nichts sagen Ich möchte auch keine Diskussion dazu lostreten. Es muss natürlich jeder selbst entscheiden wann ein System seiner Meinung nach Neuinstalliert werde muss. Dazu sind wir ja "Profis" und können das gut einschätzen hoffe ich. Ich habe schon viele Systeme vom Con****er befreit und guten Gewissens die System als "sauber" erklärt. Nach sorgfältiger Kontrolle von Virenscannern, Firewalls und Systemverhalten. Das setzt voraus, dass man weiß wie diese Trojaner funktionieren. Ich habe aber auch Systeme gleich nach 5 Minuten Besichtigung aufgegeben wenn, seit 1 Jahr keine Updates mehr gemacht wurden und Programme wie Hijackthis und Konsorten ihr Werk unzureichend verrichtet haben. Oder es sich um Uraltsysteme handelte. Die Idee das ganze mit einem Windows 7 Deployment zu verbinden ist zwar sehr schön, hilft in diesem Falle und Moment nicht wirklich weiter. Das ganze muss ja auch erst mal geplant werden, und das geht ja auch nicht von heute auf morgen. Gruß tcpip Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 3. März 2010 Melden Teilen Geschrieben 3. März 2010 Online-Scanner bringen bei infizierten System selten was, Daher verwende einen Offline-Scanner, z.B. den aus meinem vorigen Beitrag. Runterladen, CD brennen und von der CD booten. -Zahni Zitieren Link zu diesem Kommentar
heuchler 17 Geschrieben 5. März 2010 Autor Melden Teilen Geschrieben 5. März 2010 Nach der Deaktivierung der Systemwiederherstellung auf den Clients per GPO kommt nichts mehr. Dieser Verdacht wurde durch den AV Hersteller verstärkt... ich konnte es vorher nicht wirklich glauben obwohl ich auch schon diesen Fall hatte. Naja.. Also seit zwei Tagen ist Ruhe. Man sollte sich aber auch nicht zu sehr wundern wenn man einen zB 400MHz PC ohne Virenschutz hält, weil dieser mit AV in die Knie geht... Oder der Chef ohne AV arbeitet weil Gleiches Phänomen an seinem Rechner auftrat... Zum Glück war nicht dieser befallen... aber man weiß ja nie... und für die Zukunft achtet man dann schon darauf. Dass es mich weiterhin irritiert dass der AV Schutz so viel Performance frisst (was ich zum Ersten Mal höre) ist mal Nebensache. Grüße und Danke an euch! Daniel Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 @Daniel Welchen Virenscanner setzt Ihr ein ? Viele Grüße Arnd Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.