magicpeter 2 Posted March 24 Report Share Posted March 24 (edited) Moin, ich habe heute eine verdächtige Aufgabe im Aufgabenplaner eines Exchange 2013 CU23 gefunden. Aufgabenplaner Name der Aufgabe: vCZkNJFgm Programm/Script: Powershell Argumente hinzufügen: -c PS_CMD Ich habe die Aufgabe erst mal deaktiviert. Ahja und die Aufgabe sollte jede Stunde ausgeführt werden. Was macht diese Aufgabe? Was ist das für ein Programm -c PS_CMD ? Danke Edited March 24 by magicpeter Quote Link to post
tesso 207 Posted March 24 Report Share Posted March 24 Ins Blaue, du hast den nächsten angegriffenen Exchange entdeckt. Der Name der Aufgabe macht mich stutzig. -c als Parameter der PS ist mir nicht bekannt. Auch PS_CMD sagt mir nichts. Quote Link to post
winmadness 43 Posted March 24 Report Share Posted March 24 Hallo, es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen. Quote Link to post
magicpeter 2 Posted March 24 Author Report Share Posted March 24 vor 2 Stunden schrieb tesso: Ins Blaue, du hast den nächsten angegriffenen Exchange entdeckt. Der Name der Aufgabe macht mich stutzig. -c als Parameter der PS ist mir nicht bekannt. Auch PS_CMD sagt mir nichts. vor 2 Stunden schrieb winmadness: Hallo, es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen. Danke euch für die infos und den Link. Quote Link to post
zahni 313 Posted March 24 Report Share Posted March 24 Du must den Server und Exchange neu installieren. Quote Link to post
magicpeter 2 Posted March 24 Author Report Share Posted March 24 vor einer Stunde schrieb zahni: Du must den Server und Exchange neu installieren. Ja, ok und wie kriegst du E-Mails von dem infizierten Exchange auf den neue Exchange ohne den zu infizieren? Quote Link to post
tesso 207 Posted March 24 Report Share Posted March 24 Datenbank sichern? Gibt doch genügend Anleitungen dazu. Quote Link to post
chrismue 24 Posted March 24 Report Share Posted March 24 vor 10 Minuten schrieb magicpeter: Ja, ok und wie kriegst du E-Mails von dem infizierten Exchange auf den neue Exchange ohne den zu infizieren? Hier ist eine Anleitung für Exchange 2013 Gruß chrismue 1 Quote Link to post
magicpeter 2 Posted March 24 Author Report Share Posted March 24 Gerade eben schrieb chrismue: Hier ist eine Anleitung für Exchange 2013 Gruß chrismue Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst. Quote Link to post
tesso 207 Posted March 24 Report Share Posted March 24 vor 1 Minute schrieb magicpeter: Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst. Du könntest dich mit den Exploits beschäftigen. Dann kommst du auf eine Lösung. Du schaffst das. 1 Quote Link to post
cj_berlin 174 Posted March 24 Report Share Posted March 24 ...indem Du ihn neu installierst? Aus dem Inhalt der Mail-Datenbanken wird er sich vermutlich nicht wieder infizieren, alles andere machst Du platt. 1 Quote Link to post
Sanches 20 Posted March 24 Report Share Posted March 24 vor 2 Minuten schrieb magicpeter: Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst. Hole dir ggf. ext. Unterstützung ins Haus! In solchen Situationen sollte man lieber ein paar Euro in die Hand nehmen und dies machen lassen. Wenn du zig Stunden damit verbrätst und es ggf. nicht dein Tagesgeschäft ist, ist es unterm Strich für alle am effektivsten - schließlich ist deine Zeit auch nicht umsonst. 2 Quote Link to post
winmadness 43 Posted March 24 Report Share Posted March 24 vor 3 Stunden schrieb magicpeter: Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst. Hallo, es gibt Virenscanner für die Exchagen Datenbanken - z.B. http://GFI Informations Store Protection . Also vor der Neuinstallation die Datenbank scannen und neu aufsetzen. 1 1 Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.