Jump to content

Verdächtige Aufgabe im Aufgabenplaner gefunden vCZkNJFgm Powershell -c PS_CMD


Recommended Posts

Moin,

ich habe heute eine verdächtige Aufgabe im Aufgabenplaner eines Exchange 2013 CU23 gefunden.

 

Aufgabenplaner

 

Name der Aufgabe:

vCZkNJFgm

 

Programm/Script:

Powershell

 

Argumente hinzufügen: 
-c PS_CMD

 

Ich habe die Aufgabe erst mal deaktiviert.

Ahja und die Aufgabe sollte jede Stunde ausgeführt werden.

 

Was macht diese Aufgabe?

Was ist das für ein Programm -c PS_CMD ?

Danke

 

 

Edited by magicpeter
Link to post

Ins Blaue, du hast den nächsten angegriffenen Exchange entdeckt. 

 

Der Name der Aufgabe macht mich stutzig. 

-c als Parameter der PS ist mir nicht bekannt. Auch PS_CMD sagt mir nichts. 

Link to post

Hallo,

es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen.

Link to post
vor 2 Stunden schrieb tesso:

Ins Blaue, du hast den nächsten angegriffenen Exchange entdeckt. 

 

Der Name der Aufgabe macht mich stutzig. 

-c als Parameter der PS ist mir nicht bekannt. Auch PS_CMD sagt mir nichts. 

 

vor 2 Stunden schrieb winmadness:

Hallo,

es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen.

Danke euch für die infos und den Link.

 

Link to post
Gerade eben schrieb chrismue:

Hier ist eine Anleitung für Exchange 2013

 

Gruß

chrismue

Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? 
Dann war der ganze Spaß für umsonst. 
 

 

Link to post
vor 1 Minute schrieb magicpeter:

Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? 
Dann war der ganze Spaß für umsonst. 

Du könntest dich mit den Exploits beschäftigen. Dann kommst du auf eine Lösung. Du schaffst das. 

  • Like 1
Link to post
vor 2 Minuten schrieb magicpeter:

Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? 
Dann war der ganze Spaß für umsonst.

 

Hole dir ggf. ext. Unterstützung ins Haus!

In solchen Situationen sollte man lieber ein paar Euro in die Hand nehmen und dies machen lassen.

Wenn du zig Stunden damit verbrätst und es ggf. nicht dein Tagesgeschäft ist, ist es unterm Strich für alle am effektivsten - schließlich ist deine Zeit auch nicht umsonst.

 

  • Like 2
Link to post
vor 3 Stunden schrieb magicpeter:

Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? 
Dann war der ganze Spaß für umsonst. 
 

 

Hallo,

es gibt Virenscanner für die Exchagen Datenbanken - z.B. http://GFI Informations Store Protection . Also vor der Neuinstallation die Datenbank scannen und neu aufsetzen.

  • Haha 1
  • Sad 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...