Virus / Trojaner ???

[howi 10]

Hi !

Habe folgende Situation:

 

Mittlerweile 3 PC's ( 1 x Mitglied in Domäne, 2 x Standalone ). Unterschiedliche Kunden.

 

PC's gehen seit Mitte letzter Woche ( 09.08.2005 ) nicht mehr ins Internet.

Einwahl erfolgt über ISDN bzw. DSL. KEIN Router - direkt.

Keine Firewall installiert. Kaspersky Home installiert. Letztes Update am 09.08.2005

 

Die Einwahl ins Internet erfolgt fehlerfrei. Nur lässt sich nix mehr im ie anzeigen. Ein Ping direkt auf die DNS der Telekom ( bei Telekom Einwahl ) funktioniert.

Ein "ping www.google.de" funzt nicht. Also Probs mit der Auflösung. Würde ich mal behaupten.

Auschalten des KAV brachte keinen Erfolg. Überprüfung aller Starteinträge war auch unverdächtig. Keine unbekannten Dienste oder Prozesse ( mit Prozess Explorer von sysinternals geprüft).

 

ich habe fast jeden Tag mit Viren & Trojanern zu tun..

 

BS = Win XP Pro

 

Ereignisprotokoll bringt auch keine vernünftigen Ergebnisse.

Der PC in der W2003 Domäne läuft sauber, findet seinen DNS.

 

 

Irgendwelche Ideen ???? . Bin damit doch sicher nicht allein,... hoffe ich.

 

 

Schon mal Danke ( allein fürs durchlesen ;-)

 

howi

[edv-olaf 10]

Hallo,

 

da (so wie du schilderst) alle PCs direkt ins INet gehen (ohne Router) und keine Firewall eingesetzt wird, schlage ich vor, du / ihr überlegt euch eine andere Strategie.

 

Es ist davon auszugehen, dass *alle* PCs in eurem Betrieb mit Würmern, Malware, Spyware infiziert sind, alle Texte mitgelesen werden, alle Nachrichten an irgendwen versendet werden (der dann vertrauliche Infos verkauft), von euren PCs Spam ohne Ende versendet wird und ihr Bestandteil eines Zombie-Netzwerkes seid usw. usw.

 

Ein Virenscanner alleine bietet keine (null, nada ,njente) Sicherheit. Es *muss* eine Firewall eingesetzt werden!

 

Kauft euch einen Router, setzt alle PCs (auch Server) neu auf, macht einen Datenrestore (nicht das System, das dürfte verseucht sein) und fangt dann nochmal an.

 

Grüße

Olaf

[Das Urmel 10]

Hallo Howi,

 

ne zweite Meinung?

Machs wie EDV-Olaf es sagte. :)

[howi 10]

Uuuhps, das war wohl nicht eindeutig genug.

 

Das sind 3 PC's bei Privatkunden. Bei verschiedenen! Unsere Firmenkunden haben selbstverständlich alle einen Router vorgsetzt. Allein schon wegen NAT.

 

Abgesehen davon war meine Frage nicht auf Vermeidung sondern auf Fehlerbehebung & Analyse ausgelegt.

 

Es sind keine Trojaner aktiv. Definitiv.

 

Den Rat, einen Datenrestore zu machen halt finde ich in diesem Fall nicht sehr professionell. Das macht man anders.

Ich wollte nur wissen, ob dieser Effekt bekannt ist & und wie man den behebt. Im übrigen bekommt man ein angegriffenes System sehr wohl wieder in den Griff.

Man muß nur genau wissen, was manipuliert wurde.

 

Die Aussage: ich habe fast jeden Tag mit Viren & Trojanern zu tun.. bezieht sich im übrigen auf meinen Job. Wir haben oft genug Privatkunden, die ohne jeden Schutz surfen. Und da sind die Folgen hinlänglich bekannt.

 

Also,

hat jemand dasselbe Problem? Kennt einer den Auslöser?

 

Gruß

howi

[il_principe 11]

hallo howi,

 

riskier mal einen blick in die hosts datei der rechner....

 

da werden gerne fake-einträge gemacht.

 

Würde dir auch noch zusätzlich zum installierten antivirus einen online-scan empfehlen, sobald du die namensauflösung wieder hingebracht hast.

 

http://www.panda-software.de gibt's was brauchbares, der scannt auch ad- und spyware dazu

 

lg

il_principe

[edv-olaf 10]

Also,

hat jemand dasselbe Problem? Kennt einer den Auslöser?

Ich denke, die Antwort bleibt dieselbe. Und ob das dann unprofessionell ist, lasse ich mal dahingestellt...

Grüße

Olaf

[grizzly999 11]

Ich denke, die Antwort bleibt dieselbe. Und ob das dann unprofessionell ist, lasse ich mal dahingestellt...

Grüße

Olaf

Da stimme ich voll und ganz zu. Und um deutlich zu werden (nicht böse gemeint!!!), aber die Frage stellt sich hier wohlnicht, wer da unprofessionell..... :rolleyes:

 

Du suchst hier Rat? Professionellen Rat? Dann war das von EDV-Olaf einer.

 

grizzly999

[PAT 10]

Das erinnert mich irgendwie an einen (Ex-)Systemadministrator, den ich mal kennengelernt habe und der der festen Meinung war, eine Firewall sei total unsinnig.

(O-Ton: Ich habe zu Hause auch keine Firewall und keinen Virenscanner und es ist noch nie was passiert!).

 

Die Meinung hat sich eines Tages komischerweise stark geändert. Aber das ist eine andere Geschichte... ;)

 

 

Oder um es mit anderen Worten zu sagen: Ohne Schutz-Mechanismen mit dem Internet verbunden zu sein ist wie in ohne Gummi in der Gegend rumzuv... . Es kann lange gut gehen, aber wenn's einen erwischt braucht man sich nicht beklagen. (Sorry für den Vergleich).

[edv-olaf 10]

*rofl* :D:D:D

[the_brayn 10]

Hiho,

Ohne Schutz-Mechanismen mit dem Internet verbunden zu sein ist wie in ohne Gummi in der Gegend rumzuv... . Es kann lange gut gehen, aber wenn's einen erwischt braucht man sich nicht beklagen. (Sorry für den Vergleich).

ein Vergleich mit Fahren ohne Fahrerlaubnis wäre wohl weniger brisant, aber auch nicht so belustigend :D

 

Gruß Guido

[howi 10]

Ihr Lieben, diese Kunden haben ihre Systeme selbst aufgesetzt.

 

@il_principe : Danke, habe ich bereits geprüft. ( War im übrigen der einzig sinnvolle Kommentar hier. )

 

Ich wollte hier keine Grundsatzdiskussion haben, sondern INFO. Wie bereits mehrfach geschrieben. Den "RAT" alles neu zu machen, naja...

 

ICH weiß wie man Systeme dicht macht. Keine Sorge.

 

Für Antworten, die sich auf meine Frage beziehen, bin ich dankbar.

[edv-olaf 10]

ICH weiß wie man Systeme dicht macht. Keine Sorge.

Damit es nicht als "Rat" falsch verstanden wird, mache ich es mal OT:

Off-Topic:

OK, ich erkläre es dir mal auf einer anderen Ebene: wenn ich dein Chef wäre und sähe, was du hier schreibst, wie du darauf reagierst, was dir erfahrene Mitglieder raten und was du daraus gelernt hast, so würde ich dich mit sofortiger Wirkung beurlauben und dich fristgerecht entlassen.

 

Entweder möchtest du kein Administrator bleiben oder du hast schon Harz IV ausgefüllt.

 

Kein Admin, der sich ernsthaft für einen solchen hällt, würde ein System tollerieren, dass ohne FW ins INet geht, denn damit unterstützt du aktiv (!) Spammer, Botnetze und DDoS-Attacken.

Meine Bewunderung für diese Leistung ist dir gewiss...

 

Das Problem ist, es fehlen grundlegende Voraussetzungen, um dir in deinem Fall einen Tip zu geben.

 

Grüße

Olaf

[grizzly999 11]

Ihr Lieben, diese Kunden haben ihre Systeme selbst aufgesetzt.

 

@il_principe : Danke, habe ich bereits geprüft. ( War im übrigen der einzig sinnvolle Kommentar hier. )

 

Ich wollte hier keine Grundsatzdiskussion haben, sondern INFO. Wie bereits mehrfach geschrieben. Den "RAT" alles neu zu machen, naja...

 

ICH weiß wie man Systeme dicht macht. Keine Sorge.

 

Für Antworten, die sich auf meine Frage beziehen, bin ich dankbar.

Wie du siehst, hjier gibt es nur professionelle Hilfe. Ich höchst persönlich würde an so einem Recdhner, der Tage oder Wochen ohne FW im INternet war und wo jetzt in irgendeiner Form Namensauflösung nicht mehr klappt, auch keine Minute irgendwas untersuchen und nach Fehlern graben.

Aber eine (mehrere) fachkundige Ratschläge willst du hier nicht, dann versuche es doch mal im Heise Forum oder Peter's Spotlight :D

 

 

grizzly999

[howi 10]

@edv-olaf: lies mal deine pn !

 

@grizzly999: Es gab hier keine fachkundige Ratschläge auf meine Frage hin. Außer von il_principe. Du solltest dir bitte meine Fragestellung GENAU durchlesen. Lesen hilft.

 

Nur zur Info: Es war ein Update von Kaspersky, das die DNS Auflösung verhinderte. Bei allen 3 PC's.

 

howi

[the_brayn 10]

Irgendwelche Ideen ????

Und? waren das keine Ideen was die genannt haben? Soll durch mehrere "?" die Frage fragiger werden? Oder ist deine Tastatur auch kaputt?

 

*plonk*