8585040390
10.10.2023, aktualisiert um 11:28:55 Uhr
1711
4
0
Bin ich infiziert? AV blockt neu generierte .dll auf Server
Hallo Mitglieder,
ich betreue einen Telefonserver bei einem Kunden (Swyx Netphone) OnPrem, der unter lokalen Adminrechten (nicht Domänenrechte) rennt.
Samstag Morgens erhalte ich eine Mail vom AV:
Datei: C:\Users\*snip*\AppData\Local\Temp\n4ftw1h4.dll
Infektion: Gen:Variant.Bulz.58535 (Engine A)
Das war überhaupt das erste Mal dass der AV auf dem Telefonserver etwas gemeldet hat, also gehe ich davon aus, dass die File, das erste Mal entdeckt wurde.
Leider findet sich überhaupt nichts in der Quarantäne noch am org. Pfad, damit ich das File mal untersuchen könnte oder ggf. bei VT auf false-positive prüfe(n) lasse.
Wurde mein Telefonserver übernommen? Wie würdet Ihr nun vorgehen?
Ich freue mich auf euer Feedback, da ich aktuell unsicher bin, wie ich zu handeln habe.
Eckdaten:
Server 2019, up2date
GDATA AV, up2date
Grüße
ich betreue einen Telefonserver bei einem Kunden (Swyx Netphone) OnPrem, der unter lokalen Adminrechten (nicht Domänenrechte) rennt.
Samstag Morgens erhalte ich eine Mail vom AV:
Datei: C:\Users\*snip*\AppData\Local\Temp\n4ftw1h4.dll
Infektion: Gen:Variant.Bulz.58535 (Engine A)
Das war überhaupt das erste Mal dass der AV auf dem Telefonserver etwas gemeldet hat, also gehe ich davon aus, dass die File, das erste Mal entdeckt wurde.
Leider findet sich überhaupt nichts in der Quarantäne noch am org. Pfad, damit ich das File mal untersuchen könnte oder ggf. bei VT auf false-positive prüfe(n) lasse.
Wurde mein Telefonserver übernommen? Wie würdet Ihr nun vorgehen?
Ich freue mich auf euer Feedback, da ich aktuell unsicher bin, wie ich zu handeln habe.
Eckdaten:
Server 2019, up2date
GDATA AV, up2date
Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72968352040
Url: https://administrator.de/forum/bin-ich-infiziert-av-blockt-neu-generierte-dll-auf-server-72968352040.html
Ausgedruckt am: 11.04.2025 um 15:04 Uhr
4 Kommentare
Neuester Kommentar
Moin,
also wenn an der Stelle im Filesystem "plötzlich" eine infizierte DLL auftaucht, ist das schon maximal verdächtig.
Bei Befall Server neu installieren.
lg,
Slainte
also wenn an der Stelle im Filesystem "plötzlich" eine infizierte DLL auftaucht, ist das schon maximal verdächtig.
Wurde mein Telefonserver übernommen?
Möglich.Wie würdet Ihr nun vorgehen?
Von sauberer Boot-CD oder ReadOnly USB Stick booten (c't desinfect o.Ä.) und komplette Festplatte auf Malware scannen.Bei Befall Server neu installieren.
lg,
Slainte
1
also wenn an der Stelle im Filesystem "plötzlich" eine infizierte DLL auftaucht, ist das schon maximal verdächtig.
An dem Punkt bin ich eben auch. Blöd eben, dass ich nicht wirklich verifizieren kann ob es sich um ein false-positive handelt (wäre bei Gen:Variant.Bulz.58535 nichts Neues).Dann werde ich mal einen Offlinescan durchführen.
Danke Dir.
Grüße
Der 3CX Desktop Client war doch Anfang des Jahres kompromittiert, vielleicht ist der betroffene Client auch dort auf dem Server installiert?! => https://www.3cx.de/blog/sicherheitsupdate-kurzfassung/
betroffene Client
Auf dem Server läuft ausschließlich AV Software sowie die Telefonieanwendung (Swyx/NetPhone; nicht 3CX).Ich bin gerade aktiv mit GDATA im Gespräch; Sie sehen keinen Grund zur Beängstigung. AV hat ja alles weggeblockt.
Werde dennoch einen Cleanscan machen.
Grüße
