Dienste verabschieden sich nach kurzer Zeit
svchost.exe wird abgeschossen, vermutlich durch Net-Worm.Win32.Kido.q
Hallo Jungs und Mädels,
nach einer durchgearbeiteten Nacht bin ich völlig ratlos. Wir haben bei einem Kunden seit gestern mittag das Problem, dass plötzlich Server nicht mehr erreicht werden können und somit Applikationen abstürzen. Vor Ort hatten wir auf einigen Servern und Clients den Virus Net-Worm.Win32.Kido.q mithilfe von F-Secure ermittelt. Meist ist es eine infizierte JPG-Datei in den TemporaryInternetFiles des Users bzw. Administrators. Wir haben bis heute morgen sämtliche PCs gescannt und bereinigt, (während des Scannens haben wir auch die einzelnen Hosts vom Netz genommen. Danach verhielt sich das ganze wie folgt: solange der Server nicht am LAN hängt, bzw. kein Client auf den Server zugreift, bleiben die Anmeldendienste, Computerbrowserdienst, etc. (immer Dienste mit svchost.exe) am laufen, sobald jedoch Clients hinzukommen dauert es eine gewisse zeit, manchmal nur 5 min. manchmal 10 min. dann sind diese Dienste beendet. Man kann Sie dann auch wieder starten aber nach einiger zeit wiederholt sich das ganze. Wir vermuten dass dieser Wurm einen Wirt hat, den wir mit F-SECURE nicht finden können. Ich vermute auch, dass ein bestimmter Eintrag in der Registry evtl. bei RUN dafür sorgt, dass dieser Virus wieder iniziert wird.
Bitte helft mir, ich weiß nicht mehr weiter....
Danke vorab
Arti
Hallo Jungs und Mädels,
nach einer durchgearbeiteten Nacht bin ich völlig ratlos. Wir haben bei einem Kunden seit gestern mittag das Problem, dass plötzlich Server nicht mehr erreicht werden können und somit Applikationen abstürzen. Vor Ort hatten wir auf einigen Servern und Clients den Virus Net-Worm.Win32.Kido.q mithilfe von F-Secure ermittelt. Meist ist es eine infizierte JPG-Datei in den TemporaryInternetFiles des Users bzw. Administrators. Wir haben bis heute morgen sämtliche PCs gescannt und bereinigt, (während des Scannens haben wir auch die einzelnen Hosts vom Netz genommen. Danach verhielt sich das ganze wie folgt: solange der Server nicht am LAN hängt, bzw. kein Client auf den Server zugreift, bleiben die Anmeldendienste, Computerbrowserdienst, etc. (immer Dienste mit svchost.exe) am laufen, sobald jedoch Clients hinzukommen dauert es eine gewisse zeit, manchmal nur 5 min. manchmal 10 min. dann sind diese Dienste beendet. Man kann Sie dann auch wieder starten aber nach einiger zeit wiederholt sich das ganze. Wir vermuten dass dieser Wurm einen Wirt hat, den wir mit F-SECURE nicht finden können. Ich vermute auch, dass ein bestimmter Eintrag in der Registry evtl. bei RUN dafür sorgt, dass dieser Virus wieder iniziert wird.
Bitte helft mir, ich weiß nicht mehr weiter....
Danke vorab
Arti
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 104381
Url: https://administrator.de/contentid/104381
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
2 Kommentare
Neuester Kommentar
Schonmal die Systeme mit Malwarebyte's gescannt? Ist zwar nur ein Vorschlag, aber das Tool hat mir schon zwei Server "gerettet" wo andere Lösungen alles als "sauber" gekennzeichnet haben.