2
Dienste verabschieden sich nach kurzer Zeit
svchost.exe wird abgeschossen, vermutlich durch Net-Worm.Win32.Kido.q
Hallo Jungs und Mädels,
nach einer durchgearbeiteten Nacht bin ich völlig ratlos. Wir haben bei einem Kunden seit gestern mittag das Problem, dass plötzlich Server nicht mehr erreicht werden können und somit Applikationen abstürzen. Vor Ort hatten wir auf einigen Servern und Clients den Virus Net-Worm.Win32.Kido.q mithilfe von F-Secure ermittelt. Meist ist es eine infizierte JPG-Datei in den TemporaryInternetFiles des Users bzw. Administrators. Wir haben bis heute morgen sämtliche PCs gescannt und bereinigt, (während des Scannens haben wir auch die einzelnen Hosts vom Netz genommen. Danach verhielt sich das ganze wie folgt: solange der Server nicht am LAN hängt, bzw. kein Client auf den Server zugreift, bleiben die Anmeldendienste, Computerbrowserdienst, etc. (immer Dienste mit svchost.exe) am laufen, sobald jedoch Clients hinzukommen dauert es eine gewisse zeit, manchmal nur 5 min. manchmal 10 min. dann sind diese Dienste beendet. Man kann Sie dann auch wieder starten aber nach einiger zeit wiederholt sich das ganze. Wir vermuten dass dieser Wurm einen Wirt hat, den wir mit F-SECURE nicht finden können. Ich vermute auch, dass ein bestimmter Eintrag in der Registry evtl. bei RUN dafür sorgt, dass dieser Virus wieder iniziert wird.
Bitte helft mir, ich weiß nicht mehr weiter....
Danke vorab
Arti
nach einer durchgearbeiteten Nacht bin ich völlig ratlos. Wir haben bei einem Kunden seit gestern mittag das Problem, dass plötzlich Server nicht mehr erreicht werden können und somit Applikationen abstürzen. Vor Ort hatten wir auf einigen Servern und Clients den Virus Net-Worm.Win32.Kido.q mithilfe von F-Secure ermittelt. Meist ist es eine infizierte JPG-Datei in den TemporaryInternetFiles des Users bzw. Administrators. Wir haben bis heute morgen sämtliche PCs gescannt und bereinigt, (während des Scannens haben wir auch die einzelnen Hosts vom Netz genommen. Danach verhielt sich das ganze wie folgt: solange der Server nicht am LAN hängt, bzw. kein Client auf den Server zugreift, bleiben die Anmeldendienste, Computerbrowserdienst, etc. (immer Dienste mit svchost.exe) am laufen, sobald jedoch Clients hinzukommen dauert es eine gewisse zeit, manchmal nur 5 min. manchmal 10 min. dann sind diese Dienste beendet. Man kann Sie dann auch wieder starten aber nach einiger zeit wiederholt sich das ganze. Wir vermuten dass dieser Wurm einen Wirt hat, den wir mit F-SECURE nicht finden können. Ich vermute auch, dass ein bestimmter Eintrag in der Registry evtl. bei RUN dafür sorgt, dass dieser Virus wieder iniziert wird.
Bitte helft mir, ich weiß nicht mehr weiter....
Danke vorab
Arti
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 104381
Url: https://administrator.de/contentid/104381
Printed on: April 19, 2024 at 19:04 o'clock
2 Comments
Latest comment
Schonmal die Systeme mit Malwarebyte's gescannt? Ist zwar nur ein Vorschlag, aber das Tool hat mir schon zwei Server "gerettet" wo andere Lösungen alles als "sauber" gekennzeichnet haben.
Hi,
auch wenns richtig wehtut, würde ich in einer solchen Situation alle Server und Clients neu installieren. Du wirst den Systemen ansonsten niemals wieder vertrauen können.
ja, das dauert, ja das kostet Geld aber es es ist m.E. die einzige zuverlässige Methode.
lg,
Slainte
auch wenns richtig wehtut, würde ich in einer solchen Situation alle Server und Clients neu installieren. Du wirst den Systemen ansonsten niemals wieder vertrauen können.
ja, das dauert, ja das kostet Geld aber es es ist m.E. die einzige zuverlässige Methode.
lg,
Slainte
