11
Komischer Virus oder Wurm
Blockt Virenprogramme und Update.exe'n
ndzwar habe ich win 2003 server und hab nen Bock im System. Der Virus verhindert, dass Dateien entpackt werden die den namen tragen "update.exe" oder sooder auch andere Dateien anderer Anti Viren Tools.
Spiele ich übers Netzwerk die Upadte dateien ( z.B. aus einem Service Pack) auf, so wird sie gelöscht sobald ich an dem befallenem PC auf den Ordner klicke.
Was ist das für ein Mistteil?
Symtic Antivirus hatte nix gefunden und den NOD 32 setzte ich übers Netzwerk auf den betroffenem PC ein, da der Virus wohl am System selbst auf die Anti Viren Tools losgeht , die Updatefunktion blockt und sie größtenteils außer Kraft setzt.
Welcher Virus kanns sein und wie kann ich ihn außer Kraft setzen?
ndzwar habe ich win 2003 server und hab nen Bock im System. Der Virus verhindert, dass Dateien entpackt werden die den namen tragen "update.exe" oder sooder auch andere Dateien anderer Anti Viren Tools.
Spiele ich übers Netzwerk die Upadte dateien ( z.B. aus einem Service Pack) auf, so wird sie gelöscht sobald ich an dem befallenem PC auf den Ordner klicke.
Was ist das für ein Mistteil?
Symtic Antivirus hatte nix gefunden und den NOD 32 setzte ich übers Netzwerk auf den betroffenem PC ein, da der Virus wohl am System selbst auf die Anti Viren Tools losgeht , die Updatefunktion blockt und sie größtenteils außer Kraft setzt.
Welcher Virus kanns sein und wie kann ich ihn außer Kraft setzen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 67798
Url: https://administrator.de/contentid/67798
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo sfera-haiza!
Der komische Virus ist ein Wurm und heißt Nyxem.gen.
Das ".gen" habe ich dabei angefügt, da wir ja nicht wissen, ob es sich dabei tatsächlich um den originären Nyxem.E handelt oder um eine neue Variante.
Dieses Schadprogramm ist auch bekannt unter den Namen:
W32.Blackmal.E@mm
Kama Sutra
W32/MyWife.d@MM
Email-Worm.Win32.Nyxem.e
Verhalten des Schädlings:
Einmal installiert blockt er die Updates der folgenden Antivirenlösungen [soweit mir bekannt]:
Norton AntiVirus
Symantec
Mc Afee
Trend Micro
Panda Anti Virus
Kaspersky
eTrust EZ Antivirus
Der Wurm, sofern sich nichts geändert hat, residiert in einer Update.exe Datei und manipuliert an jedem Dritten Werktag im Monat Dateien mit den folgenden Endungen:
*.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.pps, *.zip, *.rar, *.pdf, *.psd, *.dmp.
Dabei löscht er deren Inhalt und fügt stattdessen folgende Meldung ein:
DATA Error [47 0F 94 93 F4 K5]
Dieser Schädling verbreitet sich über die Netzwerkfreigaben und befällt so das gesamte Netzwerk.
Vorgehensweise in einer Produktionsumgebung [Best Practices]:
Der Server ist sofort vom Netzwerk zu trennen und neu aufzusetzen
Es wird sofort ein Backup aller Datenbestände gefahren.
Die Clients werden gereinigt
Von F-Secure gibt es das Reinigungstool [ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip F-Force].
Es handelt sich dabei um eine *.zip Datei mit folgendem Inhalt:
Um F-Force benutzen zu koennen bedarf es eines Updates, die Datei [ftp://ftp.f-secure.com/anti-virus/updates/latest/latest.zip latest.zip].
Nach erfolgreicher Entfernung des Schadprogramms, sind alle verfügbaren Festplatten nochmals zu scannen, besonders in den Archiven, da F-Force diese von seinem Scanning standardmäßig ausnimmt.
Sollte es sich nicht um eine Produktionsumgebung handeln, so kannst Du versuchen auch den Server mit dem Tool zu reinigen; obwohl ich nicht weiß, ob das unter Server 2003 funktioniert.
Es gäbe alternativ noch den Bitdefender Onlinescan.
Ich warne nochmals eindringlich davor zu versuchen den Server einem Reinigungsversuch zu unterziehen, falls er sich in einer Produktionsumgebung befindet. Geht dieses Unterfangen schief, droht dreißig Tage später Datenverlust und Betriebsausfall.
saludos
gnarff
Der komische Virus ist ein Wurm und heißt Nyxem.gen.
Das ".gen" habe ich dabei angefügt, da wir ja nicht wissen, ob es sich dabei tatsächlich um den originären Nyxem.E handelt oder um eine neue Variante.
Dieses Schadprogramm ist auch bekannt unter den Namen:
W32.Blackmal.E@mm
Kama Sutra
W32/MyWife.d@MM
Email-Worm.Win32.Nyxem.e
Verhalten des Schädlings:
Einmal installiert blockt er die Updates der folgenden Antivirenlösungen [soweit mir bekannt]:
Norton AntiVirus
Symantec
Mc Afee
Trend Micro
Panda Anti Virus
Kaspersky
eTrust EZ Antivirus
Der Wurm, sofern sich nichts geändert hat, residiert in einer Update.exe Datei und manipuliert an jedem Dritten Werktag im Monat Dateien mit den folgenden Endungen:
*.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.pps, *.zip, *.rar, *.pdf, *.psd, *.dmp.
Dabei löscht er deren Inhalt und fügt stattdessen folgende Meldung ein:
DATA Error [47 0F 94 93 F4 K5]
Dieser Schädling verbreitet sich über die Netzwerkfreigaben und befällt so das gesamte Netzwerk.
Vorgehensweise in einer Produktionsumgebung [Best Practices]:
Der Server ist sofort vom Netzwerk zu trennen und neu aufzusetzen
Es wird sofort ein Backup aller Datenbestände gefahren.
Die Clients werden gereinigt
Von F-Secure gibt es das Reinigungstool [ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip F-Force].
Es handelt sich dabei um eine *.zip Datei mit folgendem Inhalt:
- f-force.exe - the main executable file
- eult.rtf - End User License Terms document
- readme.rtf - Readme file in RTF format
- readme.txt - Readme file in ASCII format
Um F-Force benutzen zu koennen bedarf es eines Updates, die Datei [ftp://ftp.f-secure.com/anti-virus/updates/latest/latest.zip latest.zip].
Nach erfolgreicher Entfernung des Schadprogramms, sind alle verfügbaren Festplatten nochmals zu scannen, besonders in den Archiven, da F-Force diese von seinem Scanning standardmäßig ausnimmt.
Sollte es sich nicht um eine Produktionsumgebung handeln, so kannst Du versuchen auch den Server mit dem Tool zu reinigen; obwohl ich nicht weiß, ob das unter Server 2003 funktioniert.
Es gäbe alternativ noch den Bitdefender Onlinescan.
Ich warne nochmals eindringlich davor zu versuchen den Server einem Reinigungsversuch zu unterziehen, falls er sich in einer Produktionsumgebung befindet. Geht dieses Unterfangen schief, droht dreißig Tage später Datenverlust und Betriebsausfall.
saludos
gnarff
Leider gibts da von dir verlinkte Programm nichtmehr. (ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip) Ich meine ich hätte mir die Seite auch schonmal aufgerufen gehabt.
Seltsam, ich habe es mir gerade noch einmal heruntergeladen, der download funktioniert...
Ich habe noch ein anderes Removal Tool gefunden:
http://www.bitdefender.com/site/Downloads/browseFreeRemovalTool
bitte zu Win32.Nyxem.E@mm (.exe) herunterscrollen und downloaden.
saludos
gnarff
Ich habe noch ein anderes Removal Tool gefunden:
http://www.bitdefender.com/site/Downloads/browseFreeRemovalTool
bitte zu Win32.Nyxem.E@mm (.exe) herunterscrollen und downloaden.
saludos
gnarff
Das AntiNyxem-EN.exe ist spitze 
Hatte es geschafft erswt 3 sec offen zu bleiben, dann ist es innerhalb einer halben Sekunde nach dem öffnen wieder zu.
Ich habe gerade ds f-force Programm am laufen, dass brach nicht zusammen,- mal sehen was bei rumkommt.
Hatte es geschafft erswt 3 sec offen zu bleiben, dann ist es innerhalb einer halben Sekunde nach dem öffnen wieder zu.Ich habe gerade ds f-force Programm am laufen, dass brach nicht zusammen,- mal sehen was bei rumkommt.
Nee Ju8ngs hatte leider nix gebracht , das f-force Programm fand zwar was und beseitigte es, dass ers beim zweiten Scan nicht wieder fand aber dennoch sobald ich wieder enie update.exe auf den PC spiele ist sie binnen einer Sekunde wieder weg.
Ich hatte Dir ja gesagt, dass wir nicht wissen ob es sich um die originäre Version des Nymex.E handelt oder um eine neue Variante.
Die von Dir verwendeten Tools sind schon etwas älteren Datums.
Weitere Gründe warum eine Desinfizierung scheitern kann:
- Das Betriebssystem Windows 2003 Server wird nicht unterstützt.
- Die Systemwiederherstellung wurde nicht abgeschaltet und nach erfolgter Desinfektion alle alten Wiederherstellungspunkte gelöscht.
- Nach erfolgter Desinfektion wurden die festplatten nicht einem kompletten Scanning unterzogen
- Der Rechner wurde vorher nicht vom Netzwerk getrennt
Hier ist noch ein Tool von Symantec W32.Blackmal@mm Removal Tool das unterstützt auch Windows NT, vllt. hast du damit mehr Glück.
Als letzten Ausweg gibt es noch den Bitdefender Onlinescanner
Ich glaube aber, dass Du besser beraten bist, den Server neu aufzusetzen - wie ich weiter oben schon ausfuehrte und in Zukunft ein besseres Sicherheitsmanagment implementierst.
saludos
gnarff
Die von Dir verwendeten Tools sind schon etwas älteren Datums.
Weitere Gründe warum eine Desinfizierung scheitern kann:
- Das Betriebssystem Windows 2003 Server wird nicht unterstützt.
- Die Systemwiederherstellung wurde nicht abgeschaltet und nach erfolgter Desinfektion alle alten Wiederherstellungspunkte gelöscht.
- Nach erfolgter Desinfektion wurden die festplatten nicht einem kompletten Scanning unterzogen
- Der Rechner wurde vorher nicht vom Netzwerk getrennt
Hier ist noch ein Tool von Symantec W32.Blackmal@mm Removal Tool das unterstützt auch Windows NT, vllt. hast du damit mehr Glück.
Als letzten Ausweg gibt es noch den Bitdefender Onlinescanner
Ich glaube aber, dass Du besser beraten bist, den Server neu aufzusetzen - wie ich weiter oben schon ausfuehrte und in Zukunft ein besseres Sicherheitsmanagment implementierst.
saludos
gnarff
Also auch das Norton Programm sagte mir nun, dass er nix gefunden hat.
Naja muss ja was drauf sein, denn wenn im System Dateien fehlen würden, dann wütrden sich ja gewisse Dateien nicht nachwievor automatisch löschen sobald ich sie aufspiele, oder?
Also ist da doch noch noch einer im Spiel
Naja muss ja was drauf sein, denn wenn im System Dateien fehlen würden, dann wütrden sich ja gewisse Dateien nicht nachwievor automatisch löschen sobald ich sie aufspiele, oder?
Also ist da doch noch noch einer im Spiel
Deine letzte Chance vor dem Neu aufsetzen der Servers ist der Bitdefender Onlinescanner, die Links dazu hatte ich ja bereits oben gepostet. Ich habe mich gerade informiert, der unterstützt auch 2003 Server und erkennt alle Varianten dieses Schädlings.
Systemwiederherstellung ausschalten nicht vergessen!
Das von Hand entfernen ist schwierig, der Erfolg kann nicht zu 100% garantiert werden und dauert länger als das Neuaufsetzen eines Servers.
Meine Meinung zu kompromittierten Server- Betriebssystemen hatte ich ja auch schon kundgetan.
saludos
gnarff
Systemwiederherstellung ausschalten nicht vergessen!
Das von Hand entfernen ist schwierig, der Erfolg kann nicht zu 100% garantiert werden und dauert länger als das Neuaufsetzen eines Servers.
Meine Meinung zu kompromittierten Server- Betriebssystemen hatte ich ja auch schon kundgetan.
saludos
gnarff
So das Ende vom Lied: Es half nur Neuinstallation
Der Virus wurde nicht entdeckt.
Der Virus wurde nicht entdeckt.
Na, habe ich Dir doch gesagt:
Wenn Server befallen, dann Neuinstallation; alles andere ist unverantwortlich.
Da Du nun drei Tage daran herumgebastelt hast, kannst Du das gesamte Netzwerk nun auch noch, Client fuer Client untersuchen. Client, sofern nicht Thin, aus dem Netz nehmen und von Hand die Festplatte durchscannen, Backupserver, Mailserver...na, Du bist ja Angler und hast Geduld.
Petri Heil...
saludos
gnarff
Wenn Server befallen, dann Neuinstallation; alles andere ist unverantwortlich.
Da Du nun drei Tage daran herumgebastelt hast, kannst Du das gesamte Netzwerk nun auch noch, Client fuer Client untersuchen. Client, sofern nicht Thin, aus dem Netz nehmen und von Hand die Festplatte durchscannen, Backupserver, Mailserver...na, Du bist ja Angler und hast Geduld.
Petri Heil...
saludos
gnarff
Nee habe keine Clienten
Benutze es als Workstation.
Benutze es als Workstation.
