Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Komischer Virus oder Wurm

Mitglied: sfera-haiza

sfera-haiza (Level 1) - Jetzt verbinden

03.09.2007, aktualisiert 06.09.2007, 6185 Aufrufe, 11 Kommentare

Blockt Virenprogramme und Update.exe'n

ndzwar habe ich win 2003 server und hab nen Bock im System. Der Virus verhindert, dass Dateien entpackt werden die den namen tragen "update.exe" oder sooder auch andere Dateien anderer Anti Viren Tools.
Spiele ich übers Netzwerk die Upadte dateien ( z.B. aus einem Service Pack) auf, so wird sie gelöscht sobald ich an dem befallenem PC auf den Ordner klicke.

Was ist das für ein Mistteil?

Symtic Antivirus hatte nix gefunden und den NOD 32 setzte ich übers Netzwerk auf den betroffenem PC ein, da der Virus wohl am System selbst auf die Anti Viren Tools losgeht , die Updatefunktion blockt und sie größtenteils außer Kraft setzt.


Welcher Virus kanns sein und wie kann ich ihn außer Kraft setzen?
Mitglied: gnarff
04.09.2007 um 05:42 Uhr
Hallo sfera-haiza!

Der komische Virus ist ein Wurm und heißt Nyxem.gen.
Das ".gen" habe ich dabei angefügt, da wir ja nicht wissen, ob es sich dabei tatsächlich um den originären Nyxem.E handelt oder um eine neue Variante.
Dieses Schadprogramm ist auch bekannt unter den Namen:

W32.Blackmal.E@mm
Kama Sutra
W32/MyWife.d@MM
Email-Worm.Win32.Nyxem.e

Verhalten des Schädlings:
Einmal installiert blockt er die Updates der folgenden Antivirenlösungen [soweit mir bekannt]:
Norton AntiVirus
Symantec
Mc Afee
Trend Micro
Panda Anti Virus
Kaspersky
eTrust EZ Antivirus

Der Wurm, sofern sich nichts geändert hat, residiert in einer Update.exe Datei und manipuliert an jedem Dritten Werktag im Monat Dateien mit den folgenden Endungen:
*.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.pps, *.zip, *.rar, *.pdf, *.psd, *.dmp.
Dabei löscht er deren Inhalt und fügt stattdessen folgende Meldung ein:
DATA Error [47 0F 94 93 F4 K5]

Dieser Schädling verbreitet sich über die Netzwerkfreigaben und befällt so das gesamte Netzwerk.

Vorgehensweise in einer Produktionsumgebung [Best Practices]:
Der Server ist sofort vom Netzwerk zu trennen und neu aufzusetzen
Es wird sofort ein Backup aller Datenbestände gefahren.
Die Clients werden gereinigt

Von F-Secure gibt es das Reinigungstool F-Force.
Es handelt sich dabei um eine *.zip Datei mit folgendem Inhalt:
          • f-force.exe - the main executable file
          • eult.rtf - End User License Terms document
          • readme.rtf - Readme file in RTF format
          • readme.txt - Readme file in ASCII format

Um F-Force benutzen zu koennen bedarf es eines Updates, die Datei latest.zip.

Nach erfolgreicher Entfernung des Schadprogramms, sind alle verfügbaren Festplatten nochmals zu scannen, besonders in den Archiven, da F-Force diese von seinem Scanning standardmäßig ausnimmt.

Sollte es sich nicht um eine Produktionsumgebung handeln, so kannst Du versuchen auch den Server mit dem Tool zu reinigen; obwohl ich nicht weiß, ob das unter Server 2003 funktioniert.
Es gäbe alternativ noch den Bitdefender Onlinescan.

Ich warne nochmals eindringlich davor zu versuchen den Server einem Reinigungsversuch zu unterziehen, falls er sich in einer Produktionsumgebung befindet. Geht dieses Unterfangen schief, droht dreißig Tage später Datenverlust und Betriebsausfall.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 07:28 Uhr
Leider gibts da von dir verlinkte Programm nichtmehr. (ftp://ftp.f-secure.com/anti-virus/tools/f-force.zip) Ich meine ich hätte mir die Seite auch schonmal aufgerufen gehabt.
Bitte warten ..
Mitglied: gnarff
04.09.2007 um 08:27 Uhr
Seltsam, ich habe es mir gerade noch einmal heruntergeladen, der download funktioniert...
Ich habe noch ein anderes Removal Tool gefunden:
http://www.bitdefender.com/site/Downloads/browseFreeRemovalTool
bitte zu Win32.Nyxem.E@mm (.exe) herunterscrollen und downloaden.
saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 13:24 Uhr
Das AntiNyxem-EN.exe ist spitze Hatte es geschafft erswt 3 sec offen zu bleiben, dann ist es innerhalb einer halben Sekunde nach dem öffnen wieder zu.

Ich habe gerade ds f-force Programm am laufen, dass brach nicht zusammen,- mal sehen was bei rumkommt.
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 18:43 Uhr
Nee Ju8ngs hatte leider nix gebracht , das f-force Programm fand zwar was und beseitigte es, dass ers beim zweiten Scan nicht wieder fand aber dennoch sobald ich wieder enie update.exe auf den PC spiele ist sie binnen einer Sekunde wieder weg.
Bitte warten ..
Mitglied: gnarff
04.09.2007 um 20:19 Uhr
Ich hatte Dir ja gesagt, dass wir nicht wissen ob es sich um die originäre Version des Nymex.E handelt oder um eine neue Variante.
Die von Dir verwendeten Tools sind schon etwas älteren Datums.

Weitere Gründe warum eine Desinfizierung scheitern kann:
- Das Betriebssystem Windows 2003 Server wird nicht unterstützt.
- Die Systemwiederherstellung wurde nicht abgeschaltet und nach erfolgter Desinfektion alle alten Wiederherstellungspunkte gelöscht.
- Nach erfolgter Desinfektion wurden die festplatten nicht einem kompletten Scanning unterzogen
- Der Rechner wurde vorher nicht vom Netzwerk getrennt

Hier ist noch ein Tool von Symantec W32.Blackmal@mm Removal Tool das unterstützt auch Windows NT, vllt. hast du damit mehr Glück.
Als letzten Ausweg gibt es noch den Bitdefender Onlinescanner

Ich glaube aber, dass Du besser beraten bist, den Server neu aufzusetzen - wie ich weiter oben schon ausfuehrte und in Zukunft ein besseres Sicherheitsmanagment implementierst.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
04.09.2007 um 22:15 Uhr
Also auch das Norton Programm sagte mir nun, dass er nix gefunden hat.
Naja muss ja was drauf sein, denn wenn im System Dateien fehlen würden, dann wütrden sich ja gewisse Dateien nicht nachwievor automatisch löschen sobald ich sie aufspiele, oder?
Also ist da doch noch noch einer im Spiel
Bitte warten ..
Mitglied: gnarff
05.09.2007 um 00:56 Uhr
Deine letzte Chance vor dem Neu aufsetzen der Servers ist der Bitdefender Onlinescanner, die Links dazu hatte ich ja bereits oben gepostet. Ich habe mich gerade informiert, der unterstützt auch 2003 Server und erkennt alle Varianten dieses Schädlings.
Systemwiederherstellung ausschalten nicht vergessen!

Das von Hand entfernen ist schwierig, der Erfolg kann nicht zu 100% garantiert werden und dauert länger als das Neuaufsetzen eines Servers.
Meine Meinung zu kompromittierten Server- Betriebssystemen hatte ich ja auch schon kundgetan.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
06.09.2007 um 16:41 Uhr
So das Ende vom Lied: Es half nur Neuinstallation

Der Virus wurde nicht entdeckt.
Bitte warten ..
Mitglied: gnarff
06.09.2007 um 17:09 Uhr
Na, habe ich Dir doch gesagt:
Wenn Server befallen, dann Neuinstallation; alles andere ist unverantwortlich.
Da Du nun drei Tage daran herumgebastelt hast, kannst Du das gesamte Netzwerk nun auch noch, Client fuer Client untersuchen. Client, sofern nicht Thin, aus dem Netz nehmen und von Hand die Festplatte durchscannen, Backupserver, Mailserver...na, Du bist ja Angler und hast Geduld.
Petri Heil...

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
06.09.2007 um 17:46 Uhr
Nee habe keine Clienten
Benutze es als Workstation.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
E-Mail "komisch" dargestellt
Frage von ahstaxExchange Server4 Kommentare

Hallo, ich versuche gerade, einem Problem Herr zu werden. Wir bekommen (pgp-verschlüsselte) E-Mails von einem Kontakt. Diese geht unserem ...

Internet Domänen
Microsoft.com wird komisch angezeigt
Frage von ALucaKInternet Domänen4 Kommentare

Hallo zusammen Seit einiger Zeit wird bei einigen unserer Mitarbeiter die Microsoft.com Seite komisch angezeigt (siehe Bild im Anhang). ...

Viren und Trojaner
Zepto Virus
Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Viren und Trojaner
Deviceconfigmanager - Virus- Trojaner?
gelöst Frage von freshman2017Viren und Trojaner4 Kommentare

Liebe Gemeinde, leider plage ich mich gerade mit dem Virus / Trojaner -> deviceconfigmanager .exe herum. Der verschiebt bei ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 8 StundenWindows Server1 Kommentar

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 11 StundenHumor (lol)3 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 14 StundenSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 1 TagInternet4 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware43 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Datenbanken
PHP Fatal error: Uncaught Error: Call to undefined function oci connect
gelöst Frage von PlanitecXDatenbanken22 Kommentare

Hallo Zusammen, ich sitze seit Tagen am Problem das ich keine PHP Anwendung mit Anbindung zu Oracle zum laufen ...

Hardware
PC im Selbstbau, Workstation, mittelklasse Gaming
gelöst Frage von MrRobot1997Hardware21 Kommentare

Hallöchen Leute, ich bin seit einigen Jahren leider nicht mehr wirklich im Bild, wenn es um die Hardware und ...

Windows Server
User auf Server Install-Rechte geben
gelöst Frage von killtecWindows Server17 Kommentare

Hi, ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben. Er soll ...