damopsi
Goto Top

Netzwerk verseucht - Conficker.B - Wurm

Hallo Zusammen,

wie ihr dem Beitragtitel bereits entnehmen könnt, haben wir in unserem Netzwerk das
Problem, dass auf vielen Clients und auch Servern der Conficker.B-Wurm sich eingenistet hat.

Kurz zu unserem Netzwerk:

ca. 80 Clients (XP, 7)
25 Server (Server 2003, Server 2008)

Auf allen Clients ist eine aktuelle Version des Avast-Antivirenscanner der zentral gesteuert wird vorhanden.
Alle aktuellen Patches und Updates sind vom WSUS auf allen Clients und Servern aufgespielt.
Firewall ist überall aktiv und hat nur geringe Ausnahmen für diverse Programme etc.

Anleitungen wie z.b. http://blogs.technet.com/b/gerhardg/archive/2009/01/14/entfernen-von-co ... konnten mir nicht weiterhelfen.


Habt ihr das Problem auch schon gehabt? Wie habt ihr es gelöst?
Auf Aussagen wie z.b. das ganze Netzwerk komplett neu zu installieren, bitte Abstand nehmen face-smile

Content-ID: 173510

Url: https://administrator.de/forum/netzwerk-verseucht-conficker-b-wurm-173510.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

SlainteMhath
SlainteMhath 22.09.2011 um 11:21:25 Uhr
Goto Top
Moin,

1. Alle Switches aus!
2. Etsprechenden Patch von MS installieren (KB958644 müsste das sein)
3. Auf allen Rechner ein Removal Tool laufen lassen (gibts z.b. von Symantec)
4. Alle(!!) USB sticks formatieren (am besten unter Linux)

2+3 sollten von CD-ROM gestartet werden

/EDIT: und 5. Schnellstmöglich eine andere AV Soft beschaffen face-smile

lg,
Slainte
DerWoWusste
DerWoWusste 22.09.2011 um 11:25:23 Uhr
Goto Top
Moin.

6. Für die Zukunft autoplay (für Wechselmedien) auf den Rechnern deaktivieren! Bei xp ist das noch an per Default.
7. Analysieren, was falsch gelaufen ist und hart durchgreifen. Sowas darf nicht passieren.
pieh-ejdsch
pieh-ejdsch 22.09.2011 um 11:26:40 Uhr
Goto Top
moin,

es gibt ein Artikel über weitere Massnahmen bei MS.

Gruß Phil
Ravers
Ravers 22.09.2011 um 11:41:32 Uhr
Goto Top
Leider kenne ich das Problem face-sad
Auch unser Virenscanner konnte damals mit dem nix anfangen! (F-Secure)

Ich konnte unser Netzwerk mit KK (KK Tool bei google suchen) wieder säubern. Andere Programme waren nicht so zuverlässig. Bei KK die Schalter ansehen!

Es gibt auch einen Netzwerkscanner, der das Netzwerk nach infizierten Rechnern sucht, leider weiß ich nicht mehr den Namen.

Teuteuteu .. mich hat er lange beschäftigt.

Ich habs so gemacht, Switche aus, abgesicherter Modus und KK laufen lassen, Patches einspielen. Dennoch kam er ab und an wieder, jedoch fehlt mir auch ne Übersicht aller USB-Sticks. Der Conficker kommt ja meist vom USB-Stick. Mittlerweile ist Ruhe.

Have fun .. face-smile

Greetz
ravers
Skyemugen
Skyemugen 22.09.2011 um 11:48:36 Uhr
Goto Top
Zitat von @Ravers:
Ich konnte unser Netzwerk mit KK (KK Tool bei google suchen) wieder säubern

Du meinst den KidoKiller von Kaspersky, right?
Ravers
Ravers 22.09.2011 um 11:50:51 Uhr
Goto Top
Right!!

face-smile

greetz
ravers
16568
16568 22.09.2011 um 12:00:08 Uhr
Goto Top
Zitat von @Ravers:
Dennoch kam er ab und an wieder,

Dann sollte man:

a) Autorun deaktivieren, und
b) Systemwiederherstellung auch deaktivieren


Lonesome Walker
cardisch
cardisch 22.09.2011 um 12:10:38 Uhr
Goto Top
Hallo,

ich habe dazu das COnficker-Detection Tool benutzt, das war schnell und zuverlässig.
Aber ein Netzwerkskan bei einem im Netzwerk aktiven Virus... Ich gebe zu, auch mir ist heute noch nicht gut bei der Sache zumute.
Zum schnellen und zuverlässigen Aufspüren per Turnschuh gibt es von Micorsoft das "tool zum aufspüren bösartiger Software".
Da läuft, so weit ich mich erinnere, auch im abgesicherten MOdus ohne Netzwerkzugriff. Muss man aber von CD/DVD oder einem schreibzuschützenden USB-Stick installieren.
Aber auch bei mir (damals waren wir virenscannerlos,jetzt Avira Pro) kommt der ab und an wieder ;-(
Sieht man aber nur anhand der LOGS..

Gruß

Carsten
Ravers
Ravers 22.09.2011 um 13:24:24 Uhr
Goto Top
Das macht das KK-Tool (je nach Schalter) automatisch. Denke eher das es schwierig ist in einer gewachsenen Umgebung ohne große Sicherheit die USB-Sticks ALLE zu kontrollieren. Kameras und Co. gehören dazu.

So einfach ist der "Kerl" nicht in den Griff zu bekommen. Jeder der das Problem schon hatte, hat sicherlich viele Forenbeiträge mit Lösungen gefunden. Aber kein Beitrag, zumindest die ich gefunden habe, der die goldenen Lösung bietet.

Hab so ziemlich alles gemacht. Auch gesäubert, nachdem alle Patches installiert wurden (auch die speziellen ConfickerUpdates) kam er trotzdem wieder.
Auch wenn ich mind. 3 Tools zum entfernen genutzt habe!

So long ...
mrtux
mrtux 23.09.2011 um 06:07:51 Uhr
Goto Top
Hi !

Zitat von @Ravers:
So einfach ist der "Kerl" nicht in den Griff zu bekommen. Jeder der das Problem schon hatte, hat sicherlich viele

Der Aussage stimme ich nicht so ganz umfänglich zu. Das Wichtigste ist die Systeme (und dort nicht nur das OS!) aktuell zu halten. Wenn man bei dem Thema schludert, dann fangen die Probleme an. Man muss sich entweder (quasi immer im Voraus) die Mühe machen und peinlichst darauf achten, dass die Systeme gepatcht sind oder man hat halt dann hinterher die Mühe mit der Entfernung der Malware oder dem Einspielen vom Images....Und eigentlich gilt das für jede Malware, denn es gab auch schon zu DOS Zeiten Malware, die sich über das lokale Netzwerk verbreiten konnte, das Problem ist also eigentlich uralt. Seit ich da vor vielen Jahren selbst mal so richtig auf die Schnauze gefallen bin und mir das richtig Ärger bei einem Kunden eingebracht hatte, achte ich peinlichst darauf alle Systeme (ja, auch Linux!) immer aktuell zu halten und das auch mal stichprobenartig bei unseren Vor-Ort Terminen zu prüfen. Das ist viel Arbeit, keine Frage aber entweder so oder halt mit der Gefahr eines Befalls. Wobei ich natürlich (oder hoffentlich) nicht naiv bin und mir schon klar ist, dass es 100%ige Sicherheit nie geben kann...

mrtux