11
Sober.AG auf MS-Exchange 2003 Server
Hallo, wir haben folgendes Problem: auf unserem Server (MS2003 SmallBusiness) hatsich offenbar der Sober.AG Virus eingenistet...Unser Virenscanner (Trend-Micro) löscht zwar die ausgehenden Mails, an die der Virus angehängt wird. Es werden aber alle 15 min. neue Mails versendet, der Absender ist einer unserer User. Wobei Mails unter diesem Account auch verschickt werden, wenn dieser User gar nicht anwesend ist, und sein PC ausgeschaltet ist.
Der Virus muß also auf dem Server sitzen. Der Virenscanner findet nichts, auch ein Versuch den Virus manuell zu entfernen brachte keinen Erfolg...Wer kennt eine Lösung für dieses Problem ?
Der Virus muß also auf dem Server sitzen. Der Virenscanner findet nichts, auch ein Versuch den Virus manuell zu entfernen brachte keinen Erfolg...Wer kennt eine Lösung für dieses Problem ?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22024
Url: https://administrator.de/contentid/22024
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
11 Kommentare
Neuester Kommentar
In solchen Fällen:
LAN aus
Dann präparierst Du Dir eine Barts PE Disk, auf die packst Du dann auch eScan:
(ich nutz' dazu ERD-Commander, weil ich ja 'ne Firma hab, die das jede Woche macht...)
Tutorial zu eScan hier
Mit dem scannst Du dann den Server.
Sollte eScan mit aktuellen Signaturen nichts finden, so würde ich mich so weit aus dem Fenster lehnen, und sagen, da isse nix druff.
Dann kannste jeden einzelnen Client durchgehen...
(daß das Spaß macht, hat keiner gesagt...)
Wenn Du dann noch immer nicht fündig geworden bist, melde Dich wieder;
dann kommst Du um professionelle Hilfe nicht rum
(also nix selber rumwurschteln...)
Gruß
ein Dich bedauernder
Lonesome Walker
LAN aus
Dann präparierst Du Dir eine Barts PE Disk, auf die packst Du dann auch eScan:
(ich nutz' dazu ERD-Commander, weil ich ja 'ne Firma hab, die das jede Woche macht...)
Tutorial zu eScan hier
Mit dem scannst Du dann den Server.
Sollte eScan mit aktuellen Signaturen nichts finden, so würde ich mich so weit aus dem Fenster lehnen, und sagen, da isse nix druff.
Dann kannste jeden einzelnen Client durchgehen...
(daß das Spaß macht, hat keiner gesagt...)
Wenn Du dann noch immer nicht fündig geworden bist, melde Dich wieder;
dann kommst Du um professionelle Hilfe nicht rum
(also nix selber rumwurschteln...)
Gruß
ein Dich bedauernder
Lonesome Walker
ich halte es für relativ unwahrscheinlich, daß der Sober.AG Deinen Server infiziert hat, denn dazu hätte jemand auf dem Server den Virus ausführen müssen...
Du kannst ja zur Sicherheit mal den Housecall drüber laufen lassen:
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php
P.S. woher weist Du eigentlich, daß von Eurem Netz aus Viren versendet werden?
Der Sober verwendet eine eigene SMTP-Engine und benötigt zum Versand kein Exchange. Exchange dürfte deshalb von diesem Virus eigentlich gar nichts mitbekommen...
Gruß Christian
Du kannst ja zur Sicherheit mal den Housecall drüber laufen lassen:
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php
P.S. woher weist Du eigentlich, daß von Eurem Netz aus Viren versendet werden?
Der Sober verwendet eine eigene SMTP-Engine und benötigt zum Versand kein Exchange. Exchange dürfte deshalb von diesem Virus eigentlich gar nichts mitbekommen...
Gruß Christian
Bin mir ziemlich sicher, dass unser Server die Viren sendet, denn der Virenscanner meldet die ausgehenden mails und löscht diese auch, weil die Anhänge vom Sober.Ag befallen sind.
Dies geschieht auch dann, wenn alle PCs aus sind und nur der Server läuft !
Dies geschieht auch dann, wenn alle PCs aus sind und nur der Server läuft !
auf dem Server lässt sich der Sober.AG leicht identifizieren:
existiert ein Verzeichnis %windows%\WinSecurity mit folgenden Dateien?
- csrss.exe
- services.exe
- smss.exe
wie der Sober.AG manuell zu entfernen ist, findest Du bei TREND MICRO unter:
http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr ...
P.S. wie ist TREND MICRO auf dem Server eigentlich installiert?
- OfficeScan Client zum Schutz des Servers und
- ScanMail zum Schutz von Exchange?
Der OfficeScan sollte den Virus eigentlich finden und beseitigen können, wenn der Damage Cleanup Service aktuell ist...
Gruß Christian
existiert ein Verzeichnis %windows%\WinSecurity mit folgenden Dateien?
- csrss.exe
- services.exe
- smss.exe
wie der Sober.AG manuell zu entfernen ist, findest Du bei TREND MICRO unter:
http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr ...
P.S. wie ist TREND MICRO auf dem Server eigentlich installiert?
- OfficeScan Client zum Schutz des Servers und
- ScanMail zum Schutz von Exchange?
Der OfficeScan sollte den Virus eigentlich finden und beseitigen können, wenn der Damage Cleanup Service aktuell ist...
Gruß Christian
Das angegebene Verzeichnis existiert nicht. Der Virenscanner ist aktuell. Ein kompletter Scan mit Serverprotect brachte keine Ergebnisse; auch das manuelle Entfernen, wie von TrendMicro beschrieben brachte kein ergebnis, weil die angegebenen Dateien und DLLS auf dem Server nicht vorhanden sind.
Werde heute abend den Server vom Netz trennen, um zu sehen, ob dann auch noch mails mit dem Virus generiert werden.
Gibt es evtl. eine Möglichkeit, den Header einer befallen mail einzusehen um festzustellen, von welcher IP-Adresse die Mails kommen.
Das Problem ist, die mails erscheinen nicht im Gesendet-Ordner, man erkennt nur an den Benachrichtigungen vom Virenscanner, dass eine mail rausgeschickt wurde und diese vom ScanMail gelöscht wurde
Werde heute abend den Server vom Netz trennen, um zu sehen, ob dann auch noch mails mit dem Virus generiert werden.
Gibt es evtl. eine Möglichkeit, den Header einer befallen mail einzusehen um festzustellen, von welcher IP-Adresse die Mails kommen.
Das Problem ist, die mails erscheinen nicht im Gesendet-Ordner, man erkennt nur an den Benachrichtigungen vom Virenscanner, dass eine mail rausgeschickt wurde und diese vom ScanMail gelöscht wurde
Nicht böse sein, was ich jetzt schreibe, aber:
Wie viel Erfahrung hast Du mit Exchange?
Mit Emails?
Im Email-Header erkennt man seeeeeehr viele Dinge, die sicherlich auch zu einer Problem-Lösung führen können...
Daher rate ich Dir, professionelle Hilfe zu Rate ziehen.
Der Exchange ist binnen 2 Stunden auf Herz und Nieren geprüft.
Kostenpunkt sollte hier 500,- ? mit Lösungs-Ansatz/-Weg nicht überschreiten.
(zumindest würde meine Firma so handeln...)
Lonesome Walker
Wie viel Erfahrung hast Du mit Exchange?
Mit Emails?
Im Email-Header erkennt man seeeeeehr viele Dinge, die sicherlich auch zu einer Problem-Lösung führen können...
Daher rate ich Dir, professionelle Hilfe zu Rate ziehen.
Der Exchange ist binnen 2 Stunden auf Herz und Nieren geprüft.
Kostenpunkt sollte hier 500,- ? mit Lösungs-Ansatz/-Weg nicht überschreiten.
(zumindest würde meine Firma so handeln...)
Lonesome Walker
Danke, wir sind selber Profis...
Ich habe schon ca. 20 Exchange Server installiert...
Nicht böse sein, aber es wird leider nichts mit dem Auftrag für deine Firma
Ich habe schon ca. 20 Exchange Server installiert...
Nicht böse sein, aber es wird leider nichts mit dem Auftrag für deine Firma
Zudem ist das Problem hier, das der Header nicht ausgelesen werden kann, da die mails ja sofort vom Virenschanner gelöscht werden....
1. will ich hier definitiv keine Neukunden gewinnen
(hab schon genug Probleme, außerdem war die Summe als Richtwert zu verstehen)
2. kannst Du kein Pro sein, denn wärst Du Pro, würdest Du vielleicht auf die simpelste Idee kommen, mal den Virenscanner abzuschalten, wa?
(und wenn jemand erst ma 20 Exchanges installiert hat, sorry, aber dazu bedarf es wirklich mehr, als nur 20, um Pro zu sein...)
Naja, vielleicht semi...
LSW
PS: Nicht immer gleich vorschnell schreiben, manche Sachen muß man 2x lesen...
(hab schon genug Probleme, außerdem war die Summe als Richtwert zu verstehen)
2. kannst Du kein Pro sein, denn wärst Du Pro, würdest Du vielleicht auf die simpelste Idee kommen, mal den Virenscanner abzuschalten, wa?
(und wenn jemand erst ma 20 Exchanges installiert hat, sorry, aber dazu bedarf es wirklich mehr, als nur 20, um Pro zu sein...)
Naja, vielleicht semi...
LSW
PS: Nicht immer gleich vorschnell schreiben, manche Sachen muß man 2x lesen...
Hi,
falls Du Zugriff auf die C'T Ausgaben vom letzten Jahr hast, such Dir mal die
Ausgaben 18/2005 bzw. 23/2005 raus, da ist jeweils eine bootfähige CD bzw. DVD
mit den wichtigsten Sicherheitstools dabei.
Am betsen nimmst Du den PE Builder aus Ausgabe 23/2005 und erstellst
Dir auf einem gesichert sauberen System ein bootfähiges Windows PE
(entweder XP oder Win 2k3 Server, wie Du willst) und integrierst Dir die
wichtigsten Viren- und Spywarescanner (Spybot S&D, eScan, McAffee Stinger usw.)
in die erstellte Boot-CD.
Damit checkst Du Deinen Server dann mal durch.
Es wäre durchaus möglich, dass der laufende MassMailingWurm die korrekte Arbeit
des installierten Virenscanners einschränkt.
Gruss
cykes
falls Du Zugriff auf die C'T Ausgaben vom letzten Jahr hast, such Dir mal die
Ausgaben 18/2005 bzw. 23/2005 raus, da ist jeweils eine bootfähige CD bzw. DVD
mit den wichtigsten Sicherheitstools dabei.
Am betsen nimmst Du den PE Builder aus Ausgabe 23/2005 und erstellst
Dir auf einem gesichert sauberen System ein bootfähiges Windows PE
(entweder XP oder Win 2k3 Server, wie Du willst) und integrierst Dir die
wichtigsten Viren- und Spywarescanner (Spybot S&D, eScan, McAffee Stinger usw.)
in die erstellte Boot-CD.
Damit checkst Du Deinen Server dann mal durch.
Es wäre durchaus möglich, dass der laufende MassMailingWurm die korrekte Arbeit
des installierten Virenscanners einschränkt.
Gruss
cykes
Nochmal hi,
alternativ kannst Du natürlich auch eine aktuelle Knoppicilin CD verwenden (->Google),
aber mal ne andere Frage, könnte es eventuell sein, dass Euer Exchange nicht 100%
korrekt konfiguriert ist, und dass eventuell ein ausserhalb der Firma laufender Sober.AG
Euren Mailserver als Relay verwendet, sprich ist ein Zugriff von ausserhalb der Firma
auf Euren Exchange möglich?
Gruss
cykes
alternativ kannst Du natürlich auch eine aktuelle Knoppicilin CD verwenden (->Google),
aber mal ne andere Frage, könnte es eventuell sein, dass Euer Exchange nicht 100%
korrekt konfiguriert ist, und dass eventuell ein ausserhalb der Firma laufender Sober.AG
Euren Mailserver als Relay verwendet, sprich ist ein Zugriff von ausserhalb der Firma
auf Euren Exchange möglich?
Gruss
cykes
