technicalcare
Goto Top

Sober.AG auf MS-Exchange 2003 Server

Hallo, wir haben folgendes Problem: auf unserem Server (MS2003 SmallBusiness) hatsich offenbar der Sober.AG Virus eingenistet...Unser Virenscanner (Trend-Micro) löscht zwar die ausgehenden Mails, an die der Virus angehängt wird. Es werden aber alle 15 min. neue Mails versendet, der Absender ist einer unserer User. Wobei Mails unter diesem Account auch verschickt werden, wenn dieser User gar nicht anwesend ist, und sein PC ausgeschaltet ist.
Der Virus muß also auf dem Server sitzen. Der Virenscanner findet nichts, auch ein Versuch den Virus manuell zu entfernen brachte keinen Erfolg...Wer kennt eine Lösung für dieses Problem ?

Content-ID: 22024

Url: https://administrator.de/forum/sober-ag-auf-ms-exchange-2003-server-22024.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

16568
16568 20.12.2005 um 15:06:55 Uhr
Goto Top
In solchen Fällen:


LAN aus


Dann präparierst Du Dir eine Barts PE Disk, auf die packst Du dann auch eScan:
(ich nutz' dazu ERD-Commander, weil ich ja 'ne Firma hab, die das jede Woche macht...)

Tutorial zu eScan hier

Mit dem scannst Du dann den Server.

Sollte eScan mit aktuellen Signaturen nichts finden, so würde ich mich so weit aus dem Fenster lehnen, und sagen, da isse nix druff.

Dann kannste jeden einzelnen Client durchgehen...
(daß das Spaß macht, hat keiner gesagt...)


Wenn Du dann noch immer nicht fündig geworden bist, melde Dich wieder;
dann kommst Du um professionelle Hilfe nicht rum
(also nix selber rumwurschteln...)


Gruß

ein Dich bedauernder

Lonesome Walker
ConnecT
ConnecT 27.12.2005 um 11:50:29 Uhr
Goto Top
ich halte es für relativ unwahrscheinlich, daß der Sober.AG Deinen Server infiziert hat, denn dazu hätte jemand auf dem Server den Virus ausführen müssen...

Du kannst ja zur Sicherheit mal den Housecall drüber laufen lassen:
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php

P.S. woher weist Du eigentlich, daß von Eurem Netz aus Viren versendet werden?
Der Sober verwendet eine eigene SMTP-Engine und benötigt zum Versand kein Exchange. Exchange dürfte deshalb von diesem Virus eigentlich gar nichts mitbekommen...

Gruß Christian
technicalcare
technicalcare 27.12.2005 um 12:44:17 Uhr
Goto Top
Bin mir ziemlich sicher, dass unser Server die Viren sendet, denn der Virenscanner meldet die ausgehenden mails und löscht diese auch, weil die Anhänge vom Sober.Ag befallen sind.
Dies geschieht auch dann, wenn alle PCs aus sind und nur der Server läuft !
ConnecT
ConnecT 27.12.2005 um 14:11:45 Uhr
Goto Top
auf dem Server lässt sich der Sober.AG leicht identifizieren:

existiert ein Verzeichnis %windows%\WinSecurity mit folgenden Dateien?
- csrss.exe
- services.exe
- smss.exe

wie der Sober.AG manuell zu entfernen ist, findest Du bei TREND MICRO unter:
http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr ...

P.S. wie ist TREND MICRO auf dem Server eigentlich installiert?
- OfficeScan Client zum Schutz des Servers und
- ScanMail zum Schutz von Exchange?
Der OfficeScan sollte den Virus eigentlich finden und beseitigen können, wenn der Damage Cleanup Service aktuell ist...

Gruß Christian
technicalcare
technicalcare 27.12.2005 um 14:43:55 Uhr
Goto Top
Das angegebene Verzeichnis existiert nicht. Der Virenscanner ist aktuell. Ein kompletter Scan mit Serverprotect brachte keine Ergebnisse; auch das manuelle Entfernen, wie von TrendMicro beschrieben brachte kein ergebnis, weil die angegebenen Dateien und DLLS auf dem Server nicht vorhanden sind.
Werde heute abend den Server vom Netz trennen, um zu sehen, ob dann auch noch mails mit dem Virus generiert werden.

Gibt es evtl. eine Möglichkeit, den Header einer befallen mail einzusehen um festzustellen, von welcher IP-Adresse die Mails kommen.
Das Problem ist, die mails erscheinen nicht im Gesendet-Ordner, man erkennt nur an den Benachrichtigungen vom Virenscanner, dass eine mail rausgeschickt wurde und diese vom ScanMail gelöscht wurde
16568
16568 27.12.2005 um 23:03:12 Uhr
Goto Top
Nicht böse sein, was ich jetzt schreibe, aber:

Wie viel Erfahrung hast Du mit Exchange?
Mit Emails?

Im Email-Header erkennt man seeeeeehr viele Dinge, die sicherlich auch zu einer Problem-Lösung führen können...


Daher rate ich Dir, professionelle Hilfe zu Rate ziehen.
Der Exchange ist binnen 2 Stunden auf Herz und Nieren geprüft.
Kostenpunkt sollte hier 500,- ? mit Lösungs-Ansatz/-Weg nicht überschreiten.
(zumindest würde meine Firma so handeln...)


Lonesome Walker
technicalcare
technicalcare 28.12.2005 um 13:10:15 Uhr
Goto Top
Danke, wir sind selber Profis...
Ich habe schon ca. 20 Exchange Server installiert...
Nicht böse sein, aber es wird leider nichts mit dem Auftrag für deine Firma
technicalcare
technicalcare 28.12.2005 um 13:13:07 Uhr
Goto Top
Zudem ist das Problem hier, das der Header nicht ausgelesen werden kann, da die mails ja sofort vom Virenschanner gelöscht werden....
16568
16568 29.12.2005 um 02:23:06 Uhr
Goto Top
1. will ich hier definitiv keine Neukunden gewinnen
(hab schon genug Probleme, außerdem war die Summe als Richtwert zu verstehen)
2. kannst Du kein Pro sein, denn wärst Du Pro, würdest Du vielleicht auf die simpelste Idee kommen, mal den Virenscanner abzuschalten, wa?
(und wenn jemand erst ma 20 Exchanges installiert hat, sorry, aber dazu bedarf es wirklich mehr, als nur 20, um Pro zu sein...)

Naja, vielleicht semi...


LSW
PS: Nicht immer gleich vorschnell schreiben, manche Sachen muß man 2x lesen...
cykes
cykes 15.01.2006 um 11:02:00 Uhr
Goto Top
Hi,

falls Du Zugriff auf die C'T Ausgaben vom letzten Jahr hast, such Dir mal die
Ausgaben 18/2005 bzw. 23/2005 raus, da ist jeweils eine bootfähige CD bzw. DVD
mit den wichtigsten Sicherheitstools dabei.
Am betsen nimmst Du den PE Builder aus Ausgabe 23/2005 und erstellst
Dir auf einem gesichert sauberen System ein bootfähiges Windows PE
(entweder XP oder Win 2k3 Server, wie Du willst) und integrierst Dir die
wichtigsten Viren- und Spywarescanner (Spybot S&D, eScan, McAffee Stinger usw.)
in die erstellte Boot-CD.
Damit checkst Du Deinen Server dann mal durch.
Es wäre durchaus möglich, dass der laufende MassMailingWurm die korrekte Arbeit
des installierten Virenscanners einschränkt.

Gruss

cykes
cykes
cykes 15.01.2006 um 11:14:42 Uhr
Goto Top
Nochmal hi,

alternativ kannst Du natürlich auch eine aktuelle Knoppicilin CD verwenden (->Google),
aber mal ne andere Frage, könnte es eventuell sein, dass Euer Exchange nicht 100%
korrekt konfiguriert ist, und dass eventuell ein ausserhalb der Firma laufender Sober.AG
Euren Mailserver als Relay verwendet, sprich ist ein Zugriff von ausserhalb der Firma
auf Euren Exchange möglich?

Gruss

cykes