Viren im Netzwerk erstellen Dienste auf Servern
Hallo,
in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
Ein Problem ist momentan, dass auf den Servern, obwohl diese sauber sind, ständig Dienste erstellt werden die nur aus Zahlen bestehen und auf eine dementsprechende EXE-Datei im Windows Verzeichnis verweisen. diese EXE Datei wird zwar gleich wieder vom AV-Scanner gelöscht aber der Dienst bleibt und man muss den händisch per sc löschen. Ich vermute dass die Viren die administrative Freigaben nutzen. Aber die müssen wohl erhalten bleiben, oder? Und wie kann man die Erstellung des Dienstes verhindern?
Die Server sind 2008R2 und, jetzt bitte nicht gleich schimpfen, ein 2003.
vielen Dank im Voraus für Eure Hilfe
Michael
in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
Ein Problem ist momentan, dass auf den Servern, obwohl diese sauber sind, ständig Dienste erstellt werden die nur aus Zahlen bestehen und auf eine dementsprechende EXE-Datei im Windows Verzeichnis verweisen. diese EXE Datei wird zwar gleich wieder vom AV-Scanner gelöscht aber der Dienst bleibt und man muss den händisch per sc löschen. Ich vermute dass die Viren die administrative Freigaben nutzen. Aber die müssen wohl erhalten bleiben, oder? Und wie kann man die Erstellung des Dienstes verhindern?
Die Server sind 2008R2 und, jetzt bitte nicht gleich schimpfen, ein 2003.
vielen Dank im Voraus für Eure Hilfe
Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393402
Url: https://administrator.de/contentid/393402
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
es hilft dir nichts, du musst alle Rechner vom Netz nehmen und dann entweder offline (also per DVD) scannen, oder direkt neu installieren.
Auch bei den Servern würde ich nicht davon ausgehen das sie sauber sind.
Diese auch mal Offline scannen.
Solange du immer noch einen PC mit dem Trojaner hast, wird der immer wieder versuchen sich weiterzuteilen.
Also, alles herunterfahren und am besten auch Internet trennen, dann kann der Trojaner weniger machen.
VG,
Deepsys
es hilft dir nichts, du musst alle Rechner vom Netz nehmen und dann entweder offline (also per DVD) scannen, oder direkt neu installieren.
Auch bei den Servern würde ich nicht davon ausgehen das sie sauber sind.
Diese auch mal Offline scannen.
Solange du immer noch einen PC mit dem Trojaner hast, wird der immer wieder versuchen sich weiterzuteilen.
Also, alles herunterfahren und am besten auch Internet trennen, dann kann der Trojaner weniger machen.
VG,
Deepsys
Moin,
Falsches Vorgehen. Alles trennen und erst wieder in Betrieb nehmen, wenn das Virus gefunden und entfernt (Neuinstallation oder bekannt virenfreies Backup) wurde. Sonst wirst Du das, wie Du ja siehst, eventuell nie los.
Liebe Grüße
Erik
Zitat von @Toskat:
in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
Falsches Vorgehen. Alles trennen und erst wieder in Betrieb nehmen, wenn das Virus gefunden und entfernt (Neuinstallation oder bekannt virenfreies Backup) wurde. Sonst wirst Du das, wie Du ja siehst, eventuell nie los.
Liebe Grüße
Erik
Moin,
es bleibt dir gar nichts anderes übrig!
Gruß
es bleibt dir gar nichts anderes übrig!
Gruß
Zitat von @Toskat:
Hallo,
in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
Hallo,
in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
Man kann und sollte alle System vom Netz nehmen udn erst wieder reinhängen, wenn die Infektion behoben oder das System neu aufgesetzt ist. Ansonsten werdet Ihr das gleiche Spielchen spielen, das einer meienr kunden vor 15 Jahren mal hatte: Er woltle immer nur eine Rechner nach dem anderen gesäubert haben (nicht mal frisch aufgesetzt), so daß er dann wochenlang mit malware zu kämpfen hatte, weil die Kisten sich dauernd gegenseitig angesteckt haben.
Ein Problem ist momentan, dass auf den Servern, obwohl diese sauber sind, ständig Dienste erstellt werden die nur aus Zahlen bestehen und auf eine dementsprechende EXE-Datei im Windows Verzeichnis verweisen.
Wenn die neue Dienste erstellen lassen, sind die nicht "sauber". Ein AV-Scan ist nur einen malwarebefall bestätigen, aber nciht ausschließen!
diese EXE Datei wird zwar gleich wieder vom AV-Scanner gelöscht aber der Dienst bleibt und man muss den händisch per sc löschen. Ich vermute dass die Viren die administrative Freigaben nutzen.
Ich vermute eher, daß Ihr da ein größeres Problem habt, wen Dienste mit Systemrechten eingerichtet werden können.
Aber die müssen wohl erhalten bleiben, oder? Und wie kann man die Erstellung des Dienstes verhindern?
Kisten vom netz nehmen. Aus (sauberem) Backup wiederherstellen oder frisch aufsetzen und Daten aus Backup einspielen.
Die Server sind 2008R2 und, jetzt bitte nicht gleich schimpfen, ein 2003.
Naja, Da gibt es genügend ungepatchte Sicherheitslücken, daß Ihr die nicht sauber bekommt, solange alle Kisten am Netz bleiben.
Also:
Alles, ja wirklich alles vom Netz nehmen. mit dem Restaurieren der Server anfangen und dann nach und nach die Clients reinhöngen, aber nur die, die man frisch gemacht hat oder wirklich gesäubert hat.
Alles andere wird euch noch Wochen beschäftigen.
lks
PS: ich mußte schon öfter als Dienstleister "Feuerwehr" in solchen Szenarien spielen. Die "Sparsamkeit" des eines Chefs wirkt sich da oft kontraproduktiv aus.
PS: ich mußte schon öfter als Dienstleister "Feuerwehr" in solchen Szenarien spielen. Die "Sparsamkeit" des eines Chefs wirkt sich da oft kontraproduktiv aus.
Tja, da kann man nur sagen das wird dem Chef hoffentlich eine Lehre sein.
Wer an der IT spart (sieht man schon an Serverversionen) wird irgendwann auf die Nase fallen.
Wie schon andere gesagt haben wird man hier um eine größere Downtime mit allen Systemen Offline nehmen nicht herum kommen.
Die Server sollten natürlich generell demnächst ersetzt werden. Ich hoffe das ist schon in Planung.
Server 2003 ist ja wie bekannt schon längst aus dem Life Cycle raus und auch der Server2008R2 wird in circa einem Jahr keinen Support mehr erhalten (14.01.2020).
Moin...
den PC sofort abschalten!
Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
Warum nicht?
erst wenn alle PC´s überprüft worden sind, dürfen sie zurück an´s netz...
alles andere ist blödsinn....
Ein Problem ist momentan, dass auf den Servern, obwohl diese sauber sind, ständig Dienste erstellt werden die nur aus Zahlen bestehen und auf eine dementsprechende EXE-Datei im Windows Verzeichnis verweisen.
ich glaube nicht, das deine Server sauber sind!
diese EXE Datei wird zwar gleich wieder vom AV-Scanner gelöscht aber der Dienst bleibt und man muss den händisch per sc löschen.
Ich vermute dass die Viren die administrative Freigaben nutzen. Aber die müssen wohl erhalten bleiben, oder?
müssen?!?... nein müssen sie nicht!
Und wie kann man die Erstellung des Dienstes verhindern?
rausfinden wo es herkommt!...
alles offline scannen...
Die Server sind 2008R2 und, jetzt bitte nicht gleich schimpfen, ein 2003.
na ja.. den 2003er sollte als erstes vom netz... selbst schuld, sach ich nur!
vielen Dank im Voraus für Eure Hilfe
Michael
Frank
den PC sofort abschalten!
Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
Warum nicht?
erst wenn alle PC´s überprüft worden sind, dürfen sie zurück an´s netz...
alles andere ist blödsinn....
Ein Problem ist momentan, dass auf den Servern, obwohl diese sauber sind, ständig Dienste erstellt werden die nur aus Zahlen bestehen und auf eine dementsprechende EXE-Datei im Windows Verzeichnis verweisen.
diese EXE Datei wird zwar gleich wieder vom AV-Scanner gelöscht aber der Dienst bleibt und man muss den händisch per sc löschen.
Ich vermute dass die Viren die administrative Freigaben nutzen. Aber die müssen wohl erhalten bleiben, oder?
müssen?!?... nein müssen sie nicht!
Und wie kann man die Erstellung des Dienstes verhindern?
rausfinden wo es herkommt!...
alles offline scannen...
Die Server sind 2008R2 und, jetzt bitte nicht gleich schimpfen, ein 2003.
vielen Dank im Voraus für Eure Hilfe
Michael
Beeindruckend!
Und sichert es auch die Daten?
Ich meine, entschlüsselt es die Daten?
linkmailer.de/viren/gandcrab-5-1
Weil die meisten Virenschutzprogramme dies nicht tun!
Und sichert es auch die Daten?
Ich meine, entschlüsselt es die Daten?
linkmailer.de/viren/gandcrab-5-1
Weil die meisten Virenschutzprogramme dies nicht tun!
Moin...
das kann Kaspersky Endpoint Security for Business schon lange sehr!
Frank
Zitat von @Secco04:
Wie hätten das Problem bei einem Kunden.
Wir haben auf allen PCs von sophos das interceptx installiert zusätzlich zum av.
Funktioniert einwandfrei zum eindämmen und auslöschen des viruses und schützt sogar offline (getestet mit ransomware gandcrab 5.0.4.)
Wie hätten das Problem bei einem Kunden.
Wir haben auf allen PCs von sophos das interceptx installiert zusätzlich zum av.
Funktioniert einwandfrei zum eindämmen und auslöschen des viruses und schützt sogar offline (getestet mit ransomware gandcrab 5.0.4.)
das kann Kaspersky Endpoint Security for Business schon lange sehr!
Beeindruckend!
nein Standard...Und sichert es auch die Daten?
ein AV ist kein Backup Programm... warum sollte es Daten sichern?ch meine, entschlüsselt es die Daten?
Weil die meisten Virenschutzprogramme dies nicht tun!
Nein, ist ja auch nicht die Aufgabe des AV Programms....Weil die meisten Virenschutzprogramme dies nicht tun!
Weil die meisten Virenschutzprogramme dies nicht tun!
Frank