toskat
Goto Top

Viren im Netzwerk erstellen Dienste auf Servern

Hallo,

in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.

Ein Problem ist momentan, dass auf den Servern, obwohl diese sauber sind, ständig Dienste erstellt werden die nur aus Zahlen bestehen und auf eine dementsprechende EXE-Datei im Windows Verzeichnis verweisen. diese EXE Datei wird zwar gleich wieder vom AV-Scanner gelöscht aber der Dienst bleibt und man muss den händisch per sc löschen. Ich vermute dass die Viren die administrative Freigaben nutzen. Aber die müssen wohl erhalten bleiben, oder? Und wie kann man die Erstellung des Dienstes verhindern?

Die Server sind 2008R2 und, jetzt bitte nicht gleich schimpfen, ein 2003.

vielen Dank im Voraus für Eure Hilfe

Michael

Content-Key: 393402

Url: https://administrator.de/contentid/393402

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: Deepsys
Deepsys 21.11.2018 um 09:59:15 Uhr
Goto Top
Hi,

es hilft dir nichts, du musst alle Rechner vom Netz nehmen und dann entweder offline (also per DVD) scannen, oder direkt neu installieren.
Auch bei den Servern würde ich nicht davon ausgehen das sie sauber sind.
Diese auch mal Offline scannen.

Solange du immer noch einen PC mit dem Trojaner hast, wird der immer wieder versuchen sich weiterzuteilen.
Also, alles herunterfahren und am besten auch Internet trennen, dann kann der Trojaner weniger machen.

VG,
Deepsys
Mitglied: erikro
erikro 21.11.2018 um 10:04:17 Uhr
Goto Top
Moin,

Zitat von @Toskat:
in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.

Falsches Vorgehen. Alles trennen und erst wieder in Betrieb nehmen, wenn das Virus gefunden und entfernt (Neuinstallation oder bekannt virenfreies Backup) wurde. Sonst wirst Du das, wie Du ja siehst, eventuell nie los.

Liebe Grüße

Erik
Mitglied: Kraemer
Kraemer 21.11.2018 um 10:05:39 Uhr
Goto Top
Moin,

Zitat von @Toskat:
nur kann man eben nicht alle auf einmal vom Netz nehmen.
es bleibt dir gar nichts anderes übrig!

Gruß
Mitglied: StefanKittel
StefanKittel 21.11.2018 aktualisiert um 10:17:39 Uhr
Goto Top
Hallo,

je länger Du wartest umso teurer und aufwendiger wird das Ganze.
Auch steigt das Risiko dass der Trojaner einen alten Admin-Account oder andere Sicherheitslücke findet und alles, inklusive PCs, Server und Datensicherung, zerstört.

Stefan
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.11.2018 aktualisiert um 12:36:09 Uhr
Goto Top
Zitat von @Toskat:

Hallo,

in unserem Netzwerk ist mindestens ein PC mit Viren verseucht. Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.

Man kann und sollte alle System vom Netz nehmen udn erst wieder reinhängen, wenn die Infektion behoben oder das System neu aufgesetzt ist. Ansonsten werdet Ihr das gleiche Spielchen spielen, das einer meienr kunden vor 15 Jahren mal hatte: Er woltle immer nur eine Rechner nach dem anderen gesäubert haben (nicht mal frisch aufgesetzt), so daß er dann wochenlang mit malware zu kämpfen hatte, weil die Kisten sich dauernd gegenseitig angesteckt haben.

Ein Problem ist momentan, dass auf den Servern, obwohl diese sauber sind, ständig Dienste erstellt werden die nur aus Zahlen bestehen und auf eine dementsprechende EXE-Datei im Windows Verzeichnis verweisen.

Wenn die neue Dienste erstellen lassen, sind die nicht "sauber". Ein AV-Scan ist nur einen malwarebefall bestätigen, aber nciht ausschließen!

diese EXE Datei wird zwar gleich wieder vom AV-Scanner gelöscht aber der Dienst bleibt und man muss den händisch per sc löschen. Ich vermute dass die Viren die administrative Freigaben nutzen.

Ich vermute eher, daß Ihr da ein größeres Problem habt, wen Dienste mit Systemrechten eingerichtet werden können.

Aber die müssen wohl erhalten bleiben, oder? Und wie kann man die Erstellung des Dienstes verhindern?

Kisten vom netz nehmen. Aus (sauberem) Backup wiederherstellen oder frisch aufsetzen und Daten aus Backup einspielen.

Die Server sind 2008R2 und, jetzt bitte nicht gleich schimpfen, ein 2003.

Naja, Da gibt es genügend ungepatchte Sicherheitslücken, daß Ihr die nicht sauber bekommt, solange alle Kisten am Netz bleiben.

Also:

Alles, ja wirklich alles vom Netz nehmen. mit dem Restaurieren der Server anfangen und dann nach und nach die Clients reinhöngen, aber nur die, die man frisch gemacht hat oder wirklich gesäubert hat.

Alles andere wird euch noch Wochen beschäftigen.

lks

PS: ich mußte schon öfter als Dienstleister "Feuerwehr" in solchen Szenarien spielen. Die "Sparsamkeit" des eines Chefs wirkt sich da oft kontraproduktiv aus.
Mitglied: Bem0815
Bem0815 21.11.2018 um 14:56:11 Uhr
Goto Top


PS: ich mußte schon öfter als Dienstleister "Feuerwehr" in solchen Szenarien spielen. Die "Sparsamkeit" des eines Chefs wirkt sich da oft kontraproduktiv aus.

Tja, da kann man nur sagen das wird dem Chef hoffentlich eine Lehre sein.
Wer an der IT spart (sieht man schon an Serverversionen) wird irgendwann auf die Nase fallen.

Wie schon andere gesagt haben wird man hier um eine größere Downtime mit allen Systemen Offline nehmen nicht herum kommen.



Die Server sollten natürlich generell demnächst ersetzt werden. Ich hoffe das ist schon in Planung.

Server 2003 ist ja wie bekannt schon längst aus dem Life Cycle raus und auch der Server2008R2 wird in circa einem Jahr keinen Support mehr erhalten (14.01.2020).
Mitglied: Vision2015
Vision2015 21.11.2018 um 19:08:23 Uhr
Goto Top
Moin...
Zitat von @Toskat:

Hallo,

in unserem Netzwerk ist mindestens ein PC mit Viren verseucht.
den PC sofort abschalten!
Es sind zwar alle Rechner mit Kaspersky Business geschützt aber es ist trotzdem wohl einer durchgekommen. Die PCs werden natürlich einer nach dem anderen durchgecheckt, nur kann man eben nicht alle auf einmal vom Netz nehmen.
Warum nicht?
erst wenn alle PC´s überprüft worden sind, dürfen sie zurück an´s netz...
alles andere ist blödsinn....

Ein Problem ist momentan, dass auf den Servern, obwohl diese sauber sind, ständig Dienste erstellt werden die nur aus Zahlen bestehen und auf eine dementsprechende EXE-Datei im Windows Verzeichnis verweisen.
ich glaube nicht, das deine Server sauber sind!
diese EXE Datei wird zwar gleich wieder vom AV-Scanner gelöscht aber der Dienst bleibt und man muss den händisch per sc löschen.

Ich vermute dass die Viren die administrative Freigaben nutzen. Aber die müssen wohl erhalten bleiben, oder?
müssen?!?... nein müssen sie nicht!
Und wie kann man die Erstellung des Dienstes verhindern?
rausfinden wo es herkommt!...
alles offline scannen...

Die Server sind 2008R2 und, jetzt bitte nicht gleich schimpfen, ein 2003.
na ja.. den 2003er sollte als erstes vom netz... selbst schuld, sach ich nur!

vielen Dank im Voraus für Eure Hilfe

Michael
Frank
Mitglied: Secco04
Secco04 22.11.2018 aktualisiert um 12:45:15 Uhr
Goto Top
Wie hätten das Problem bei einem Kunden.

Wir haben auf allen PCs von sophos das interceptx installiert zusätzlich zum av.
Funktioniert einwandfrei zum eindämmen und auslöschen des viruses und schützt sogar offline (getestet mit ransomware gandcrab 5.0.4.)
Mitglied: Eritrea
Eritrea 19.02.2019 aktualisiert um 15:30:33 Uhr
Goto Top
Beeindruckend!
Und sichert es auch die Daten?
Ich meine, entschlüsselt es die Daten?
linkmailer.de/viren/gandcrab-5-1
Weil die meisten Virenschutzprogramme dies nicht tun!
Mitglied: Secco04
Secco04 19.02.2019 um 19:05:44 Uhr
Goto Top
Leider nicht es erkennt nur relativ schnell sodass nur wenig schaden verursacht wird
Mitglied: Vision2015
Vision2015 20.02.2019 um 04:15:08 Uhr
Goto Top
Moin...
Zitat von @Secco04:

Wie hätten das Problem bei einem Kunden.

Wir haben auf allen PCs von sophos das interceptx installiert zusätzlich zum av.
Funktioniert einwandfrei zum eindämmen und auslöschen des viruses und schützt sogar offline (getestet mit ransomware gandcrab 5.0.4.)

das kann Kaspersky Endpoint Security for Business schon lange sehr!

Beeindruckend!
nein Standard...
Und sichert es auch die Daten?
ein AV ist kein Backup Programm... warum sollte es Daten sichern?
ch meine, entschlüsselt es die Daten?
Weil die meisten Virenschutzprogramme dies nicht tun!
Nein, ist ja auch nicht die Aufgabe des AV Programms....
Weil die meisten Virenschutzprogramme dies nicht tun!

Frank