donky2000
Goto Top

Seltsamer Virus oder Malware

Guten morgen.
Bei uns im Netzwerk passiert etwas sehr merkwürdiges.
Auf ca. 30% aller Rechner /Server werden im Windows Verzeichnis Exe-Dateien erzeugt oder hingelegt.
Innerhalb einer Woche > 100.
Diese haben das Format einer Zahl und die Endung EXE, also z.B.: 321145.EXE.
Gleichzeitig tragen sich diese Dateien als Dienst ein.
Man kann normal arbeiten, aber der Windows Start verzögert sich sehr lange, da der PC versucht diese Dienste zu starten was aber nicht funktioniert.
Löscht man die Dienste unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ läuft wieder alles.
Der Virenscanner meldet sich nur, wenn das Windowsverzeiohnis im Explorer geöffnet ist. Spybot search&destroy, eset oder Mbam finden nichts.
Kennt das jemand und kann mir helfen?

Schöne Woche
Donky

Content-Key: 353923

Url: https://administrator.de/contentid/353923

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: SeaStorm
SeaStorm 07.11.2017 aktualisiert um 08:56:57 Uhr
Goto Top
Morgen

und was für einen Virus meldet dein Scanner, wenn er sich dann mal meldet?!
Das verhalten zeigen viele Viren.
DU hast echt nerven die Leute weiterarbeiten zu lassen auf den Rechnern.
Alle sofort ausschalten und abstöpseln, bis das Problem geklärt ist.
Und beten das die Backups der Fileserver sicher sind ....
Mitglied: departure69
departure69 07.11.2017 aktualisiert um 08:58:56 Uhr
Goto Top
Hallo.

Bei uns im Netzwerk

Auf ca. 30% aller Rechner /Server

Einen der betreffenden Rechner sofort vom netz nehmen und von außen mit irgendeiner aktuellen Linux-Rettungs-CD/DVD offline durchscannen. Danach weiß Du mehr.

Das Verhalten, das Du beschreibst (auch Deine Beobachtung, daß die Maschinen massiv langsamer werden), klingt nicht normal, und wenn sogar schon Server betroffen sind: Hallelujah!

Ich pers. würde alle betroffenen Kisten sicherheitshalber sofort vom Netzwerk trennen, denn wenn das ein regelrechter Virus-Outbreak im ganzen Netz oder auch nur in Teilen davon ist, hast Du ein richtiges Problem. Lieber einmal großer, falscher Alarm als alles zerstört.

Habt Ihr keinen zentralen Virenschutz?


Viele Grüße

von

departure69
Mitglied: donky2000
donky2000 07.11.2017 um 09:07:06 Uhr
Goto Top
Vielen Dank für die schnelle Antwort.
Der Scanner ist McAfee Vireusscan Enterpride meldet verschiedene Viren, so z.B.: RDN/Generic.grp oder Emotet-FCY.
Die Backups sind alle OK.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.11.2017 um 09:13:15 Uhr
Goto Top
Moin,

Alle Maschinen sofort isolieren und runterfahren, internet kappen und und den Exterminator rufen.

Bis der Da ist, mit desinfect o.ä. alles offline scannen.

Dafür sorgen, das keine Backupmedien überschrieben werden, bzw nur noch neue Medien benutzt werden, Bis geklärt ist, was vorgefallen ist.

lks
Mitglied: keine-ahnung
keine-ahnung 07.11.2017 um 09:39:50 Uhr
Goto Top
Ach Leutz ...,
Ihr seid solche langweiligen Hypochonder und Kontrollfreaks.
Einfach noch 'ne Woche weiterlaufen lassen, dann nochmal die "Exen" zählen! Und jetzt prima Statistiken mit wunderbunten Balken- und Tortendiagrammen für den Chef erstellen - macht immer Eindruck!

LG, Thomas
Mitglied: Hendrik2586
Hendrik2586 07.11.2017 aktualisiert um 09:45:34 Uhr
Goto Top
Also.......mit dem gleichen ### hab ich mich drei Wochen rumgeschlagen.

Also.

1. guck mal in die Dienste deiner Server, da dürfte eine ganze Reihe von Sinnlosen Diensten rum liegen.
2. du müsstest dir mal von Sophos die Endpoint Protection laden, die erkennt den ###. und
3. du wirst um eine Offline Desinfektion nicht rum kommen.

Es handelt sich hier um den so genannten "Bankentrojaner". Hat es eigentlich auf Tan Nummern abgesehen, nervt aber auch ohne diese ganz schön rum. Wenn du Fragen hast kannst dich gerne an mich wenden. Ich bin den ### nämlich endlich wieder los.


Der Generic ### sitzt meist in Windows\SystemWOW64 (bei 64Bit BS)
Mitglied: SeaStorm
SeaStorm 07.11.2017 um 09:53:30 Uhr
Goto Top
da klingt aber einer frustriert face-smile

wäre noch interessant zu wissen wie sich der Spass im Netzwerk ausbreitet um zu wissen, wie man eine weitere Verbreitung /neuinfektion verhindern kann
Mitglied: Hendrik2586
Hendrik2586 07.11.2017 um 09:57:47 Uhr
Goto Top
Zitat von @SeaStorm:

da klingt aber einer frustriert face-smile

wäre noch interessant zu wissen wie sich der Spass im Netzwerk ausbreitet um zu wissen, wie man eine weitere Verbreitung /neuinfektion verhindern kann


SMB Freigaben
Mitglied: donky2000
donky2000 07.11.2017 um 10:21:52 Uhr
Goto Top
Hallo Hendrik2586,
wir haben den Mist schon Wochen.

zu 1: Ja die Unnötigen Dienste sind von mir gelöscht worden, erstellen sich aber wieder neu.
zu 2: Warum die von Sophos?
zu 3: Da steht noch ein alter 2003 Server der das Problem auch hat.Der Server hat nichts zu tun außer einmal im Monat eine Bandsicherung durchzuführen. Im Moment lasse ich eine Linux-Cd von Avira offline drüberlaufen.
Dauert aber wohl noch Stunden.
Ich glaube nicht, daß der Virus von außen kommt, sondern ein Mitarbeiter den "mitgebracht" hat.
Mitglied: Hendrik2586
Hendrik2586 07.11.2017 um 10:28:41 Uhr
Goto Top
Zitat von @donky2000:

Hallo Hendrik2586,
wir haben den Mist schon Wochen.

zu 1: Ja die Unnötigen Dienste sind von mir gelöscht worden, erstellen sich aber wieder neu.
zu 2: Warum die von Sophos?
zu 3: Da steht noch ein alter 2003 Server der das Problem auch hat.Der Server hat nichts zu tun außer einmal im Monat eine Bandsicherung durchzuführen. Im Moment lasse ich eine Linux-Cd von Avira offline drüberlaufen.
Dauert aber wohl noch Stunden.
Ich glaube nicht, daß der Virus von außen kommt, sondern ein Mitarbeiter den "mitgebracht" hat.


Dieser Bankentrojaner kommt zumeist von bereits infizierten Netzwerken und wird per Mail an Adressbücher versendet. Wenn sich da jemand bei dir meldet musst du das Ernst nehmen. Wir haben es auch von außen bekommen. Da war einer wieder zu schnell und hat einfach nen Link angekickt und dann ist das Kind schon in den Brunnen gefallen.

Der Client von Sophos erkennt diesen Trojaner , blockt und löscht ihn! Er verteilt sich so nämlich immer wieder und die Server so wie auch Clients von Windwos XP - Windows 10 haben dann immer wieder die Dienste drin.

Am letzten Samstag hab ich hier die Switche ausgeschalte und jeden Rechner von Hand eingeschaltet, gescannt, bereinigt und nochmal gescannt. Das gleiche mit den Server. Alle Hosts runter gefahren und dann nach und nach wieder hochgefahren, gescannt, bereinigt und nochmal gescannt. Das muss mit jedem Host und jeder VM gemacht werden.

trotzdem ist das bei Clients am Montag wieder aufgetaucht. So hat Sophos das aber immer gemeldet und das es gekillt, so das ich heute eine völlig freie Übersicht habe und sagen kann " ich bin den ### los".
Mitglied: donky2000
donky2000 07.11.2017 um 10:43:58 Uhr
Goto Top
Danke,
der Securepoint Firewall ist nichts aufgefallen.
Kann man da die 30 Tage Sophos Testversion nehmen?
Mitglied: Hendrik2586
Hendrik2586 07.11.2017 um 10:53:03 Uhr
Goto Top
Unserer UTM ist auch nichts aufgefallen und dem SpamTitan auch nicht. Hätte meine Endpoint Security nicht irgendwann angeschlagen...oh je....


Ja die müsste reichen. Einfach mal über einen Server laufen lassen.
Mitglied: donky2000
donky2000 07.11.2017 um 11:21:34 Uhr
Goto Top
Eine Frage noch...
Muss ich die Dienste in der Registry und die Dateien im Windowsverzeichnis vorher löschen oder macht Sophos das?
und vielen Dank noch mal
Mitglied: Hendrik2586
Hendrik2586 07.11.2017 um 11:23:45 Uhr
Goto Top
Zitat von @donky2000:

Eine Frage noch...
Muss ich die Dienste in der Registry und die Dateien im Windowsverzeichnis vorher löschen oder macht Sophos das?
und vielen Dank noch mal


Die Dienste musst du leider per Hand killen, den Rest übernimmt der Client.
Mitglied: donky2000
donky2000 07.11.2017 um 12:02:46 Uhr
Goto Top
Noch eine letzte Frage...
Bei allen Rechnern laufen lassen oder nur bei den infizierten?
Mitglied: Hendrik2586
Hendrik2586 07.11.2017 um 12:11:48 Uhr
Goto Top
Zitat von @donky2000:

Noch eine letzte Frage...
Bei allen Rechnern laufen lassen oder nur bei den infizierten?


Bei wirklich allen Rechnern! Das machst du aber wie gesagt am besten Offline.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 07.11.2017 um 12:54:02 Uhr
Goto Top
So mal eine Frage:
Woher hat der Trojaner die Rechte um am Server Dienste zu installieren?
Mitglied: Hendrik2586
Hendrik2586 07.11.2017 um 13:06:10 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

So mal eine Frage:
Woher hat der Trojaner die Rechte um am Server Dienste zu installieren?


Gute Frage. Dem geht man gerade auf den Grund.
Mitglied: Vision2015
Vision2015 08.11.2017 um 01:11:02 Uhr
Goto Top
moin..
Zitat von @donky2000:

Hallo Hendrik2586,
wir haben den Mist schon Wochen.
und da handelst du erst jetzt ? kaum zu glauben.....

zu 1: Ja die Unnötigen Dienste sind von mir gelöscht worden, erstellen sich aber wieder neu.
klar...
zu 2: Warum die von Sophos?
nun.. alles ist besser als Avira... mein ratschlag Kaspersky... nutze aber auch andere Offline Scanner..
zu 3: Da steht noch ein alter 2003 Server der das Problem auch hat.Der Server hat nichts zu tun außer einmal im Monat eine Bandsicherung durchzuführen. Im Moment lasse ich eine Linux-Cd von Avira offline drüberlaufen.
klar... ein 2003er.... *flöööt**
Dauert aber wohl noch Stunden.
so ist das nun mal...
Ich glaube nicht, daß der Virus von außen kommt, sondern ein Mitarbeiter den "mitgebracht" hat.
glaube ich nicht.. warscheinlich eher mit einer Mail...
ihr solltet mal einen Mail AV anschaffen und alles an Anlagen Filtern, was nicht pdf.. oder nen bild ist filtern..
mein Ratschlag: mach es neu... in der regel wird aus einer halbseidenen virus entfernung ein bummerang!

Frank
Mitglied: Hendrik2586
Hendrik2586 08.11.2017 um 07:03:01 Uhr
Goto Top
Zitat von @Vision2015:

moin..
Zitat von @donky2000:

Hallo Hendrik2586,
wir haben den Mist schon Wochen.
und da handelst du erst jetzt ? kaum zu glauben.....

Kaum zu glauben, ließ sich aber nicht anders regeln. So ist das manchmal.



zu 1: Ja die Unnötigen Dienste sind von mir gelöscht worden, erstellen sich aber wieder neu.
klar...
zu 2: Warum die von Sophos?
nun.. alles ist besser als Avira... mein ratschlag Kaspersky... nutze aber auch andere Offline Scanner..
zu 3: Da steht noch ein alter 2003 Server der das Problem auch hat.Der Server hat nichts zu tun außer einmal im Monat eine Bandsicherung durchzuführen. Im Moment lasse ich eine Linux-Cd von Avira offline drüberlaufen.
klar... ein 2003er.... *flöööt**
Dauert aber wohl noch Stunden.
so ist das nun mal...
Ich glaube nicht, daß der Virus von außen kommt, sondern ein Mitarbeiter den "mitgebracht" hat.
glaube ich nicht.. warscheinlich eher mit einer Mail...
ihr solltet mal einen Mail AV anschaffen und alles an Anlagen Filtern, was nicht pdf.. oder nen bild ist filtern..
mein Ratschlag: mach es neu... in der regel wird aus einer halbseidenen virus entfernung ein bummerang!

Das kam definitiv mit einer Mail. Wenn man da wirklich eine "kalte Behandlung" macht, hat man vielleicht die Chance diesen Bumerang Effekt zu umgehen. Hier hat es sehr gut funktioniert.
Kaspersky haben wir hier zusätzlich im Einsatz gehabt auf einigen Rechnern, der hat leider gar nicht angeschlagen diesbezüglich.


Frank
Mitglied: Vision2015
Vision2015 08.11.2017 um 07:24:51 Uhr
Goto Top
moin..


Kaspersky haben wir hier zusätzlich im Einsatz gehabt auf einigen Rechnern, der hat leider gar nicht angeschlagen diesbezüglich.

da ist ja immernoch die frage welches Kaspersky, und wie wurde es eingerichtet!
ist aber auch egal. denn wenn der user "sehen will" dann wil er "sehen", egal was die software für einen namen hat!

Wenn man da wirklich eine "kalte Behandlung" macht, hat man vielleicht die Chance diesen Bumerang Effekt zu umgehen. Hier hat es sehr gut funktioniert.
das wirst du ja in Zukunft sehen... face-smile

Frank
Mitglied: Hendrik2586
Hendrik2586 08.11.2017 um 08:16:25 Uhr
Goto Top
Zitat von @Vision2015:

moin..


Kaspersky haben wir hier zusätzlich im Einsatz gehabt auf einigen Rechnern, der hat leider gar nicht angeschlagen diesbezüglich.

da ist ja immernoch die frage welches Kaspersky, und wie wurde es eingerichtet!
ist aber auch egal. denn wenn der user "sehen will" dann wil er "sehen", egal was die software für einen namen hat!

Wenn man da wirklich eine "kalte Behandlung" macht, hat man vielleicht die Chance diesen Bumerang Effekt zu umgehen. Hier hat es sehr gut funktioniert.
das wirst du ja in Zukunft sehen... face-smile

Frank


Drücken wir einfach mal die Daumen. ;)
Mitglied: Kraemer
Kraemer 08.11.2017 um 08:51:07 Uhr
Goto Top
Zitat von @donky2000:

Guten morgen.
Bei uns im Netzwerk passiert etwas sehr merkwürdiges.
Das Problem kenne ich! Seit Wochen ist mein Kühlschrank leer, wenn ich nach Hause komme. Einfach leer. Und das obwohl keiner zu Hause gewesen ist. Wenn das in ein paar Wochen noch immer so ist, sollte ich mich vielleicht mal darum kümmern.

Meine Güte, merkst du es noch? Du unterschätzt das Problem völlig! Und dein Wissen reicht nicht im Ansatz, um das Problem in den Griff zu bekommen! Suche (bezahle) jemanden mit Ahnung, der dir helfen kann. Und nimm um Himmels willen die verseuchten Rechner vom Netz.

Gruß
Mitglied: Hendrik2586
Hendrik2586 08.11.2017 um 09:20:05 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @donky2000:

Guten morgen.
Bei uns im Netzwerk passiert etwas sehr merkwürdiges.
Das Problem kenne ich! Seit Wochen ist mein Kühlschrank leer, wenn ich nach Hause komme. Einfach leer. Und das obwohl keiner zu Hause gewesen ist. Wenn das in ein paar Wochen noch immer so ist, sollte ich mich vielleicht mal darum kümmern.

Meine Güte, merkst du es noch? Du unterschätzt das Problem völlig! Und dein Wissen reicht nicht im Ansatz, um das Problem in den Griff zu bekommen! Suche (bezahle) jemanden mit Ahnung, der dir helfen kann. Und nimm um Himmels willen die verseuchten Rechner vom Netz.

Gruß


Du musst echt an deiner Art und Weise Arbeiten.

Jeder hat mal angefangen, auch DU! Wenn ich mir immer für alles prof Hilfe suche und die bezahlen soll dann wäre das Unternehmen bereits pleite. Manche Menschen merken sich auch einfach nicht. Traurig......
Mitglied: Kraemer
Kraemer 08.11.2017 um 09:25:05 Uhr
Goto Top
Zitat von @Hendrik2586:
Wenn ich mir immer für alles prof Hilfe suche und die bezahlen soll dann wäre das Unternehmen bereits pleite.
diese Aussage stimmt nicht einmal bei einer Pommesbude!

Jeder hat mal angefangen, auch DU!
Na klar habe ich auch mal angefangen - ich war aber nicht so blöd und habe mit meinem damaligen Halbwissen Firmen an die Wand gefahren!
Mitglied: Hendrik2586
Hendrik2586 08.11.2017 um 09:46:40 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @Hendrik2586:
Wenn ich mir immer für alles prof Hilfe suche und die bezahlen soll dann wäre das Unternehmen bereits pleite.
diese Aussage stimmt nicht einmal bei einer Pommesbude!

Na wenn du meinst.


Jeder hat mal angefangen, auch DU!
Na klar habe ich auch mal angefangen - ich war aber nicht so blöd und habe mit meinem damaligen Halbwissen Firmen an die Wand gefahren!

Womit fährt er die Firma gegen die Wand? Wäre es jetzt ein Krypter und er hätte keine Sicherung oder irgendwas dann könnte ich die Aussage verstehen, aber so. Na ist auch egal, da braucht man jetzt nicht weiter diskutieren.
Mitglied: Vision2015
Vision2015 08.11.2017 um 10:26:59 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @donky2000:

Guten morgen.
Bei uns im Netzwerk passiert etwas sehr merkwürdiges.
Das Problem kenne ich! Seit Wochen ist mein Kühlschrank leer, wenn ich nach Hause komme. Einfach leer. Und das obwohl keiner zu Hause gewesen ist. Wenn das in ein paar Wochen noch immer so ist, sollte ich mich vielleicht mal darum kümmern.
hm... wo ist deine Frau? face-smile

Meine Güte, merkst du es noch? Du unterschätzt das Problem völlig! Und dein Wissen reicht nicht im Ansatz, um das Problem in den Griff zu bekommen! Suche (bezahle) jemanden mit Ahnung, der dir helfen kann. Und nimm um Himmels willen die verseuchten Rechner vom Netz.
grundsätzlich hast du ja recht... mit viel glück hat er es ja geschaft face-smile

Gruß

Frank
Mitglied: Vision2015
Vision2015 08.11.2017 um 10:37:53 Uhr
Goto Top
Zitat von @Hendrik2586:

Zitat von @Kraemer:

Zitat von @donky2000:

Guten morgen.
Bei uns im Netzwerk passiert etwas sehr merkwürdiges.
Das Problem kenne ich! Seit Wochen ist mein Kühlschrank leer, wenn ich nach Hause komme. Einfach leer. Und das obwohl keiner zu Hause gewesen ist. Wenn das in ein paar Wochen noch immer so ist, sollte ich mich vielleicht mal darum kümmern.

Meine Güte, merkst du es noch? Du unterschätzt das Problem völlig! Und dein Wissen reicht nicht im Ansatz, um das Problem in den Griff zu bekommen! Suche (bezahle) jemanden mit Ahnung, der dir helfen kann. Und nimm um Himmels willen die verseuchten Rechner vom Netz.

Gruß


Du musst echt an deiner Art und Weise Arbeiten.

Jeder hat mal angefangen, auch DU! Wenn ich mir immer für alles prof Hilfe suche und die bezahlen soll dann wäre das Unternehmen bereits pleite. Manche Menschen merken sich auch einfach nicht. Traurig......

das kann ich sooo nicht stehenlassen...
schau mal, dein engagement in allen ehren, aber wenn es um geschäftskritische sachen geht, muss eben an und ab ein Dienstleister mit ran... in deinem Fall geht bzw, ging es um ein logistikproblem! das du alleine in angemessener Zeit nicht alle Server und Clients untersuchen / Neuinstallieren kannst ist klar! das du nicht alles an erfahrung haben kannst auch... nur was sagst du der Firmenleitung, wenn es schiefgeht... Sorry, ich habe mich bemüht es so Kostengünstig wie möglich zu machen, allerdings sind jetzt alle Daten weg bzw. verseucht, incl. aller backups!... das hat schon den einen oder anderen den job gekostet! rede mit deiner Firmenleitung, sag 100 % wie ist ist, und fixiert das schriftlich.... hinterher will eh lkeiner etwas gewust haben...

Frank
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.11.2017 um 10:49:53 Uhr
Goto Top
Zitat von @Hendrik2586:

Zitat von @Kraemer:

Du musst echt an deiner Art und Weise Arbeiten.

Falsch. Man muß dem TO bewußt machen, daß die Forma kurz davor ist, an die Wand zu fahren.


Jeder hat mal angefangen, auch DU!

Jepp. Aber man muß erkennen, wo die eigenen Grenzen sind und sich rechtzeitig Hilfe holen.

Wenn ich mir immer für alles prof Hilfe suche und die bezahlen soll dann wäre das Unternehmen bereits pleite.

So ist es auch bald Pleite.

Manche Menschen merken sich auch einfach nicht.

???

Traurig......

Jo, schon traurig, wenn man die eigenen Grenzen nicht kennt.

lks
Mitglied: Hendrik2586
Hendrik2586 08.11.2017 um 11:53:01 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Hendrik2586:

Zitat von @Kraemer:

Du musst echt an deiner Art und Weise Arbeiten.

Falsch. Man muß dem TO bewußt machen, daß die Forma kurz davor ist, an die Wand zu fahren.


Jeder hat mal angefangen, auch DU!

Jepp. Aber man muß erkennen, wo die eigenen Grenzen sind und sich rechtzeitig Hilfe holen.

Wenn ich mir immer für alles prof Hilfe suche und die bezahlen soll dann wäre das Unternehmen bereits pleite.

So ist es auch bald Pleite.

Manche Menschen merken sich auch einfach nicht.

???

Traurig......

Jo, schon traurig, wenn man die eigenen Grenzen nicht kennt.

lks


Grenzen sind da um überwunden zu werden! Wenn ich das nicht schaffe und das nicht mein Ziel ist dann sollte ich kündigen, ALG2 beantragen und zuhause vor mich her vegetieren.
Mitglied: tuxian
tuxian 08.11.2017 um 13:39:49 Uhr
Goto Top
Warum, ist doch nicht so schlimm. Ist eine gängige Option.
Stell dir vor Du ruinierst eine Firma mit vielen vielen Mitarbeitern.
Was meinst Du wie viele Mitarbeiter Du dann in den Ruin treibst.