Ralph## 0 Report post Posted June 27, 2013 Kann ich dann alle Qurantäne löschen (Avicra usw) Share this post Link to post Share on other sites
schrauber 30 Report post Posted June 27, 2013 Alles löschen, in OTL auf den Button Bereinigung drücken . Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 27, 2013 Sind wir fertig?? Share this post Link to post Share on other sites
schrauber 30 Report post Posted June 28, 2013 Wie gesagt, Logs sind sauber, Quarantäne löschen, OTL entfernen. Auf den Rechnern mit SWH diese deaktivieren und aktivieren. Dann die Systeme testen. Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 28, 2013 Hallo zu früh gefreut. Avira hat 4 TR gefunden. Log anbei. OTL läuft schon. Ich fahre jetzt zu dem Kunden. Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 28, 2013 Das war PC Server Hier die neuen OTL logs Share this post Link to post Share on other sites
schrauber 30 Report post Posted June 28, 2013 Ok, das sieht nach einem FileInfector aus, deswegen auch die Re-Infizierung. Da bleibt keine andere Option als alles zu formatieren/Backups zurück zu spielen. Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 28, 2013 Sind Sie sich ganz sicher??? Gibt es keine andere Möglichkeit?? Share this post Link to post Share on other sites
schrauber 30 Report post Posted June 28, 2013 Bei EINEM Privat-Rechner, würde ich es sogar noch versuchen, wobei die Chancen immer schlecht sind. Aber bei einem Server, wo keine oder fast keine Tools laufen (oder mehr kaputt machen als reparieren), zudem noch mit so vielen Clients wo es auch um Datensicherheit geht, nein. Das System ist nicht mehr vertrauenswürdig. Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 28, 2013 Die Dateien sind im User (Default User) versteckt. Hilft da NACHMAL EIN otl Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 28, 2013 Das sehe ich auch so nur mein Kunde nicht. Können wir den Default use auf dem Server nochmals löschen?? Share this post Link to post Share on other sites
schrauber 30 Report post Posted June 28, 2013 Das wird nichts bringen, sie werden sich wieder einnisten wie schon beim ersten Mal. Ist eben ein File-Infector, der infiziert auch legitime andere Dateien. Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 28, 2013 Ich würde es doch gerne versuchen. Was brauchen wir dafür?? Share this post Link to post Share on other sites
schrauber 30 Report post Posted June 28, 2013 Ich muss dringend davon abraten, aber ist ja nicht mein Rechner. Kann man dieses Server-System von Aussen scannen mit Linux oder einer Live-CD? Bitte mal mit dem EEK scanen, mal schauen ob das geht. http://www.emsisoft.de/de/software/eek/ Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 29, 2013 Hallo neues OTL Log Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 29, 2013 EMSi Emergency log Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 29, 2013 Neuer Emsis san Share this post Link to post Share on other sites
schrauber 30 Report post Posted June 29, 2013 C:\WINDOWS\system32\onfserver.dat Und da ist er wieder. Trojan.BAT.Downloader A malicious trojan horse or bot that may represent security risk for the compromised system and/or its network environment Attention! There was a new connection established with a remote IRC Server. Share this post Link to post Share on other sites
Ralph## 0 Report post Posted June 29, 2013 Hallo, znd wie kann man den entdernern Share this post Link to post Share on other sites
schrauber 30 Report post Posted June 29, 2013 Durch formatieren, wie ich es jetzt schon mehrfach angekündigt habe. Server-Systeme sind bei so einem Befall nicht oder fast nicht zu bereinigen. Gerne fixe ich die Datei wieder mit OTL, spätestens morgen ist sie aber wieder da. Share this post Link to post Share on other sites
schrauber 30 Report post Posted August 12, 2013 Dieses Thema scheint erledigt und wird geschlossen. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen. Share this post Link to post Share on other sites