Trojanerbefall auf W2003 R2 SERVER

[Ralph## 0]

Kann ich dann alle Qurantäne löschen (Avicra usw)

[schrauber 30]

Alles löschen, in OTL auf den Button Bereinigung drücken .

[Ralph## 0]

Sind wir fertig??

[schrauber 30]

Wie gesagt, Logs sind sauber, Quarantäne löschen, OTL entfernen. Auf den Rechnern mit SWH diese deaktivieren und aktivieren.

Dann die Systeme testen.

[Ralph## 0]

Hallo

 

zu früh gefreut.

 

Avira hat 4 TR gefunden.

 

Log anbei.

 

OTL läuft schon.

 

Ich fahre jetzt zu dem Kunden.

 

 

[Ralph## 0]

Das war PC Server

 

Hier die neuen OTL logs

 

[schrauber 30]

Ok,

das sieht nach einem FileInfector aus, deswegen auch die Re-Infizierung. Da bleibt keine andere Option als alles zu formatieren/Backups zurück zu spielen.

[Ralph## 0]

Sind Sie sich ganz sicher???

 

Gibt es keine andere Möglichkeit??

[schrauber 30]

Bei EINEM Privat-Rechner, würde ich es sogar noch versuchen, wobei die Chancen immer schlecht sind. Aber bei einem Server, wo keine oder fast keine Tools laufen (oder mehr kaputt machen als reparieren), zudem noch mit so vielen Clients wo es auch um Datensicherheit geht, nein. Das System ist nicht mehr vertrauenswürdig.

[Ralph## 0]

Die Dateien sind im User (Default User) versteckt.

 

Hilft da NACHMAL EIN otl

[Ralph## 0]

Das sehe ich auch so nur mein Kunde nicht.

 

Können wir den Default use auf dem Server nochmals löschen??

[schrauber 30]

Das wird nichts bringen, sie werden sich wieder einnisten wie schon beim ersten Mal. Ist eben ein File-Infector, der infiziert auch legitime andere Dateien.

[Ralph## 0]

Ich würde es doch gerne versuchen.

 

Was brauchen wir dafür??

[schrauber 30]

Ich muss dringend davon abraten, aber ist ja nicht mein Rechner.

Kann man dieses Server-System von Aussen scannen mit Linux oder einer Live-CD? Bitte mal mit dem EEK scanen, mal schauen ob das geht.

http://www.emsisoft.de/de/software/eek/

[Ralph## 0]

Hallo

 

neues OTL Log

[Ralph## 0]

Nochmal

[Ralph## 0]

EMSi Emergency log

[Ralph## 0]

Neuer Emsis san

[schrauber 30]

C:\WINDOWS\system32\onfserver.dat

 

Und da ist er wieder.

 

Trojan.BAT.Downloader

A malicious trojan horse or bot that may represent security risk for the compromised system and/or its network environment

Attention! There was a new connection established with a remote IRC Server.

 

[Ralph## 0]

Hallo,

 

znd wie kann man den entdernern

[schrauber 30]

Durch formatieren, wie ich es jetzt schon mehrfach angekündigt habe. Server-Systeme sind bei so einem Befall nicht oder fast nicht zu bereinigen. Gerne fixe ich die Datei wieder mit OTL, spätestens morgen ist sie aber wieder da.

[schrauber 30]

Dieses Thema scheint erledigt und wird geschlossen.

Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.