DC remote Conf*cker free bekommen?

[Gunni75 10]

hallo,

 

wie geht man am besten vor um einen Domänencontroller remote "Conf*ckererfrei" zu bekommen?

 

THX

[Windowsbetatest 10]

Hallo,

 

wie ist der den drauf gekommen?

 

Ich würde den DC vom Netz nehmen. Wenn nötig (nochmal) sichern und ein Restore vom letzten sauberen Backup machen.

 

Schaue auch mal, ob andere Server/PCs befallen sind.

 

Einfach so Remote ist IMHO nicht zu verantworten.

 

mfg

[Necron 71]

  Windowsbetatest schrieb:

Ich würde den DC vom Netz nehmen. Wenn nötig (nochmal) sichern und ein Restore vom letzten sauberen Backup machen.

Hi,

 

oder eine Neuinstallation machen, aber erstmal würde ich auch die anderen Rechner und Server überprüfen.

[Gunni75 10]

vom netz nehmen geht leider nicht.

[Necron 71]

  Gunni75 schrieb:

vom netz nehmen geht leider nicht.

Dann gefährdest du das Netzwerk weiterhin mit dem kompromittierten System.:cry:

[zahni 571]

Dann gibt es keine Möglichkeit. Du kannst auch nicht am offenen Herzen ohne Vollnarkose operieren. Obwohl in diesem Fall eine Neuinstallation nicht unbedingt zu empfehlen ist ;) .

 

-Zahni

[Gunni75 10]

vor ort würde ich es genauso tun.

 

nur das problem ist, das der DC in frankfurt/main steht und wir in berlin arbeiten.

in frankfurt ist aber keiner vor ort der das problem lösen kann.

deshalb meine anfrage ja, ob und wie es möglich sein kann es remote zu lösen.

[zahni 571]

Die Frage wurde beantwortet: Nein.

 

-Zahni

[tcpip 12]

Hallo,

 

wenn Du ein ILO Board oder etwas vergleichbares hast würde ich mich von dort aufschalten.

 

Das Problem beim Conf..cker ist ja, sobald du dich am System als Admin anmeldest hat er ein Adminkennwort. Also am besten nicht mit dem Domänenadmin und aktivierten Netzwerk anmelden.

 

Das Microsoft MRT kann den Conf..cker teilweise entfernen. Ich musste allerdings mit verschieden Tools arbeiten um betroffende Systeme zu säubern.

 

Dazu gehören: MRT, Stinger, Trend Micro . Eine Liste findest Du hier:

 

http://www.heise.de/security/artikel/Die-Infoseite-zu-Con****er-270120.html

 

Aber wie gesagt, am besten über ein ILO in den abgesicherten Modus und von dort dann die Tools solange laufen lassen bis nichts mehr gefunden wird.

Dann die Windowsupdates auf aktuellen Stand bringen, mit diesen wäre dein System auch nicht infiziert! Confi..cker deaktiviert die automatischen Updates und den Intelligenter Hintergrundübertragungsdienst ! Also schauen und wieder aktivieren.

 

Die Anleitungen zum manuellen entfernen durchlesen und das System darauf überprüfen.

Und dann einen aktuellen Virenscanner installieren.

 

Tips wie Neuinstallation und das System vom Backup zurückspielen finde ich auch etwas "strange". Es sollte möglich sein das System zu bereinigen ohne den ganzen DC neu machen zu müssen.

 

Einen Scan aller Rechner im Netz solltest du auf jeden Fall machen. Das geht sehr gut mit dem McAfee Con****er Detection Tool.

 

http://www.mcafee.com/us/enterprise/con****ertest.html

 

Viel erfolg

 

tcpip

[LukasB 10]

  Gunni75 schrieb:

nur das problem ist, das der DC in frankfurt/main steht und wir in berlin arbeiten.

 

Ich dachte Deutschland sei DAS Land der Autobahnen?

[Dukel 461]

Off-Topic:

  tcpip schrieb:

Hallo,

wenn Du ein ILO Board oder etwas vergleichbares hast würde ich mich von dort aufschalten.
[...]

tcpip

Wenn er das nicht hat ists kein richtiger Server und kann sowieso platt gemacht werden.

[werner008 10]

moin,

offline ist schon besser, aber wenns denn unbedingt online sein muss, dreh die administrativen freigaben mit bedacht ab und führ die genannten tools aus - hat mehr schlecht als recht hier und da funktioniert (dc hab ich nie online gemacht weil die eh redundant sind).

 

gruß

werner

[Möchtegern_Berater 10]

Kennt ihr schon das "Malicious Software Removal Tool" von Microsoft?

 

http://www.microsoft.com/security/malwareremove/default.aspx

 

Zitat: "The Microsoft Windows Malicious Software Removal Tool checks computers running Windows 7, Windows Vista, Windows XP, Windows 2000, and Windows Server 2003 for infections by specific, prevalent malicious software—including Blaster, Sasser, and Mydoom—and helps remove any infection found. "

[NorbertFe 2.175]

  DSiN_Berater schrieb:

Kennt ihr schon das "Malicious Software Removal Tool" von Microsoft?

 

Nein nie gehört ;)

https://www.mcseboard.de/post9-990891.html

  Zitat

software—including Blaster, Sasser, and Mydoom—and helps remove any infection found. "

 

Ich hab dir mal was markiert, woran es oftmals scheitert. Du kannst dir nich sicher sein, dass du alles findest.

 

Bye

Norbert

[fummler 10]

Hi,

mein Bruder arbeitet bei einem international bekannten Hersteller von Anti-Viren-software.

In dieser Eigenschaft hatte er mal bei meinem früheren Arbeitgeber den backdoor.win32.servu-based.gen

gefunden und analysiert, zusammen mit der Entwicklungsabteilung.

Ich bin jetzt zwar nicht der Oberexperte in Sachen Infektionen, jedoch weiß ich von meinem Bruder, daß solche Übeltäter niemals komplett zu entfernen sind.

Da werden Registry Einträge umgeschrieben, Dateien ausgetauscht uvm.

Wenn eine Infektion stattgefunden hat, dann ist "PUTZEN" die einzig hilfreiche Möglichkeit.

Leider!

fummler