Gunni75 10 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 hallo, wie geht man am besten vor um einen Domänencontroller remote "Conf*ckererfrei" zu bekommen? THX Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Hallo, wie ist der den drauf gekommen? Ich würde den DC vom Netz nehmen. Wenn nötig (nochmal) sichern und ein Restore vom letzten sauberen Backup machen. Schaue auch mal, ob andere Server/PCs befallen sind. Einfach so Remote ist IMHO nicht zu verantworten. mfg Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Ich würde den DC vom Netz nehmen. Wenn nötig (nochmal) sichern und ein Restore vom letzten sauberen Backup machen. Hi, oder eine Neuinstallation machen, aber erstmal würde ich auch die anderen Rechner und Server überprüfen. Zitieren Link zu diesem Kommentar
Gunni75 10 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 vom netz nehmen geht leider nicht. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 vom netz nehmen geht leider nicht. Dann gefährdest du das Netzwerk weiterhin mit dem kompromittierten System.:cry: Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Dann gibt es keine Möglichkeit. Du kannst auch nicht am offenen Herzen ohne Vollnarkose operieren. Obwohl in diesem Fall eine Neuinstallation nicht unbedingt zu empfehlen ist ;) . -Zahni Zitieren Link zu diesem Kommentar
Gunni75 10 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 vor ort würde ich es genauso tun. nur das problem ist, das der DC in frankfurt/main steht und wir in berlin arbeiten. in frankfurt ist aber keiner vor ort der das problem lösen kann. deshalb meine anfrage ja, ob und wie es möglich sein kann es remote zu lösen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Die Frage wurde beantwortet: Nein. -Zahni Zitieren Link zu diesem Kommentar
tcpip 12 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Hallo, wenn Du ein ILO Board oder etwas vergleichbares hast würde ich mich von dort aufschalten. Das Problem beim Conf..cker ist ja, sobald du dich am System als Admin anmeldest hat er ein Adminkennwort. Also am besten nicht mit dem Domänenadmin und aktivierten Netzwerk anmelden. Das Microsoft MRT kann den Conf..cker teilweise entfernen. Ich musste allerdings mit verschieden Tools arbeiten um betroffende Systeme zu säubern. Dazu gehören: MRT, Stinger, Trend Micro . Eine Liste findest Du hier: http://www.heise.de/security/artikel/Die-Infoseite-zu-Con****er-270120.html Aber wie gesagt, am besten über ein ILO in den abgesicherten Modus und von dort dann die Tools solange laufen lassen bis nichts mehr gefunden wird. Dann die Windowsupdates auf aktuellen Stand bringen, mit diesen wäre dein System auch nicht infiziert! Confi..cker deaktiviert die automatischen Updates und den Intelligenter Hintergrundübertragungsdienst ! Also schauen und wieder aktivieren. Die Anleitungen zum manuellen entfernen durchlesen und das System darauf überprüfen. Und dann einen aktuellen Virenscanner installieren. Tips wie Neuinstallation und das System vom Backup zurückspielen finde ich auch etwas "strange". Es sollte möglich sein das System zu bereinigen ohne den ganzen DC neu machen zu müssen. Einen Scan aller Rechner im Netz solltest du auf jeden Fall machen. Das geht sehr gut mit dem McAfee Con****er Detection Tool. http://www.mcafee.com/us/enterprise/con****ertest.html Viel erfolg tcpip Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 nur das problem ist, das der DC in frankfurt/main steht und wir in berlin arbeiten. Ich dachte Deutschland sei DAS Land der Autobahnen? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Off-Topic:Hallo,wenn Du ein ILO Board oder etwas vergleichbares hast würde ich mich von dort aufschalten. [...]tcpip Wenn er das nicht hat ists kein richtiger Server und kann sowieso platt gemacht werden. Zitieren Link zu diesem Kommentar
werner008 10 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 moin, offline ist schon besser, aber wenns denn unbedingt online sein muss, dreh die administrativen freigaben mit bedacht ab und führ die genannten tools aus - hat mehr schlecht als recht hier und da funktioniert (dc hab ich nie online gemacht weil die eh redundant sind). gruß werner Zitieren Link zu diesem Kommentar
Möchtegern_Berater 10 Geschrieben 17. Januar 2010 Melden Teilen Geschrieben 17. Januar 2010 Kennt ihr schon das "Malicious Software Removal Tool" von Microsoft? http://www.microsoft.com/security/malwareremove/default.aspx Zitat: "The Microsoft Windows Malicious Software Removal Tool checks computers running Windows 7, Windows Vista, Windows XP, Windows 2000, and Windows Server 2003 for infections by specific, prevalent malicious software—including Blaster, Sasser, and Mydoom—and helps remove any infection found. " Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 17. Januar 2010 Melden Teilen Geschrieben 17. Januar 2010 Kennt ihr schon das "Malicious Software Removal Tool" von Microsoft? Nein nie gehört ;) https://www.mcseboard.de/post9-990891.html software—including Blaster, Sasser, and Mydoom—and helps remove any infection found. " Ich hab dir mal was markiert, woran es oftmals scheitert. Du kannst dir nich sicher sein, dass du alles findest. Bye Norbert Zitieren Link zu diesem Kommentar
fummler 10 Geschrieben 16. Februar 2010 Melden Teilen Geschrieben 16. Februar 2010 Hi, mein Bruder arbeitet bei einem international bekannten Hersteller von Anti-Viren-software. In dieser Eigenschaft hatte er mal bei meinem früheren Arbeitgeber den backdoor.win32.servu-based.gen gefunden und analysiert, zusammen mit der Entwicklungsabteilung. Ich bin jetzt zwar nicht der Oberexperte in Sachen Infektionen, jedoch weiß ich von meinem Bruder, daß solche Übeltäter niemals komplett zu entfernen sind. Da werden Registry Einträge umgeschrieben, Dateien ausgetauscht uvm. Wenn eine Infektion stattgefunden hat, dann ist "PUTZEN" die einzig hilfreiche Möglichkeit. Leider! fummler Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.