autowolf 12 Geschrieben 22. August 2011 Melden Teilen Geschrieben 22. August 2011 Hi, habe einen SBS 2003 bei einem Kunden stehen. Kaspersky ist druf und läuft. Kunde klagt über sehr langsames Internet. Somit habe ich mir das Logging vom Router angeschaut und siehe da: Der Server "spammt" alle paar Sekunden auf 3389 TCP raus, auf wie ich finde willkürlichen IP WAN Adressen. Kaspersky sieht nichts, auch andere Programme, HiJackThis, Spybot etc finden nichts. Habe auch mit GEN (Programm für versteckte Tasks) findet nicht auffälliges. Hat einer eine Idee ? (z.Z. Habe ich den Port für den SBS nach draußen geschlossen. Somit bleibt das Internet schnell) Will den Server nicht neu aufsetzten !!! Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 22. August 2011 Melden Teilen Geschrieben 22. August 2011 Wenn der Server von Malware infiziert ist bleibt dir nur neu aufsetzen. Wiederherstellung aus einem Backup fällt auch flach denn das ist wahrscheinlich auch schon infiziert. Wie sagte meine Oma immer: "Nicht zur Strafe, nur zur Übung!" Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 22. August 2011 Melden Teilen Geschrieben 22. August 2011 Hi! Schau mal hier: notfall cd virus - Google-Suche Aber ich würde die Kiste auch neu aufsetzen! Zitieren Link zu diesem Kommentar
XP-Fan 219 Geschrieben 22. August 2011 Melden Teilen Geschrieben 22. August 2011 Hi, um das Übel vllt zu identifizieren könnte TCPView / TCPVCON nützlich sein. ->TCPView for Windows Wie aber meine Mod Kollegen schon geschrieben haben, ein System welches kompromitiert wurde ist nicht mehr vertrauenswürdig. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 22. August 2011 Melden Teilen Geschrieben 22. August 2011 Wenn Du pech hast, schlummert dort ein Rootkit der neueren Generation. Das runter zu bekommen ist eine heiden Arbeit. Selbst wenn Du das schaffst (wie in der aktuellen C't im "Tatort: Internet" schön beschrieben), kannst Du Dir dessen nie 100%ig sicher sein ;) Ich hatte vor ein paar Wochen auch schon das Vergnügen mit diesem Biest auf einem Kunden-Laptop. Die Bereinigung hat mich 4 Tage gekostet. Das war das letzte Mal! Ab jetzt wird direkt neu installiert. Falls Du Dich doch für eine Bereinigung entscheidest, schau Dir mal den Avast Rootkit Scanner (BETA!) an. Und denke daran, den MBR neu zu erstellen. Zitieren Link zu diesem Kommentar
autowolf 12 Geschrieben 22. August 2011 Autor Melden Teilen Geschrieben 22. August 2011 Links zu unsinnigen Screenshots von Dr.Melzer gelöscht. Bitte tippe die Meldungen ab und poste sie als Text! Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 23. August 2011 Melden Teilen Geschrieben 23. August 2011 Wer sagt dir, dass der Trojaner nicht über einen anderen Port versucht weiter zu machen? Du kannst jetzt nur reaktiv versuchen die Probleme zu lösen. Proaktives lösen, vom Netz nehmen und neuaufsetzen. Mal im Ernst, der Server einer Anwaltskanzlei versucht per RDP auf andere Systeme zu gelangen und diese zu kompromittieren. Was wirft das für ein Licht auf deinen Kunden und dann auf dich? Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 23. August 2011 Melden Teilen Geschrieben 23. August 2011 Hi autowolf. Will den Server nicht neu aufsetzten !!! Wirst Du aber wohl müssen. Du wirst Dir nie wirklich sicher sein, daß die Maschine sauber ist, ... und Dein Kunde auch nicht. Wie jarazul schon schrieb dürfte es auch kein "werbewirksames" Bild sein wenn der Rechner einer Anwaltskanzlei mit den Maschinen seiner Kontakte "spielen" möchte. Und, weil ich auch 'ne Oma mit Lebensweisheiten für jede Lage hatte: "Besser ein Ende mit Schrecken als ein Schrecken ohne Ende." ciao und 'nen angenehmen Tag M. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.