autowolf 12 Geschrieben 22. August 2011 Melden Geschrieben 22. August 2011 Hi, habe einen SBS 2003 bei einem Kunden stehen. Kaspersky ist druf und läuft. Kunde klagt über sehr langsames Internet. Somit habe ich mir das Logging vom Router angeschaut und siehe da: Der Server "spammt" alle paar Sekunden auf 3389 TCP raus, auf wie ich finde willkürlichen IP WAN Adressen. Kaspersky sieht nichts, auch andere Programme, HiJackThis, Spybot etc finden nichts. Habe auch mit GEN (Programm für versteckte Tasks) findet nicht auffälliges. Hat einer eine Idee ? (z.Z. Habe ich den Port für den SBS nach draußen geschlossen. Somit bleibt das Internet schnell) Will den Server nicht neu aufsetzten !!! Zitieren
Dr.Melzer 191 Geschrieben 22. August 2011 Melden Geschrieben 22. August 2011 Wenn der Server von Malware infiziert ist bleibt dir nur neu aufsetzen. Wiederherstellung aus einem Backup fällt auch flach denn das ist wahrscheinlich auch schon infiziert. Wie sagte meine Oma immer: "Nicht zur Strafe, nur zur Übung!" Zitieren
günterf 45 Geschrieben 22. August 2011 Melden Geschrieben 22. August 2011 Hi! Schau mal hier: notfall cd virus - Google-Suche Aber ich würde die Kiste auch neu aufsetzen! Zitieren
XP-Fan 224 Geschrieben 22. August 2011 Melden Geschrieben 22. August 2011 Hi, um das Übel vllt zu identifizieren könnte TCPView / TCPVCON nützlich sein. ->TCPView for Windows Wie aber meine Mod Kollegen schon geschrieben haben, ein System welches kompromitiert wurde ist nicht mehr vertrauenswürdig. Zitieren
iDiddi 27 Geschrieben 22. August 2011 Melden Geschrieben 22. August 2011 Wenn Du pech hast, schlummert dort ein Rootkit der neueren Generation. Das runter zu bekommen ist eine heiden Arbeit. Selbst wenn Du das schaffst (wie in der aktuellen C't im "Tatort: Internet" schön beschrieben), kannst Du Dir dessen nie 100%ig sicher sein ;) Ich hatte vor ein paar Wochen auch schon das Vergnügen mit diesem Biest auf einem Kunden-Laptop. Die Bereinigung hat mich 4 Tage gekostet. Das war das letzte Mal! Ab jetzt wird direkt neu installiert. Falls Du Dich doch für eine Bereinigung entscheidest, schau Dir mal den Avast Rootkit Scanner (BETA!) an. Und denke daran, den MBR neu zu erstellen. Zitieren
autowolf 12 Geschrieben 22. August 2011 Autor Melden Geschrieben 22. August 2011 Links zu unsinnigen Screenshots von Dr.Melzer gelöscht. Bitte tippe die Meldungen ab und poste sie als Text! Zitieren
jarazul 10 Geschrieben 23. August 2011 Melden Geschrieben 23. August 2011 Wer sagt dir, dass der Trojaner nicht über einen anderen Port versucht weiter zu machen? Du kannst jetzt nur reaktiv versuchen die Probleme zu lösen. Proaktives lösen, vom Netz nehmen und neuaufsetzen. Mal im Ernst, der Server einer Anwaltskanzlei versucht per RDP auf andere Systeme zu gelangen und diese zu kompromittieren. Was wirft das für ein Licht auf deinen Kunden und dann auf dich? Zitieren
s_sonnen 20 Geschrieben 23. August 2011 Melden Geschrieben 23. August 2011 Hi autowolf. Will den Server nicht neu aufsetzten !!! Wirst Du aber wohl müssen. Du wirst Dir nie wirklich sicher sein, daß die Maschine sauber ist, ... und Dein Kunde auch nicht. Wie jarazul schon schrieb dürfte es auch kein "werbewirksames" Bild sein wenn der Rechner einer Anwaltskanzlei mit den Maschinen seiner Kontakte "spielen" möchte. Und, weil ich auch 'ne Oma mit Lebensweisheiten für jede Lage hatte: "Besser ein Ende mit Schrecken als ein Schrecken ohne Ende." ciao und 'nen angenehmen Tag M. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.