magicpeter 12 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 (bearbeitet) Moin, ich habe heute eine verdächtige Aufgabe im Aufgabenplaner eines Exchange 2013 CU23 gefunden. Aufgabenplaner Name der Aufgabe: vCZkNJFgm Programm/Script: Powershell Argumente hinzufügen: -c PS_CMD Ich habe die Aufgabe erst mal deaktiviert. Ahja und die Aufgabe sollte jede Stunde ausgeführt werden. Was macht diese Aufgabe? Was ist das für ein Programm -c PS_CMD ? Danke bearbeitet 24. März 2021 von magicpeter Zitieren
tesso 377 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 Ins Blaue, du hast den nächsten angegriffenen Exchange entdeckt. Der Name der Aufgabe macht mich stutzig. -c als Parameter der PS ist mir nicht bekannt. Auch PS_CMD sagt mir nichts. Zitieren
winmadness 79 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 Hallo, es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen. Zitieren
magicpeter 12 Geschrieben 24. März 2021 Autor Melden Geschrieben 24. März 2021 vor 2 Stunden schrieb tesso: Ins Blaue, du hast den nächsten angegriffenen Exchange entdeckt. Der Name der Aufgabe macht mich stutzig. -c als Parameter der PS ist mir nicht bekannt. Auch PS_CMD sagt mir nichts. vor 2 Stunden schrieb winmadness: Hallo, es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen. Danke euch für die infos und den Link. Zitieren
zahni 566 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 Du must den Server und Exchange neu installieren. Zitieren
magicpeter 12 Geschrieben 24. März 2021 Autor Melden Geschrieben 24. März 2021 vor einer Stunde schrieb zahni: Du must den Server und Exchange neu installieren. Ja, ok und wie kriegst du E-Mails von dem infizierten Exchange auf den neue Exchange ohne den zu infizieren? Zitieren
tesso 377 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 Datenbank sichern? Gibt doch genügend Anleitungen dazu. Zitieren
chrismue 99 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 vor 10 Minuten schrieb magicpeter: Ja, ok und wie kriegst du E-Mails von dem infizierten Exchange auf den neue Exchange ohne den zu infizieren? Hier ist eine Anleitung für Exchange 2013 Gruß chrismue 1 Zitieren
magicpeter 12 Geschrieben 24. März 2021 Autor Melden Geschrieben 24. März 2021 Gerade eben schrieb chrismue: Hier ist eine Anleitung für Exchange 2013 Gruß chrismue Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst. Zitieren
tesso 377 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 vor 1 Minute schrieb magicpeter: Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst. Du könntest dich mit den Exploits beschäftigen. Dann kommst du auf eine Lösung. Du schaffst das. 1 Zitieren
cj_berlin 1.401 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 ...indem Du ihn neu installierst? Aus dem Inhalt der Mail-Datenbanken wird er sich vermutlich nicht wieder infizieren, alles andere machst Du platt. 1 Zitieren
Sanches 22 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 vor 2 Minuten schrieb magicpeter: Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst. Hole dir ggf. ext. Unterstützung ins Haus! In solchen Situationen sollte man lieber ein paar Euro in die Hand nehmen und dies machen lassen. Wenn du zig Stunden damit verbrätst und es ggf. nicht dein Tagesgeschäft ist, ist es unterm Strich für alle am effektivsten - schließlich ist deine Zeit auch nicht umsonst. 2 Zitieren
winmadness 79 Geschrieben 24. März 2021 Melden Geschrieben 24. März 2021 vor 3 Stunden schrieb magicpeter: Danke dir, aber die wichtige Frage ist ja wie stelle ich denn sicher das sich der neue Exchange nicht mit der gleichen Malware infiziert? Dann war der ganze Spaß für umsonst. Hallo, es gibt Virenscanner für die Exchagen Datenbanken - z.B. http://GFI Informations Store Protection . Also vor der Neuinstallation die Datenbank scannen und neu aufsetzen. 1 1 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.