Wildi 10 Geschrieben 26. Februar 2004 Melden Teilen Geschrieben 26. Februar 2004 Hallo Leute, hab jetzt schon mehr mit dem MyDoom zu tun gehabt, aber hier weiß ich leider nicht mehr weiter. Ein Kunde hatte jede Menge MyDoom's und sonstiges im Netz. Endlich ein Virenscanner und er findet und entfernt auch wunderbar. Auf dem Mailserver (NT 4.0 Server + Exchange 5.5) tümmelt sich der ohne Ende. Halte ich sämtliche Dienste an und lass den Virenscanner rüberrappeln ist zunächst alles in Ordnung. Dann starte ich die Dienste wieder und es geht los. Ca. 100 MyDoom's am Tag. Nach einiger Zeit ist der Server so träge, dass ich die Dienste wieder anhalten muss, den Virenscanner laufen lassen muss und dann den Server wieder neu starte, damit der wieder geht. Was kann ich da tun? Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 26. Februar 2004 Melden Teilen Geschrieben 26. Februar 2004 Hi Ähm Frage... Wie siehts mit ner Mailwall aus? Aber ich denk mal, das brauch ich dir nicht zu sagen - auf das wärst sicher selber auch gekommen :D U.a. TCP Port 1080 sperren? Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 26. Februar 2004 Autor Melden Teilen Geschrieben 26. Februar 2004 So doof ist die Frage gar nicht. Nun, eine Mailwall ist da nicht drauf. Muss ich ir jetzt sagen, wieso??? :D Jedenfalls, Mailwall hin oder her. Es kann doch auch so nicht sein, dass merkwürdigerweise immer auf'm Mailserver der Mydoom ist. Es sind nämlich nicht eingehende Mail, die den haben, sondern repliziert er sich permanent im Temp Verzeichnis neu. Der Virenscanner erkennt ihn zwar dort und macht ihn auch platt. Aber durch diesen Sturm macht er das Ding so träge!!!!!! Es kommt also nicht von außen, sondern muss schon irgendwas im inneren sein Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 26. Februar 2004 Melden Teilen Geschrieben 26. Februar 2004 hm.. kenn mich mit exchange nicht so gut aus. Kanns also z.B. sein dass ein Client im LAN den Virus aussendet... somit den Exchange Server zumüllt? Wenn ja kannst die Clients mal checken bzw. den Exchange Server vom Netz nehmen (kurz) um zu checken ob dann Ruhe ist? Zitieren Link zu diesem Kommentar
004 10 Geschrieben 27. Februar 2004 Melden Teilen Geschrieben 27. Februar 2004 Hi Wildi, ich hatte auch mal eine solche Odyssee mit einem SOBER (wenn mich nicht alles täuscht). Die Removaltools entfernten und entfernten... über drei Tage lang, bis ich schliesslich die Systeme per Hand überprüft habe: Du solltest einmal in der Registry die Zweige HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nach verdächtigen Einträgen durchsuchen. Was da im Falle von MyDOOM steht findest Du bei google oder Symantec. Und der Tipp von dg67 ist ein guter Ansatz, um die Quelle zu lokalisieren. Kann gut sein dass MyDOOM über das lokale Netzwerk oder Netzwerkfreigaben kommt. Wie das allerdings mit der von Dir vermuteten Replizierung ist - keine Ahnung. Grüsse, Torsten Zitieren Link zu diesem Kommentar
Microdemis 10 Geschrieben 27. Februar 2004 Melden Teilen Geschrieben 27. Februar 2004 Heutige Viren bringen i.d.R. ihre eigene SMTP-Engine mit, von daher gehen sie nicht mehr über den Exchange. Daran kann's also nicht liegen - muss aber von Virus zu Virus geprüft werden. Gruss Andre Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 27. Februar 2004 Autor Melden Teilen Geschrieben 27. Februar 2004 Danke Euch, ich werde das mal nächste Woche prüfen. Das die Clients gegen den Server schießen kann ich mir jetzt eher weniger vorstellen. Nachdem ja mein lieber Kunde endlich eingesehen hatte, dass es ohne Virenscanner nicht geht, hab ich mich dran gesetzt und nen Client/Server Virenscanner zu installieren. Hab damit das gesamte Netz (auch die Clients) gecheckt. Ein paar hatten Viren, die auch beseitigt wurden. Waren einfach ein paar Würmer und Macros. Die sind platt. Cheffes Client und der Mailserver sind vom MyDoom betroffen. Da Cheffes Rechner eigentlich nur noch aus Viren bestand, hat der mal ne Neuinstallation gekriegt. Ich gehe daher schwer davon aus, dass die Clients und anderen Server sauber sind. Hab übrigens dort alle möglichen Tools (Stinger und Konsorten) rüberrappeln lassen. Das ist nix mehr. Einzig mein lieber Mailserver. Es kommt mir dort bald so vor, als wäre da ne ganz normale Datei druff, die erst scharf wird, wenn die EX-Dienste gestartet werden und diese Datei schiebt dann den MyDoom ins Temp. Was ganz interessant ist, die infizierten Dateien sind dann produzierte XLS im Temp. So kann ich die gar nicht löschen, weil se angeblich im Zugriff sind. Macht das der Virenscanner, sind diese Dateien wech. Kommt dann wieder ein Angriff, füllt es mir das Temp Verzeichnis. Anfangs hab ich den Scanner so eingestellt, dass er nur den Dateizugriff sperrt, dann dass er infizierte Dateien in einen Quarantäne Ordner verschiebt. Nur diese Einstellungen haben mir ratz fatz die Platte voll gemacht. Mittlerweile steht der Scanner auf Dateien platt machen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.