Neuer Wurm oder Virus aktiv?

[reyeg 10]

Hallo Leute,

 

wir haben seit gestern bei 2 Leuten die Situation dass Ihr komplettes HomeShare und lokale Partitionen gelöscht worden sind. Nach einer Rücksicherung der Daten wurden sie innerhalb von wenigen Minuten erneut gelöscht.

Unsere Virenscanner finden leider garnichts... :(

Meine Frage ist daher, ob es einen neuen Wurm oder Virus gibt, der von unserer Virensig. noch net erkannt wird?!

 

Gruß

Reyeg :)

[phoenixcp 10]

Werden die lokalen Partitionen auch gelöscht, wenn du die Rechner vom Netz abklemmst?

Viensignatur geupdated?

Welches BS mit welchem SP-Stand?

[reyeg 10]

Hi phoenixcp,

 

BS ist NT4 SP6a

Neueste Virensig. MCAfee

Ich denke dass sich der Virus lokal befindet, da zum Glück sich noch keine anderen User gemeldet haben. Gemappte Laufwerke werden auch gelöscht.

 

Cu Reyeg :)

[agmblp4eh4e 10]

habt ihr mal nen andren virenscanner ausprobiert, ob der was findet ?

[reyeg 10]

Ich hab grad den Stinger.exe am laufen...

Was mich stutzig macht, ist die Tatsache, dass nur 2 PCs "befallen" sind... wenn es nen Wurm wäre, müßten doch so ziemlich ALLE hier "Hurra" schreien, oder?

 

Cu Reyeg :)

[phoenixcp 10]

Hm, schonmal die Eventlogs der Maschinen gecheckt? KLingt irgendwie komisch, welcher "Bekloppte" schreibt denn noch Viren oder ähnliches für NT4? :)

[reyeg 10]

*lol* Es soll noch genug Bekloppte geben *g*

Eventlogs werde ich gleich mal prüfen.

[reyeg 10]

Boah, ich bin hier am verzweifeln.... Eventlogs sind OK.

Jetzt haben wir Daten auf das Homeshare des Users gelegt und ruckizucki sind sie wieder gelöscht..., lokal auf dem Rechner passiert immo nix... ich lasse grad mit dem 3. Scanner nach Viren suchen, schließe aber einen Viren und Wurmbefall lokal aus........

In dem Homeshare habe ich auch schon nach Viren gesucht, ebenfalls ohne Erfolg... :(

 

F1 -> HELP please! :)

 

Cu Reyeg :)

 

PS: Es sind nur die Dateien im jeweiligen Root gelöscht, Ordnerstruktur samt Inhalt sind geblieben.

[humpi 11]

Hi,

auch schon mal in Richtung Trojaner geschaut?

[reyeg 10]

Hi Humpi,

 

habe ich bzw. die Scanner die drüberlaufen sollten Trojaner packen, oder?

 

Cu Reyeg :)

[humpi 11]

Hi reyeg,

 

"Sollten" ist der richtige Ausdruck.

Zusammengefasst heisst das:

- OS ist NT4 SP6a.

- Alle Dateien im Homeverzeichnis auf dem Server werden gelöscht.

- Die lokalen Festplatten werden bei zwei Usern gelöscht. (Dateien oder alles?)

[reyeg 10]

Alles richtig, bis auf die Tatsache dass die Dateien auf den Homeshares (Server W2K) in dem Root gelöscht worden sind. Und bei EINEM User auch lokal Daten gelöscht (nur auf C:\ -> Dateien) worden sind.

 

Hab grad gehört dass jetzt auch Druckermappings betroffen sein sollen... wird immer kryptischer das Ganze :(

[humpi 11]

Hi,

also Server ist W2K, Clients sind NT4. Ist das soweit richtig?

Mappings auf W2K werden gelöscht und Daten auf NT4 bei einem User.

Virenscanner sind drübergelaufen? Auf Server und Client? Welche?

[Egli 10]

Hallo,

ist ja sehr mystisch was da bei dir im Netz abläuft.

Wenn das immer die gleichen Homeshares sind die gelöscht werden, kannst du ja mal schauen ob du die zugriffe auf diese Verzeichnisse überwachst. Nicht das dir da jemand bewusst oder unbewusst einen Streich spielt.

Ich weiß das das abwegig ist, aber dein Problem hört sich auch nicht gerade nach einem konsequent arbeitenden Virus an.

[reyeg 10]

@Humpi,

ja alles richtig.... null ergebnisse von Scans...

Ich will grad mal schauen ob ich mit den Tool: Intrusion Detection Systeme von Securepoint: nuzzler basic von securepoint.de weiterkomme...

 

@Egli

stimmt, geb Dir vollkommen recht und glaube auch net mehr so recht an nen Virus... Problem ist, dass sich nach und nach immer mehr User melden bei denen was aus dem Homeshare gelöscht worden ist.... was wieder für nen Virus sprechen würde.... und jetzt sind auch noch Druckermappings weg....