Neuer Wurm oder Virus aktiv?

[Egli 10]

Hallo,

sollte sich da bei dir wirklich langsam ein Virus verbreiten, so solltest du mal in der Zwischenzeit die noch nicht befallenen PC vom Netz trennen (soweit dies möglich ist).

[humpi 11]

Hi,

es deutet mehr auf einen Trojaner hin. Lass mal das Tool von Microsoft über den Server laufen.

> http://www.microsoft.com/downloads/ThankYou.aspx?familyId=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displayLang=de

[Fantafisch 10]

Hallo,

 

Start mal einen der "verdächtigen" Rechner im Abgesicherten Modus mit Netzwerktreibern und Besuch mal nacheinander die folgenden Links:

 

http://www.bitdefender.com --> links unten auf den Scan Online Button klicken

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

http://support.f-secure.com/enu/home/ols.shtml

 

Schau mal ob die einzelnen Online Scanner was verdächtiges entdecken.

 

lg

 

Fantafisch

[reyeg 10]

Wollte mal kurz Rückmeldung geben...

Hat bisher alles nichts gebracht, nichts, aber auch garnichts schlägt an... ich versteh es net mehr...

[humpi 11]

Hi,

führt den der Server irgendwelche "Aktionen" aus? Geplante Tasks oder ähnliches.

Eine Möglichkeit wäre noch eine Firewall zu installieren um zu sehen, wer warum auf was zugreift.

Ich hoffe wirklich, das sich da keiner intern einen Scherz erlaubt.

Bin auf die Lösung sehr gespannt.

[reyeg 10]

Mhh... ich glaube net dass es so gut auf dem DC1 ne Firewall zu installieren?!

Tasks werden keine ausgeführt....

....ich bin erst gespannt.... hab mit nem Sniffer auch net wirklich was gefunden, der auch in richtung Trojaner sucht.

 

Bin mal auf morgen gespannt *g* ;)

[humpi 11]

Hi reyeg,

 

das mit der Firewall auf dem DC halte ich auch nicht für eine gute Idee.

Du solltest z.B die Tiny 2.0.15 höchstens auf einem betroffenen Clienten installieren.

[fbeucke 10]

Hi,

 

haben denn alle NT4 bei denen das passiert?

 

 

... glaube langsam echt, dass sich jemand bei Dir einen scherz erlaubt ... :rolleyes:

[Gulp 275]

Mal mit dem RootkitRevealer von sysinterals probieren .... der findet auch gut getarnte Störenfriede.

 

Greetz

 

Gulp

[reyeg 10]

Also die Clients haben alle, bei denen es bisher aufgetreten ist, NT4, aber die Homeshares liegen ja auf dem DC1 und das ist W2K Server.

Ich denke nicht dass es nen Problem mit nem lokalen Client ist.....

 

Ich schaue mir mal den RootkitRevealer an, danke! :)

 

EDIT:

Also, der RootKitRevelaer hat auch kein Ergebnis gebracht.... alles sauber bis auf 3 MCAfee - Einträge, die aber zu vernachlässigen sind.

 

Ich glaube net mehr an nen Wurm/Virus oder Trojaner sondern an nen ScriptKiddie! ;)

[MurphY MacManus 10]

für mich hört sich das ziemlich nach sabotage an...habt ihr den remotezugriff auf dem server?!

ich glaube dass da jemand ziemlich beleidigt ist (warum auch immer) und nach und nach alles per hand löscht

 

peace

MurphY

[reyeg 10]

Ja, per Remote ist möglich und ich glaube auch net mehr an nen Virus oder ähnliches...

Daher meine Frage:

Gibt es ein Tool, womit man auf einem Server sämtliche Aktionen die ausgeführt werden aufgezeichnet sprich protokoliert wird?

 

Gruß

Reyeg :)

[reyeg 10]

Args... jetzt hat sich noch nen User gemeldet..... ich bekomm so langsam die Krise....

[humpi 11]

Hi,

ich weiss nicht genau, ob das in deinem Fall weiterhilft, aber von Sysinternals gibt es einen Filemonitor. Auch findest du dort weitere Tools zur Überwachung.

[reyeg 10]

Hi Humpi,

 

Besten Dank für die Info, ich probiere es gleich mal aus... :)

 

Noch weitere Hilfen?