| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Malware auf Server?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.03.2013, 20:16
| #1 |
 |  Malware auf Server? Hallo zusammen, ich habe eine Umgebung mit einigen Clients und einem Windows Server 2008 R2. Alle Maschinen sind mit Symantec Endpoint Protection geschützt und es werden servergespeicherte Profile eingesetzt. Am Freitag gab es auf einem Client Virenwarnungen. Es wurden unter anderem verdächtige Dateien im Ordner Anwendungsdaten gefunden. Da sich der Ordner am Server befindet, habe ich in der Schattenkopie vom Vortag den Inhalt überprüft und die gefundenen Objekte waren auch schon hier vorhanden. Als ich die Details einer der Dateien überprüft habe, hat Symantec Alarm geschlagen. Später fand ich in der Ereignisanzeige/Anwendung unmittelbar nach diesem Ereignis 6 Einträge vom Microsoft-Windows-RestartManager, der normalerweise einen Neustart initiiert. Bei Bedarf kann ich gerne die Details posten. Es wurde jedoch kein Neustart durchgeführt. Die Einträge habe mich verunsichert, denn ich habe bewusst die Datei nicht doppelt angeklickt, sondern nur markiert, um mir die Eigenschaften anzuschauen. Ich habe folgende Schritte unternommen: - Scannen mit Symantec Endpoint Protection, TDSSKiller, Malwarebytes Anti-Rootkit und McAfee Labs Stinger - Überprüfung der Autostart sowie Run Einträge - Überprüfung der Administrator und Windows Temp Ordner mit eingeblendeten geschützten Systemdateien - Überprüfung der Dienste - Überprüfung der laufenden Prozesse im Taskmanager Es wurde/Ich habe nichts Auffälliges gefunden, was natürlich nicht heißen muss. Mit weiteren Tools wie MBAM habe ich mich nicht getraut, das sich um einen Server handelt und wollte erstmal bei euch fachliche Meinung einholen. Ich habe seit dem Vorfall den Server nicht neu gestartet, falls der Restart doch von der Malware angestoßen wurde, um schlimmeres zu verhindern. Hier ist der Eintrag von Symantec aus der Ereignisanzeige, als ich die Datei markierte: Security Risk Found!Trojan.Gen.2 in File: \Device\HarddiskVolumeShadowCopy47\XXX\UserData\XXX\Anwendungsdaten\KB00205287.exe by: Auto-Protect scan. Action: Clean failed : Quarantine failed : Access denied. Action Description: The file was left unchanged. Sie konnte logischerweise nicht gelöscht werden, da die Schattenkopien mit "read only" Rechten ausgestattet sind. Wenn noch weitere Infos oder Details zu den Funden am Client benötigt werden, reiche ich diese nach. Vielen Dank im Voraus für euren Input. Rainer |
| Themen zu Malware auf Server? |
| administrator, alarm, autostart, clean, dateien, doppelt, euren, failed, folge, gelöscht, hallo zusammen, malware, malwarebytes, mbam, mcafee, nichts, ordner, prozesse, scan, scannen, server, symantec, temp, tools, windows |
Baum-Darstellung