In der Schule meiner Freundin ist das Netzwerk befallen.
Angeblich "conficker" ->TR. recycleboot.exe", zumindest so ähnlich.
So meinten die Lehrer dort (also unter vorbehalt)... Ich habe ka. ob das der conficker ist, aber die Verseuchung der Schulrechner ist wohl extrem. Man kann sich vorstellen welche Folgen das hat für die Privatrechner der Schüler, beim sorglosen Umgang mit den USB-sticks....
Ich hab den Zuhause noch gelöscht bekommen...., als meine Freundin nen Stick dabei hatte (für ihren Laptop). Antivir schlug sofort an. gmer etc. findet auch ncihts...
Problem in der Schule ist wohl, dass die das System nicht auf dem neusten Stand haben und es nicht möglich ist Antivirupdates zu machen.

Zitat:

Privatrechner der Schüler, beim sorglosen Umgang mit den USB-sticks....

Das war meine erste Handlung als ich an die Hochschule gekommen bin: Die Autostarts auf allen meinen Rechner abschalten und auf allen Wechseldatenträgern einen autorun.inf Ordner erstellen.
Was da alles als regelrechte Epidemien durchläuft ist echt der Wahnsinn.

Zitat:

Zitat von Robsen84

Problem in der Schule ist wohl, dass die das System nicht auf dem neusten Stand haben und es nicht möglich ist Antivirupdates zu machen.

Zumindest bei uns hat sich Avira Small Business Suite als nutzlos erwiesen. Allerdings ist der Patchlevel auch ziemlich niedrig.

Das einzige wobei wir uns bis dato sicher sind ist, dass Conficker nicht über den Server eingefallen ist - zumindest lässt sich im Gegensatz zu den Clients keine Spur einer Infektion finden.

Hätten wir nicht auf zehn Clients eine Spezialanwendung laufen, deren Installation höchst diffzil ist, würde ich dem Admin raten sofort aufzusetzen. Da wir die Anwendung aber bis nächsten Mittwoch unbedingt benötigen und hier im Haus keiner weiß wie sie installiert wird, werden wir wohl noch alles versuchen.

Marc

Zitat:

Zitat von Robsen84

Angeblich "conficker" ->TR. recycleboot.exe",

Könnte mir denn wer bestätigen, das es sich um eine Form vom Conficker handelt? (Habe leider nicht mehr Information)
Angeblich soll man den recycleboot auf dem Mac löschen können. (Auf den Windows-Rechnern scheint das Ding unsichtbar zu sein.)
Wenn er dann am Windows-Rechner wieder erscheint hat man zumindest die gewissheit das er drauf ist^^.

Zitat:

Zitat von Robsen84

Könnte mir denn wer bestätigen, das es sich um eine Form vom Conficker handelt?

Lade die verdächtige Datei bei Virustotal hoch. Im Netzwerk sind die Auswikrungen sehr eindeutig. Die Serverlogs quillen über, weil die infizierten Clients versuchen sich als Admin (und andere User) einzuloggen. Folge sind deaktivierte Profile. Die Shares sind auch nicht mehr erreichbar, Drucker ebenso wenig. Gmer zeigt einen versteckten Dienst (versteckter Registryeintrag und versteckte DLL).


Bei uns trifft gerade ein Silberstreif auf die Netzhaut (ein Dankeschön an myrtille für den Hinweis mit MBAM).
Wir haben jetzt zwei Teile des Puzzles:
1. Ein Diensteintrag einer DLL (system32-Verzeichnis)
2. Eine GIF-Datei im Verzeichnis

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5
         

Antivir fand die GIF-Datei nur im aktiven System. Beim Scan einer ausgebauten Platte versagte Antivir (anders hingegen MBAM).

Mal schauen, ob wir nun ein System retten können.

Marc

Kurz zur Info:

MBAM hat die Schaddateien gefunden und - nach bisherigem Kenntnisstand - auch erfolgreich gelöscht, was bedeutet, dass ich morgen pünktlich um 18:30 beim Friseur sein kann, während der Administrator die Reste des Gemetzels beseitigt.

Noch ein Hinweis:
Ein nicht gepatchter Rechner ist in einem kompromittierten Netzwerk sofort (< 1 min) infiziert.

Marc

Denkt an die Netzwerkordner und die USB-Dateien (in beiden befinden sich autorun.inf, die die restlichen Rechner infizieren), daher wäre wahrscheinlich auch der Befall bei gepatchten Rechnern früher oder später erfolgt.

Eventuell für die nächste Zeit Autorun (externe medien und vor allem netzwerkordner) deaktivieren... wenn ihr nicht über die Schwachstelle infiziert worden seid, dann war es jemand per USB-Stick... und der Rechner ist sicherlich weiterhin infiziert.
Und dann könnt ihr in einer Woche von vorne anfangen...

lg myrtille

Zitat:

Zitat von %ComSpec%

Noch ein Hinweis:
Ein nicht gepatchter Rechner ist in einem kompromittierten Netzwerk sofort (< 1 min) infiziert.

Man stelle sich das mal vor:
Schule mit 70Pc`s in x<=1min befallen..und ca. 1200 Schülern...

Windows-Virus Conficker - Warten auf den Knall - Computer - sueddeutsche.de

Für Administratoren kleiner Unternehmsnetzwerke (hier < 50 XP-Clients):

Ich möchte an dieser Stelle kurz beschreiben wie wir mit conficker umgegangen sind. Dies ist aber nur eine vorübergehende Lösung, da in einem Unternehmensnetzwerk das rumdoktern an einer derart großflächigen Infektion keine endgültige Lösung sein kann.

1.) Clients vom Netzwerk trennen
Wir haben die Clients direkt an den Switches gekappt. Hat den Vorteil, dass man nicht durchs Haus rennen muss. In Haushalten kann man das einfach am Router erledigen. Trennt man die Rechner nicht vom Netz, versuchen die Clients sich auf allen möglichen anderen Rechnern (Clients und Servern) sich mit dem Usern "Administrator" und dem aktuell angemeldeten User anzumelden (mit über 10 Loginversuchen pro Sekunde). Dieses Störfeuer deaktiviert sämtliche Benutzerkonten auf am dem Domänencontroller und die Eventlogs laufen voll, so dass sich ohne Administratoreingriff auch niemand mehr anmelden kann.

2.) Patchen aller Rechner
Per CD (autorun.inf) haben wir allen aktuellen Patches eingespielt (ein Fehler im Updateserver und fehlende Kontrolle durch den Admin hatten zu einem nicht aktuellen Patchstabnd geführt). MBAM wurde gleich mitinstalliert.

3.) MBAM updaten
Die zu aktualisierenden Clients haben wir wieder temporär an Netz genommen und versucht MBAM mit den neuesten Signaturen zu versorgen. Die hat in etwa 30% aller Fälle nicht geklappt. Die ist bedingt durch die URL-Filterung von conficker (die aber nicht immer aktiv zu sein scheint). Es ist nicht ein "umgepolter" DNS-Servereintrag sondern die Filterung findet auf dem Client statt. Die aktualisierten Clients wurden wieder vomNetz genommen.

4.) Scan und Bereinung mit MBAM
MBAM wurde mit der Option "vollständiger Scan" über alle Laufwerke gestartet. Zwei Funde waren typisch:
Eine Bilddatei im Verzeichnis

Code: Alles auswählenAufklappen

ATTFilter

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
         

sowie eine DLL im Verzeichnis

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32
         

Auf frisch infzierten Systemen war häufig nur die DLL vorhanden. Manchmal fanden wir auch zwei Bilddateien (gif oder bmp)im genannten Ordner.
Neustart und nochmaliger Scan.

Bei Rechnern bei denen ein Onlineupdate von MBAM nicht möglich war, mussten wir die Platte ausbauen und in separaten Rechern mit aktuellen MBAM scannen und bereinigen. Das Updatepaket zum manuellen Aktualisieren von MBAM ist nicht aktuell genug gewesen (erst ab Version 1705 ist eine Bereinigung möglich).

5.) Hinweis
Nimmt man die Clients nicht vom Netz und versucht einen Bereinigung kann man Sisyphos einen Gruß ausrichten. Das Patchen vor der bereinigung bewahrt ebenfalls vor unnötigen Mehrfachbereinigungen. Sämtliche USB-Sticks und Festplatten müssen im Anschluss an die Aktion ebenfalls überprüft werden.
In einem Unternehmensnetzwerk sollte die Vorgehensweise nur angewandt werden um kurzfristig den Betrieb sicherzustellen, wenn vorher keine ausreichenden Maßnahmen für so einen Fall getroffen wurden. Wir werden alle betroffenen Rechner nach und nach neuaufsetzen. Weiterhin möchte ich anmerken, das zwei von unserer etwas hektisch agierenden geschäftleitung herbeigerufene externe Dienstleister uns nur Geld und zeit gekostet habe (aber diese Erfahrung haben wir nicht das erste Mal gemacht).


Marc

Zitat:

Zitat von %ComSpec%

(ein Fehler im Updateserver und fehlende Kontrolle durch den Admin hatten zu einem nicht aktuellen Patchstabnd geführt)

Zitat:

Zitat von %ComSpec%

In einem Unternehmensnetzwerk sollte die Vorgehensweise nur angewandt werden um kurzfristig den Betrieb sicherzustellen, wenn vorher keine ausreichenden Maßnahmen für so einen Fall getroffen wurden.

Gibt es diesen Admin noch?

Wenn ihr Malwarebytes auf all euren Dienstrechnern laufen lasst, würden sich die Programmierer sicher freuen, falls ihr mal über die Corparate Version nachdenkt.

lg myrtille

Zitat:

Zitat von cad

Gibt es diesen Admin noch?

Noch gibt es ihn. Die Schuldzuweisung ist aber nicht so einfach wie sie erscheint. Er weist seit fast einem Jahr auf bestimte Unzulänglichkeiten hin, wird aber immer mit unnötigen Kein-Klein-Geschichten so auf Trab gehalten, dass er kaumu kommt, seiner eigentlichen Ttigkeit - der Administration - nachzukommen. Ich sehe hier den Fehler sowohl bei der GL als auch beim Administrator. Er hat sich nicht mit entsprechendem Nachdruck auf die Hinterbeine gestellt und die GL hat ihn gerne für total belanglosen Krimskrams verheizt.

Marc

PS: Schon wieder den Beitrag editiert

@myrtille:
Wir haben MBAM nur temporär genutzt. Es ist eine schwierige Geschichte, denn man kann nicht jedes Mal wenn der "Hausscanner" versagt, die Lizenzen in die Tonne treten und zu einem anderen wechseln. Avira hat hier komplett versagt, aber wir wissen ja, dass dies jedem Scanner passieren kann. Ich tendiere eher dazu, das Netzwerk zu vernageln anstatt je nach Infektion oder Gefahrenlage den Scanner zu wechseln. Im Herbst laufen unsere Aviralizenzen aus und bis dahin wird das Thema sicherlich diskutiert werden, aber jetzt hops auf MBAM zu wechseln ist nicht zu vertreten (dem Chef auf die Finger zu hauen würde mehr Sicherheit ins Netzwerk bringen).

Danke für die Info.

Zitat:

Zitat von %ComSpec%

Er weist seit fast einem Jahr auf bestimte Unzulänglichkeiten hin, wird aber immer mit unnötigen Kein-Klein-Geschichten so auf Trab gehalten, dass er kaumu kommt, seiner eigentlichen Ttigkeit - der Administration - nachzukommen.

Kleiner Tipp am Rande, immer schriftlich darauf hinweisen und von der GL bestätigen lassen

Zitat:

Zitat von %ComSpec%

PS: Schon wieder den Beitrag editiert

Solange Du nicht anfängst Beiträge zu löschen, ist es doch kein Problem