Hallo Team,


Ich habe momentan das Problem das ich auf meheren Arbeitsstationen in unserem Netzwerk diesesn verdammten Conficker-Wurm habe.

Bei den meißten Rechnern konnte ich durch den MS-Patch die Sicherheitslücke schließen und mit dem Symantec-Tool den Wurm finden und bereinigen.

Allerdings habe ich eine Arbeitsstation die trotz MS-Patch und trotz aktuellem Virenscanner (McAfee) immer wieder infiziert wird oder die Infizierung nicht los wird !?!

Merrkwürdig ist eben das es auf allen anderen Systemen mit meinen oben genannten Patches/Tools funktioniert hat.
Alle Arbeitsstationen laufen mit XP-Pro-SP2 und sind Softwaretechnisch Identisch (Unattended-Installation).
Als Virenscanner kommt der aktuelle McAfee zum Einsatz (leider Gottes erkennt er die Infektion erst im nachhinein -.- )
Das Tool das extra von Symantec bereit gestellt wurde sagt ebenfalls dass das System "clean" ist. Nach einem Neustart und einigen vergangenen Minuten meldet sich allerdings McAfee wieder und zeigt mir Infektionen.

Leider kann ich durch Serverbedingte-Umstände nicht ausschließen das der Wurm weiter in Netzwerk verbreitet wird, allerdings sollte ich doch wenigstens die Sicherheitslücke schließen können und das System bereinigen können ???

Für die Serverbedingten-Umstände benötige ich allerdings auch mal einen langen Sonntag und viel Kaffee und Hirnschmalz...

Währe sehr Dankbar wenn mir jemand hilfreiche Tipps geben könnte.

MfG deReen

Hm,

prüfe auf dem Rechner folgenden Reg.-Eintrag:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\"ServiceDll" = "[PATH OF WORM EXECUTABLE]"

Falls der Registeryeditor nicht aufrufbar sein sollte:
http://securityresponse.symantec.com...UnHookExec.inf
(Runterladen und ausführen)...

Liegt das Teil auf einem freigegebenen Laufwerk im Netz/USB-Stick/Festplatte?

Dann noch die Frage ob das geschäftlich genutzte Rechner sind...?

chris

Hi, erstmal Danke für die schnelle Antwort!

Hab den Regestry-Eintrag so nicht vorhanden,
ab dem Zweig: "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\" gibt es den Zweig - "netsvcs" nicht.

Ein externer Datenträger ist nicht angeschlossen...

Und ja das Problem tritt in unserem Firmennetzwerk auf -.-

Ich hab jetzt noch gelesen das der Wurm an sich sogar die Sicherheitslücke schließt und dem System vorgaukelt das der Patch installiert ist. Somit verhindert er das Eindringen anderer Würmer, kann aber selbst wieder auf das System gelangen, vielleicht liegt ja auch hier das Problem... Aber das ist jetzt auch nur eine Vermutung.

Noch irgendwelche vorschläge?

Hi,

er hat auch die Fähigkeit sich über autorun zu starten, d. h. über alle Laufwerke, Festplatten, Freigaben (Netzwerklaufwerke) etc....

Daher den Rechner mal komplett aus dem Netz nehmen und prüfen/bereinigen/patchen.

Du kannst auch versuchen über einen TCP-Monitor (z. B. TCPView) dahinter zu kommen, wo er das Teil wieder runterzieht (wenn Du ihn wieder ans Netz nimmst).

Prüfe auch mal mit MAM den Rechner um auszuschließen dass bereits was anderes auf dem Rechner "weilt"...

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

TCPView
Anzeige der vom Rechner aufgebauten Internetverbindungen mit Status, Zieladresse etc.
Lege ein Verzeichnis an, entpacke die Dateien in das Verzeichnis und starte dann die
tcpview.exe. Copyright und Co abnicken.
Das Log kann unter "File", "Save as.." abgespeichert werden, in den Editor laden
abkopieren und hier posten.
Download: http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Anleitung: http://www.it-techblog.de/sysinternals-die-besten-utilities-3-tcpview/01/2007/

Weiter Vorschläge können und dürfen wir hier nicht geben, da für "private" Nutzer. Ich glaube Du oder Dein Chef hätte was dagegen, wenn beim Versuch der Bereinigung der Rechner/das Netzwerk zerlegt wird (die Gefahr besteht immerhin)...

Sonst bekomme ich wieder eins von den Sysopts hier übergezogen...
(Und mir fehlen nur noch wenige Punkte zum Rauswurf ;o)...

chris

Also nochmal vielen Dank, auch dafür, dass du mir in nicht privater Hinsicht geholfen hast

Hab das System jetzt anscheinend wirklich clean bekommen.

Erster schritt war die deinstallation des MS-Patches mit deaktiviertem Netzwerkadapter und neu aufspielen des "richtigen" Patches.
Somit kam erstmal kein neuer Shhadcode nach.

Danach ist mir dann in einer log aufgefallen, dass im Autostart eine "svchost" gestartet wird mit einem merkwürdigen generiertem "Befehl?" (Komisch zu erklären--> S4 lbunues;lbunues;c:\windows\system32\svchost.exe -k netsvcs )

Auf jedenfall hab ich dann erstmal die "svchost.exe" über ein command prompt mit einer sauberen svchost ausgetauscht und die "alte" umbenannt.

Daraufhin hab ich mir wie empfohlen Malwarebytes Antimalware runtergeladen, installiert und überprufen lassen und siehe da, die alte "umbenannte" svchost wurde als Malware erkannt und gelöscht.

Vielleicht hilft euch das ja ein wenig bei der nächsten Problembehebung


Beitrag kann nun geschlossen werden.

Vielen Dank, deReen

Hi,

conficker scheint schlauer geworden zu sein:....

netsvcs
aber diesmal als
lbunues

generisch...

chris