Trojaner-Board - Nemucod-Fund auf Qnap-NAS mit Virenprogramm

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)

- - Nemucod-Fund auf Qnap-NAS mit Virenprogramm - was tun? (https://www.trojaner-board.de/194099-nemucod-fund-qnap-nas-virenprogramm-tun.html)

mw1972

14.12.2018 18:03

Nemucod-Fund auf Qnap-NAS mit Virenprogramm - was tun?

Guten Abend,
in einen Ordner, der regelmäßig mit einem Synchronisierungsprogramm auf einer NAS gespiegelt wird, hat das Antivirenprogramm der NAS einen Virus (irgendwas mit Nemucod) gefunden.
2 Fragen: Ist das ein Linux-Schädling und muss er auf dem Qnap und/oder dem PC entfernt werden? Wurde er evtl. von dem Virenprogramm schon entfernt?

Hier das Protokoll:

Code:

JobName = Wochenscan

LogLastScanTime = 2018/12/14 08:00:04

AntivirusEngine = ClamAV
 

-------------------------------------------------------------------------------
 

/homes/nutzer/.Qsync/nutzer/IKEA_Schrank/PAX online planer - IKEA_II_files/js_main.js.Download: Txt.Downloader.Nemucod-6780604-0 FOUND
 

----------- SCAN SUMMARY -----------

Known viruses: 6736194

Engine version: 0.99.3

Scanned directories: 8815

Scanned files: 62224

Infected files: 1

Data scanned: 34429.15 MB

Data read: 41598.61 MB (ratio 0.83:1)

Time: 8960.960 sec (149 m 20 s)

felix1

14.12.2018 21:37

Lade die Datei mal bei Jotti hoch und lasse sie prüfen. Poste das Ergebnis.
Ein AV auf einem Linux-NAS und dann noch Clam?

cosinus

14.12.2018 22:28

Das ist doch totaler Schwachsinn.

1. ClamAV hat total beschissene Erkennungsraten und eine hohe Fehlalarmquote
2. man kann es auch echt übertreiben mit der Scannerei! Die Windows-Clients werden einen Virenscanner haben und bei Zugriff auf eine Datei auf dem NAS diese eh scannen

Fazit: Deaktiviere diesen ClamAV-Blödsinn auf dem NAS. Fertig.

felix1

14.12.2018 22:37

Richtig:daumenhoc
Das Problem sollte eh auf den angeschlossenen Clients zu finden sein:Boogie:

Pleitegeier

04.04.2019 22:43

Tija , ich wäre mit dem deaktivieren ein wenig vorsichtiger.esser alles dopplet und dreifach scannen. Ich schlage mich derzeit mit einer NAS rum,die sich ein grandcrab 5.2 gefangen hat.Allerdings ist dem Linux das die Verwaltung der Nas betreibt nichts passiert aber dafür haben die Daten die vom Windows dort gelagert wurden es voll abbekommen.
Nun ist guter Rat Teuer da die Nas leider auch noch sehr groß ist 2X 4TB als Raid kommt jetzt viel freude auf.
Ich habe bisher auch noch keine gute Lösung für das Problem gefunden.

cosinus

05.04.2019 08:10

Besser als doppelt und dreimal scannen ist hysterischer Schwachsinn - das zeugt nicht gerade von Sachkenntnis v.a. dann wenn in diesem Zusammenhang auch von ClamAV die Rede ist. Das Argument, dass die Windows-Clients ein AV haben ist dir wohl auch entgangen?

Es ist auch vollkommen wurscht welcher Rechner mit welchem Betriebssystem die Daten da draufgelegt hat und es ist auch wumpe, welches OS auf dem NAS läuft. Einzig und allein spielt es eine Rolle, ob der gandcrab auf einem Windows-Rechner gestartet wird, der gerade Schreibzugriff auf dem share auf dem NAS hat bzw es als Netzlaufwerk eingebunden hat. Und ransoms haben auch garnicht das Ziel, einen Rechner zu kompromittieren, die sollen einfach nur Daten verschlüsseln.

Die Lösung lautet: das letzte Backup einspielen, dann hat man alle Daten wieder.

Alle Zeitangaben in WEZ +1. Es ist jetzt 07:00 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131