Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   virus.win32.expiro.ai in einem Netzwerk (https://www.trojaner-board.de/138134-virus-win32-expiro-ai-netzwerk.html)

Speedsta79 12.07.2013 20:19
virus.win32.expiro.ai in einem Netzwerk
 
Wunderschönen guten Abend ich bin seit Jahren stiller wenn auch erfolgreich anwendender Mitleser im Trojaner-Board. Aber dieses mal steh ich ein wenig auf dem Schlauch... und nicht nur ich.

so ich versuch es mal alles hintereinander zukommen.

Es began vor ca. 8 Tagen auf einem Buchhaltungsrechner (als 1.).
Beim öffnen einer Mail meldete Norton Antivirus (Kaufversion) mehrere Trojaner als erstes einen TR/Dropper[gen] und danach (wie befürchtet) reihenweise andere Trojaner
suspicous.cloud5, suspicous.cloud7f, suspicous.cloud7ep die sich allesamt schnell wieder
in wohlgefallen auflösten ABER danach immer neue Varianten hervorbrachten.

Ca. 3min nach der ersten Infektion tauchte ein anderer virus namens suspicous.graybird1 auf 2 anderen Rechnern im Netzwerk auf die ebenfalls mit Norton geschützt waren.

Trotz mehrerer Scans auf den betroffenen Rechnern und dem Rat von Norton NPE auszuführen wurde es dann immer schlimmer.

Ein netter Anruf bei einer IT-Firma in der Nähe endete dann damit alle Rechner (15 Geräte = 13 Rechner + 2 Server) mit der Kaspersky Rescue Disc 10 und MBAM zu behandeln was es zuerst etwas verbesserte. Auf Anraten dieser Firma haben wir dann alle Rechner auf Kaspersky Endpoint Security 8 umgestellt. Im ersten Moment schien es sich auf erledigt zu haben (wir haben u.a. aber 5 Rechner komplett neu aufsetzen müssen wegen fehlender Systemdatein ect.). Nun haben wir aber seitdem 1 Schädling im System der auf 9 verschiedenen (auch neu aufgesetzen) Rechnern alle möglichen .exe dateien befällt
und sich hartnäckig hält.

Jetzt weis auch die IT-Firma nicht wirklich weiter.

Der Name des Schädlings:

virus.win32.expiro.ai (laut Kaspersky KES8)

Wie wird man den wieder los? Bitte.

markusg 12.07.2013 20:24
Hi,
ihr habt hoffendlich backups? bei nem Firmennetzwerk ist aus meiner sicht dazu zu raten, ein solches einzuspielen, alles andere ist nicht 100 %ig sicher für euch, und eure Kunden, für deren Daten ihr ja auch Verantwortung habt.
kannst du die norton Funde posten, mit Pfadangabe, da können wir es vllt genauer eingrenzen, was ihr da erwischt habt

Speedsta79 12.07.2013 20:41
Hallo Markus,

da es ja kein Norton mehr gibt kann ich Posten was auch immer Kaspersky Endpoint 8
ausspuckt. Ja Backups haben wir gemacht. Ich werde dir am Montag morgen(vorher is keiner in der Firma) mal Logfiles posten.

Wie sieht es aus wenn ich eine Remote-Desktop-Verbindung zu Server bekomme-ist die überhaupt sicher wenn der Server schon korrupt ist ?

Ich muss mir den Mist ja nicht noch nach Hause holen. :rolleyes:

markusg 12.07.2013 20:47
Hi, nein machs dann lieber direkt ohne remot Verbindung.
Aber Hoffnung mach ich dir nicht sonderlich.
Wenn ihr Backups macht, ist das einspielen selbiger besser, und eine Schulung für Mitarbeiter, um Spams zu erkennen währe auch nicht verkehrt. (keine beleidigung)

Speedsta79 12.07.2013 20:58
Ich nehm es das nicht beleidigend.

Ich bin auch immer der Viren-Killer und Problemlöser für meine wirklich vielleicht ein nicht wirklich spam sensibilsierten Bekannten und Freunde. :rolleyes:

Werd mal schauen wann ich dir Logs posten kann. was hättest du den gerne für
log files ?

Ach ja die einzigen 2 Emails auf dem erstinfizierten waren nur bekannte kein Spam.
Aber eine davon hat es wohl in sich gehabt.

Ich vermute eher einer von denen hat das unwissentlich mitgeschickt. :headbang:

markusg 12.07.2013 21:05
Kannst mir die Mails ja an die in meiner signatur angegebene Adresse weiterleiten.
die Mails lese nur ich, keine angst.
die Norton Funde mit Pfadangabe wähen gut.

Speedsta79 12.07.2013 21:08
Ich werd schauen das ich das zeitlich eingrenze und sie dir Montag mal weiterleite.

ryder 15.07.2013 20:09
Hi

markus ist derzeit beschäftigt und ich helfe weiter.

Gibt es noch Probleme, an dir wir ran müßten?

Speedsta79 15.07.2013 20:34
Im Moment wird mit Hilfe der Firma Kaspersky nach einer Lösung gesucht.
Bislang sieht es schon recht (dauerhaft) erfolgversprechend aus, aber das kann sich ja
auch schnell wieder ändern.

Danke erstmal an euch beiden.

ryder 15.07.2013 20:42
In Ordnung, dann mache bitte einen neuen Thread auf, wenn du wieder Hilfe brauchst.

ryder 15.07.2013 20:43
Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131