none
Conficker.B auf Server 2008 32-bit RRS feed

  • Frage

  • Guten Abend zusammen,

    im Moment bekomme ich nur Problemfälle an neuen Kunden rein.
    Heute morgen bekam ich einen Anruf einer Rechtsanwaltskanzlei aus Dortmund die in Ihrem Netzwerk auf diversen PCs den CONFICKER.B (PCs) bzw. NET.WORM.WIN32.KIDO.IH (Server 2008) haben.

    Auf dem Server (Server 2008 32-Bit akt.Patchlevel) läuft KASPERSKY SMALL OFFICE SECURITY und auf den infizierten PCs MICROSOFT SECURITY ESSENTIALS.

    Ich also frohen Mutes hin zum Kunden, im Gepäck sämtliche Tools die man so kennt um den CONFICKER zu entfernen.

    Leider war der Einsatz völlig erfolglos. 

    Selbst KASPERSKY findet den Wurm, löscht ihn und nach dem nächsten hochfahren ist er wieder aktiv.
    Gleiches Szenario an den Workstations mit W7 und XP. MSE findet, desinfiziert und nach Neustart ist er wieder da.

    Wie bekomme ich das Teil definitiv von den Systemen runter?
    Ich weiss, das nur ein FORMAT C: wirklich hilft, muss aber kurzfristig eine andere Lösung finden, denn mal eben eine Domäne mit knapp 100 Clients neu machen ist keine Sache für die Mittagspause.

    Kennt jemand ein "ulitmatives" Tool? Vielleicht ne LINUX-BOOT-CD mit entsprechender Software zum bereinigen?

    Wenn es einen Virenscanner gibt der die beiden Würmer killt und das von Euch jemand weiss, freue ich mich auch über den Hinweis. Verkaufe bei nem Neukunden lieber erst nur nen neuen Vrenscanner als sofort die ganze Domäne zu töten....

    Danke.


    • Bearbeitet tasknet Mittwoch, 4. Januar 2012 18:59
    Mittwoch, 4. Januar 2012 18:58

Antworten

  • >Was genau soll das bringen? MS empfiehlt auf allen möglichen Artikeln
    >das gleiche wie ich bereits geschrieben habe. Und Spezialisten von
    >Kaspersky können IMHO den Befall auch nicht zu 100% rückstandsfrei
    >beseitigen

    Wir hatten Ende Dezember bei uns selbst eine Vireninfektion.
    Allerdings nicht nur in einem Netzwerk mit 100 Clients sondern
    200 Server und rund 2000 Clients.

    Einmal so neuinstalliern is hier nicht.

    Wir hatten einen F-Secure Spezialisten geordert der uns bei der Beseitigung sehr geholfen hat.

    (Eindämmung der Infektion durch Sperren der Ports, Einrichten von einzelnen Parzellen und
    diese manuell zu bereinigen usw.)

    PS bei MS Spezialist war gemeint Spezialist für "Microsoft Security Essentials".


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Donnerstag, 5. Januar 2012 06:26

Alle Antworten

  • Am 04.01.2012 schrieb tasknet:

    im Moment bekomme ich nur Problemfälle an neuen Kunden rein.
    Heute morgen bekam ich einen Anruf einer Rechtsanwaltskanzlei aus Dortmund die in Ihrem Netzwerk auf diversen PCs den CONFICKER.B (PCs) bzw. NET.WORM.WIN32.KIDO.IH (Server 2008) haben.

    Auf dem Server (Server 2008 32-Bit akt.Patchlevel) läuft KASPERSKY SMALL OFFICE SECURITY und auf den infizierten PCs MICROSOFT SERCURITY ESSENTIALS.

    Daten sichern, neu installieren.

    Ich also frohen Mutes hin zum Kunden, im Gepäck sämtliche Tools die man so kennt um den CONFICKER zu entfernen.

    Leider war der Einsatz völlig erfolglos. 

    OK.

    Selbst KASPERSKY findet den Wurm, löscht ihn und nach dem nächsten hochfahren ist er wieder aktiv.
    Gleiches Szenario an den Workstations mit W7 und XP. MSE findet, desinfiziert und nach neustart ist er wieder da.

    Daten sichern und neu installieren.

    Wie bekomme ich das Teil definitiv von den Systemen runter?

    Daten sichern und neu installieren.

    Ich weiss, das nur ein FORMAT C: wirklich hilft, muss aber kurzfristig eine andere Lösung finden, denn mal eben eine Domäne mit knapp 100 Clients neu machen ist keine Sache für die Mittagspause.

    Das Wochenende steht vor der Tür. Das Sicherheitskonzept bei diesem
    Kunden ist IMHO verbesserungswürdig. Weiß denn der Geschäftsführer das
    er persönlich für den Schaden haftet? Eine Anwaltskanzlei sollte etwas
    sicherer mit den Daten der Kunden umgehen.

    Kennt jemand ein "ulitmatives" Tool? Vielleicht ne LINUX-BOOT-CD mit entsprechender Software zum bereinigen?

    Die Lösung kennst Du selbst. Daten sichern und neu installieren.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 4. Januar 2012 19:19
  • Danke Winfried für deinen Vorschlag "Daten sichern und neu installieren".

    Das ist aus logistischen Gründen bei mir im Betrieb bis mitte Februar nicht möglich, da ich jedes WE eine Serverumstellung habe...

    Deswegen brauche ich ja ne kurzfristge andere Lösung die übergangsweise hilft bis das ein passendes Zeifenster da ist.

    Mittwoch, 4. Januar 2012 19:23
  • Hallo,

    >Das ist aus logistischen Gründen bei mir im Betrieb bis mitte Februar nicht möglich, da ich jedes WE eine >Serverumstellung habe...

    die von Winfried vorgeschlagene Lösung ist vermutlich die einzig saubere Lösung.
    Wenn du Anwaltskanzlei auch noch weiterhin bestehen will,
    wird es nicht reichen nur einen oder zwei Mitarbeiter von einem Dienstleister anzufordern.

    Ich weiß jetzt nicht in welchem Vertragsverhältnis ihr zu dieser Kanzlei steht,

    ich würde jedoch als nächstes einen Spezialisten von Kaspersky oder MS mit ins Boot holen.

    Wichtig ist, dass die Geschäftsverführer der Kanzlei den Ernst der Lage verstehen.

    PS:

    Das gerade bei einer Rechtsanwaltskanzlei die Daten mehr als brisant sind, dürfte uns allen klar sein.


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Mittwoch, 4. Januar 2012 20:31
  • ich würde jedoch als nächstes einen Spezialisten von Kaspersky oder MS mit ins Boot holen.

    der dienstleister der sich bis jetzt um die kanzlei gekümmert hat ist gekickt worden, da sich dort sicherheitslücken aufgetan haben. da wir jedoch einen sehr guten ruf bei den göttern (anwälten, ärzten, apothekern) haben, ist das nun der nächste kunde der uns gerne als dienstleister hätte. so, genug lohpudelei :-)

    ist es möglich sich nen spezi von MS zu organisieren? mit was für kosten müsste man rechnen und wie nehme ich kontakt zu ms auf? hatte noch nie einen fall wo ich hilfe von denen gebraucht hätte. 

     

    Mittwoch, 4. Januar 2012 20:42
  • Am 04.01.2012 schrieb Matthias Wolf [MVP]:

    Ich weiß jetzt nicht in welchem Vertragsverhältnis ihr zu dieser Kanzlei steht,
    ich würde jedoch als nächstes einen Spezialisten von Kaspersky oder MS mit ins Boot holen.

    Was genau soll das bringen? MS empfiehlt auf allen möglichen Artikeln
    das gleiche wie ich bereits geschrieben habe. Und Spezialisten von
    Kaspersky können IMHO den Befall auch nicht zu 100% rückstandsfrei
    beseitigen. Auch werden die bestimmt keine Garantie dafür übernehmen.

    Wichtig ist, dass die Geschäftsverführer der Kanzlei den Ernst der Lage verstehen.

    Wenn der GF den Betrieb trotz dieser Information normal weiterlaufen
    lässt, haftet er für evtl. Schäden persönlich.

    Das gerade bei einer Rechtsanwaltskanzlei die Daten mehr als brisant sind, dürfte uns allen klar sein.

    Vergleichbar mit Daten bei Ärzten.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 4. Januar 2012 20:57
  • >Was genau soll das bringen? MS empfiehlt auf allen möglichen Artikeln
    >das gleiche wie ich bereits geschrieben habe. Und Spezialisten von
    >Kaspersky können IMHO den Befall auch nicht zu 100% rückstandsfrei
    >beseitigen

    Wir hatten Ende Dezember bei uns selbst eine Vireninfektion.
    Allerdings nicht nur in einem Netzwerk mit 100 Clients sondern
    200 Server und rund 2000 Clients.

    Einmal so neuinstalliern is hier nicht.

    Wir hatten einen F-Secure Spezialisten geordert der uns bei der Beseitigung sehr geholfen hat.

    (Eindämmung der Infektion durch Sperren der Ports, Einrichten von einzelnen Parzellen und
    diese manuell zu bereinigen usw.)

    PS bei MS Spezialist war gemeint Spezialist für "Microsoft Security Essentials".


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Donnerstag, 5. Januar 2012 06:26