Waarschijnlijk een virus, maar onvindbaar.

We hebben hier wel een workaround gevonden, kan wellicht handig zijn tot er een virusscanner is die het wel kan verwijderen.

Geef een deny op de wijzigrechten op de map local settings\temp van de ingelogde gebruiker. Niet deny op volledig beheer, anders wordt het later zo lastig aanpassen. Maar bij ons komen er nu geen subprocessen meer tevoorschijn en blijft de machine verder rustig zo lijkt het.

Via een GroupPolicy moet dat wel te regelen zijn...

[ Voor 9% gewijzigd door Astra op 16-04-2008 20:50 ]

CrankyGamerOG schreef op woensdag 16 april 2008 @ 20:45:
de bron ? windows is de oorzaak , en das geen flame oid
had je *nix of mac bakjes gehad was er nu niks aan het handje

maar daar heb je nu idd niks aan, ik moet er idd niet aan denken om 800+ machines te moeten herinstalleren.

Tuurlijk..... dan is bij een voorhoofdsholte ontsteking ook je hoofd de oorzaak en niet het virus / de bacterie?

Astra schreef op woensdag 16 april 2008 @ 20:35:
Ik vraag me af of dat helpt, een offline pc zonder virussen (en geupdate scanners) hebben we gebruikt en daar de harddisk van een geinfecteerde machine aan gehangen. daarna een scan gedaan. Ook dan worden er virussen en trojans gevonden en verwijderd, maar als de harddisk dan weer in een pc gemonteerd wordt, dan is het virus weer actief.
...

De virussen en de trojans worden gevonden, maar ook de rootkit zelf? Dat je de HD mount in je andere, offline systeem is een algemeen geaccepteerde methode om rootkits te detecteren. Het verwijderen is misschien een ander verhaal. Ik ga er wel vanuit dat je ook op rootkits hebt gescand tijdens deze actie.
Vooral kernel-niveau rootkits kunnen zich echter gemakkelijk verbergen, omdat deze op hetzelfde niveau werken als het OS. Het gebruik van een LiveCD is puur om te voorkomen dat de rootkit überhaupt geladen kan worden. Het zichzelf stealth maken door de rootkit wordt niet mogelijk gemaakt en de rootkit ligt open.

MADG0BLIN schreef op woensdag 16 april 2008 @ 20:49:
[...]
Heeft iemand trouwens nog goeie tools om pst te exporteren vanuit exchange 2000 en 20007?
Ik denk dat ik ontrack maar ga gebruiken als ik die werkend krijg op een pc.

exmerge ?

kan je trouwens gewoon de store niet backuppen (edb en stm) om zo nadien te restoren naar de nieuwe server ?

[ Voor 15% gewijzigd door StarWing op 16-04-2008 20:55 ]

CrankyGamerOG schreef op woensdag 16 april 2008 @ 20:45:
de bron ? windows is de oorzaak , en das geen flame oid
had je *nix of mac bakjes gehad was er nu niks aan het handje

maar daar heb je nu idd niks aan, ik moet er idd niet aan denken om 800+ machines te moeten herinstalleren.

List idd eens voor ons geintresseerden de overeenkomsten in apparatuur/netwerk/software bij jullie ?
is er iets dat jullie gemeen hebben ?
Werken jullie bijv via samba ? en verspreid het zich ook via samba ?

iedereen doet altijd heel trots over linux/unix en Apple. Dat er nooit virussen opkomen en dergelijken.
Maar de systemen zijn ook te hacken en er bestaan ook virussen voor.
Ze komen minder vaak voor alleen.

MADG0BLIN schreef op woensdag 16 april 2008 @ 20:38:
Ik weet niet of je gelezen hebt wat voor omgeving we hierover praten. Maar dat wordt wat lastig denk ik

Yep, heb de hele thread gelezen en dus ook over wat voor omgeving er gepraat wordt.
Ben alleen bang dat je weinig andere keuzes hebt dan het gesuggereerde of totale herinstallatie
Het is te hopen dat je de boosdoener op de voorgestelde manier kunt vinden op een van de systemen en dat de situatie op de rest van de systemen identiek is zodat je die daarna betrekkelijk eenvoudig zou kunnen aanpakken.
Persoonlijk zou ik me niet prettig voelen bij een virusscanner die roept dat eea verwijderd is omdat ik altijd nog de twijfel zou hebben of het wel echt volledig opgelost is.
Maar goed, dat is en blijft natuurlijk een persoonlijk iets.

LuckyY schreef op woensdag 16 april 2008 @ 20:57:
[...]

iedereen doet altijd heel trots over linux/unix en Apple. Dat er nooit virussen opkomen en dergelijken.
Maar de systemen zijn ook te hacken en er bestaan ook virussen voor.
Ze komen minder vaak voor alleen.

ik heb nergens trots gedaan over unix/apple, ik heb ook nooit beweerd dat er geen virussen op kunnen komen !, en nergens heb ik beweerd dat ze niet te hacken zijn !, dus je reactie slaat kant noch wal.

Wat ik wel zei is dat in DIT geval met unix/mac bakjes niks aan het handje was geweest !

CrankyGamerOG schreef op woensdag 16 april 2008 @ 20:59:
[...]

ik heb nergens trots gedaan over unix/apple, ik heb ook nooit beweerd dat er geen virussen op kunnen komen !, en nergens heb ik beweerd dat ze niet te hacken zijn !, dus je reactie slaat kant noch wal.

Wat ik wel zei is dat in DIT geval met unix/mac bakjes niks aan het handje was geweest !

Ik quote je wel, Maar ik bedoel niet jou alleen maar veel mensen in het algemeen.
Ik ben zelf groot fan van apple en linux.
Maar daar draaien ook gewoon html virusjes en hoaxes op.
En iedereen beweert dat dat niet mogelijk is.

En TS Succes. Misschien even eten bestellen ? Helpt je beter denken

[ Voor 5% gewijzigd door LuckY op 16-04-2008 21:03 ]

hmmz... op een andere manier hebben we nog een andere optie toegepast, we hebben de default gateway weggehaald. betekend wel dat de gebruiker niet meer kan internetten, maar vanaf het moment dat de default gateway weg is, is de machine 'rustig'. De machines waar wij een Deny op hebben gezet blijven ook rustig, starten het ook niet onder een system account op, ook niet na een reboot.

AVG heeft weer een 'nieuw' virus gevonden; Virus Lop. Scannen doe ik ook nog nl.

MADG0BLIN schreef op woensdag 16 april 2008 @ 21:25:
[...]


Mm. Ok. dat is dus voor ons een klein probleem. Zonder gateway doet de terminal server het niet zo goed.

Welk probleem kom je dan tegen op de TS? Wellicht dat je voor bepaalde reeksen een static route kan maken, zodat je je gateway wel leeg kan laten?

Waarom denk je dat het virus wegbljft als je alles opnieuw hebt geinstalleerd, zolang je de bron niet gevonden hebt (kan desnoods een website of een USB stick zijn), heeft dat waarschijnlijk niet zoveel zin. Ik hoop echt voor jou dat het voor jou de oplossing is, maar ik vrees dat het slechts even een oplossing blijkt te zijn.

Je mag best weten dat ik deze topic volg met schrik in het hart, ik hoop niet dat ik bij ons zo'n ramp op het netwerk krijg. En inderdaad: opknopen dit soort veroorzakers!

MADG0BLIN schreef op woensdag 16 april 2008 @ 21:37:
Ben ik momenteel aan het testen. Momenteel is ook al de mail server besmet. Hij pakt dus ook x64 servers.

Kan dit virus zich ook gaan koppelen aan de oulook bestanden ?
Dan kan je beter als de exchange server opgezet is, Even aan het internet hangen en kijken of die rare acties gaat uithalen.
Ander trek je binnen notime weer het netwerk vol.

Nee, hij injecteert zichzelf hier alleen in Exe files.

Samengevat:

- hij wil internet toegang (zonder internet blijft systeem rustig)
- injecteert zich in lopende processen
- haalt een varieteit aan trojans binnen
- ...?

bij -...? Probeert andere systemen te infecteren ?

Wat we hebben draaien? Eigenlijk niks bijzonders. Standaard W2k3 domein, laatste security patches, Symantec antivirus.

Ons idee nu is, aangezien het verwijderen van de gateway een (tijdelijke) optie is, om de gateway uit te zetten, hierdoor kunnen gebruikers in elk geval lokaal werken maar hebben ze morgen geen internet en dan vervolgens verder zoeken... hopen dat virusbedrijven met een oplossing komen?

Mijns inziens is een totale herinstallatie van het domein met werkstations geen optie, ik weet niet waar het virus vandaan komt...voor hetzelfde geld is na de herinstallatie binnen 5 minuten het probleem terug.

Puur vraagje uit interesse omdat ik dit topic volg (ja 1x per minuut f5 beuken ).
Hoe doen jullie dit met de file server?
En de bestanden van de gebruikers op de lokale pc?

Antwoorden heeft geen haast je moet prioriteiten stellen

Gebruikers hebben geen lokale bestanden, dat valt mee. Maar ja, de fileserver.. die heeft ook het probleempje... Gateway staat uit, fileserver blijft rustig.

Heeft iemand eigenlijk een idee of dit probleem alleen in NL speelt bij een paar bedrijven, of is het globaal mis?

Wij gaan er ook een punt aan draaien, morgen weer verder. Maar eens kijken wat we aan verkeer kunnen vinden wat er niet hoort te zijn en proberen aan de hand daarvan kijken wat we kunnen.

Mochten er updates tevoorschijn komen, ik (en anderen denk ik..) hou me aanbevolen!

Het is me in de afgelopen 6 paginas nog niet echt duidelijk geworden wat het virus nou precies veroorzaakt, wordt de boel alleen traag? of is het echt compleet onwerkbaar voor de gebruikers? Ik zou zelf wachten tot het alleralleruiterste voordat je je complete netwerk opnieuw gaat restoren wat mogelijk een berg andere problemen met zich mee brengt en gigantisch veel tijd kost. Zeker als je niet eens weet waar het vandaan komt want dan is alle moeite voor niks.

Ik zou indien de situatie nog werkbaar is al het onnodige uitgaande en inkomende verkeer blokeren en wachten op een oplossing van de antivirus makers. Kan nooit lang duren lijkt me. Sterkte er mee in ieder geval.

[ Voor 5% gewijzigd door salvador4 op 16-04-2008 22:56 ]

salvador4 schreef op woensdag 16 april 2008 @ 22:54:
Het is me in de afgelopen 6 paginas nog niet echt duidelijk geworden wat het virus nou precies veroorzaakt, wordt de boel alleen traag?

Waarschijnlijk worden er enkele honderden of duizenden spam mailtjes per minuut verzonden door het systeem.

Een netstat -a commando zou dat snel laten zien. Als dat zo is zal het publieke internet adres al snel zijn opgenomen in spamfilter mechanismes (RBL).

joopv schreef op woensdag 16 april 2008 @ 23:15:
[...]

Waarschijnlijk worden er enkele honderden of duizenden spam mailtjes per minuut verzonden door het systeem.

Een netstat -a commando zou dat snel laten zien. Als dat zo is zal het publieke internet adres al snel zijn opgenomen in spamfilter mechanismes (RBL).

Dit is te blokkeren door een uitgaande poort te sluiten, of in ieder geval een rule voor de besmette machines aan te maken.

Ik doel er meer op of de hele tent plat ligt door het virus of dat hun core business nog wel door kan gaan. Als dat laatste het geval is zou ik afwachten op een fix ipv allerlei halsbrekende toeren uit te gaan halen.

Hey,

ik ben een collega van Madgoblin.
De core business is de ene applicatie waarvoor we de server hebben klaargemaakt vandaag. Die hopen we morgen ochtend weer de lucht in te hebben. We hebben met tcp viewer het verkeer bekeken en konden alleen zien dat er een Russische site en een Poolse site werd bezocht. Het proces waar het virus zich in 'nestelt' schiet omhoog wat processor betreft. En het is best lastig werken met een processor op 100%

Verwijderd schreef op woensdag 16 april 2008 @ 23:52:
Hey,

ik ben een collega van Madgoblin.
De core business is de ene applicatie waarvoor we de server hebben klaargemaakt vandaag. Die hopen we morgen ochtend weer de lucht in te hebben. We hebben met tcp viewer het verkeer bekeken en konden alleen zien dat er een Russische site en een Poolse site werd bezocht. Het proces waar het virus zich in 'nestelt' schiet omhoog wat processor betreft. En het is best lastig werken met een processor op 100%

Is het routeren van dat verkeer naar 127.0.0.1 of droppen op de firewall geen optie?
(vooral daar ik lijk te begrijpen dat als hij "de basis" niet lijkt te bereiken, dat hij zich dan rustig houdt.)

Wij hebben weer een deel van de servers in de lucht (exchange, File en print, sql) We hebben nieuwe installaties gedaan. Overal de nieuwste versie van McAfee (release van vandaag) erop. De Citrix servers leken schoon na verschillende root scans, online scans en andere proggy 's maar toch maar even buiten het netwerk gehouden en alleen op een inet lijntje gehangen. En ja hoor daar gingen ze weer heen. Netwerk verkeer bekeken met Wireshark en ze stonden net zo hard weer naar buiten te schreeuwen. Op verschillende hoge poort nr's en naar diverse vage sites. Dus de citrix servers zullen het helaas ook niet redden en ook daar zal een nieuwe install voor gemaakt moeten worden. Vandaag om 6 uur begonnen en nu kunnen morgenvroeg de gebruikers eindelijk weer inloggen om van hun mail en data gebruik te kunnen maken.

[quote]Verwijderd schreef op donderdag 17 april 2008 @ 00:24:
SNIP
[/quote]
zeg je nu dat alleen de Citrix servers nog een infectie hebben maar de rest weer stabiel (gedurende een half uur dan) werkt?
Hebben jullie allemaal Citrix op windows 2003 draaien?

[ Voor 12% gewijzigd door franssie op 17-04-2008 00:34 ]

LuckyY schreef op woensdag 16 april 2008 @ 21:03:
Ik quote je wel, Maar ik bedoel niet jou alleen maar veel mensen in het algemeen.
Ik ben zelf groot fan van apple en linux.
Maar daar draaien ook gewoon html virusjes en hoaxes op.
En iedereen beweert dat dat niet mogelijk is.

Ik ben zelf ook Linux fan, maar je leeft teveel in een droomwereld hoor.
Ik schat zelfs dat er meer rootkits voor unix zijn dan voor Windows.
Je hoeft maar een lek te hebben in een app die onder een user draait en een exploit die via een buffer overflow root rechten kan vergaren en je bent even ver van huis. rootkits die zicht helemaal vastvreten in /proc en als je bin files modifien en noem maar op...

joopv schreef op woensdag 16 april 2008 @ 23:15:
[...]

Waarschijnlijk worden er enkele honderden of duizenden spam mailtjes per minuut verzonden door het systeem.

Een netstat -a commando zou dat snel laten zien. Als dat zo is zal het publieke internet adres al snel zijn opgenomen in spamfilter mechanismes (RBL).

Commando's zoals netstat zijn niet meer te vertrouwen, of je moet de MD5 comparen met het origineel. Dit is nou net juist het 'leuke' aan rootkits, je kunt _niks_ meer vertrouwen.

---

Aan TS:

Wat ik niet snap, waarom zet je niet de gateway uit, boot je een PC met Knoppix o.i.d. en geef je die het gateway IP en laat je routeren (of laat hem op een andere manier iig een hop zijn waar men langs _moet_ alvorens het internet op te komen). Vervolgens sniff je op die bak wat er allemaal naar buiten wil. Op die manier heb je echt binnen een half uur zicht op welke machine wat doet. Ook kun je misschien patronen ontdekken... welke PC is er wel/niet geinfecteerd en wat voor software draait erop etc..

[ Voor 3% gewijzigd door DeMoN op 17-04-2008 01:12 ]

Nog updates?
Al iets gehoord van een andere bedrijf met een oplossing?

ben inderdaad ook erg benieuwd.en ben hier ook alles extra in de gaten aan het houden :x daar we hier iets meer machines en servers hebben
de site waar ik zit heeft alleen al 600 werkplekken en iets van 30 servers staan.laat staan als het over het wereldwijde netwerk zou gaan :x moet er niet aan denken eerlijk gezegt.zogauw ik het merk,kan ik in ieder geval wel de site afsluiten van de rest.

Tot op heden blijft de boel schoon ja. We zijn wat extra veiligheid aan het inbouwen betreft antivirus en firewalls/vpn

maar dus nog steeds geen idee hoe het erop is gekomen dus? helaas.

Hier ook nog geen oplossing. Internetten via een proxy kan gek genoeg wel; het virus lijkt een proxy instelling niet te snappen.

Nee, nog niks vernomen. Ben ook een beetje de antivirus forums op het internet aan het scannen, kom er niet echt heel veel over tegen. Of ik zoek verkeerd natuurlijk

Idd citrix draait op w2k3. Nee nog niks van de virus leverancier.
We zijn wel even gewisseld van Norman naar Mcafee

MADG0BLIN schreef op donderdag 17 april 2008 @ 10:02:
[...]
Er is hier weer een nieuwe trojan bij. De Win32/Agent.NTJ trojan.

Is deze er nieuw bij omdat hij nu gedecteerd wordt of hangt de omgeving danwel een deel van de omgeving nog steeds aan het internet ?
Zolang je de 'hoofddader' nog niet te pakken hebt en de boel nog steeds aan het internet hebt hangen kun je er donder op zeggen dat er steeds weer nieuwe trojans opduiken.

Misschien heb je hier iets aan:

211.Trojan.Win32.Agent.ntj
When executed,this type of Trojan searches for its DLL component, UP.DLL. Once found, it connects to a specific web site to download and execute files on the infected system.

Iemand nog een update toevallig? Hier net een scan gedaan, met behulp van spywaredoctor, die vind nu ook een keylogger.. Die was ik nog niet tegengekomen.

Heeft Knetter trouwens nog meer info? Die had heb naar Symantec ofzo laten toe sturen toch?

MADG0BLIN schreef op donderdag 17 april 2008 @ 13:22:Welke keylogger is het precies?

Application.Component.Keyloggers

Vage omschrijving, kan er verder niks van maken. wordt wel 17 keer gevonden...

hij is inmiddels ook van het systeem maar nog steeds is het hoofdprobleem niet getackeld...

Call me crazy, maar dit is best een spannend topic. Een beetje een digi-soap/thriller achtig. Ik bookmark m ff. ben benieuwd wie wint, jullie of het virus.

het hoofdprobleem zal ook nog niet zo 1,2,3 getackeld kunnen worden denk ik. Dit virus/malware is zo verschrikkelijk agressief. Is niet grappig meer

Wat ik trouwens raar vind is dat het toch iets wat meerdere serverparken voor zou moeten kunnen komen. Maar toch lees ik hier niks over op andere fora's. Zijn de trojans nog zo nieuw?

de trojans op zich zijn niet nieuw, het stukje software wat de zooi van het internet download is dat wel, die weet zich bijzonder goed te verstoppen.

de virusscanner herkennen het wel maar kunnen er helemaal niks mee. Dat is het probleem. Er is dus gewoon nog geen oplossing voor. blijkbaar weten ze nog niet precies wat het echt doet en hoe dat aan te pakken

Kunnen jullie niet de lisjt samenstellen met de namen?
Die stond volgens mij nog niet echt in dit topic .
Kunnen wij ook meer opletten

omg ik ga dit topic nauwkeurig volgen, onze schoolservers draaien op windows 2003 dus ik hoop dat ze niet geïnfecteerd raken. anders wordt het knoeien tijdens de exames

C:\Documents and Settings\user\Local Settings\Temp

daarin komen de .exe bestanden te staan die mede voor een infectie zorgen.
En tevens worden er in het register de firewall van de clients uitgezet.

heeft dit er iets mee te maken
http://www.microsoft.com/...F45C520D10&displaylang=en

Security issues have been identified in Active X controls that could allow an attacker to compromise a system running Microsoft Internet Explorer and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.

Lijkt me niet, zo te zien is dat een XP SP2 update only. Lijkt me sterk dat je die onder 2k3 aan de praat krijgt

Als ik zoek op internet aan de hand van de Sality-familie, dan begint het er erg op te lijken dat dit de boosdoener is:

http://www.f-secure.com/v-descs/sality_q.shtml

Misschien dat we nu een stapje verder zijn?

W32/horst.gen33

Over de w32/horst.gen33

http://forums.techguy.org...-infostealer-gampass.html

Kwam ik dit tegen.
Mischien te testen op een xp machine ?

Misschien hebben jullie hier wat aan. Ik werk zelf namelijk bij Norman en heb deze bestanden zoals ze door ons gevonden worden laten analyseren en de volgende gegevens kwamen hieruit.

Dit is wat ik heb gevonden over het virus W32/Horst.gen33 als je deze even loslaat (zoals Norman Virus Control deze noemt)

* Accesses Registry key "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List".
* Creates value "(bestandnaam)"="(bestandnaam)*:Enabled:ipsec" in key "HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List".

* Possible backdoor functionality [UNKNOWN] port 8504.

Dit is wat ik heb gevonden over het virus Suspicious_F.gen als je deze even loslaat (zoals Norman Virus Control deze noemt)
* Accesses Registry key "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List".
* Creates value "bestandnaam"="bestandnaam:*:Enabled:ipsec" in key "HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List".
* Accesses Registry key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings".
* Sets value "GlobalUserOffline"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings".
* Accesses Registry key "HKCU\Software\Ghisler\Windows Commander".
* Accesses Registry key "HKLM\Software\Ghisler\Windows Commander".
* Accesses Registry key "HKCU\Software\Ghisler\Total Commander".
* Accesses Registry key "HKLM\Software\Ghisler\Total Commander".

[ Voor 5% gewijzigd door Verwijderd op 17-04-2008 14:44 ]

Het lijkt inderdaad op een nieuwere variant van Sality. Ergens doet het bij mij hoop leven dat NOD32 het nu herkent, cleanen is dan nog wel niet mogelijk, maar herkennen is alvast iets...

MADG0BLIN schreef op donderdag 17 april 2008 @ 13:22:
Er komt zometeen iemand langs die is aangeraden door onze virus leverancier. Die gaat een volledige netwerk scan doen en nog wat andere dingen.
Hij is er over een half uur. Zal dan nog een update doen.
Voor de rest hebben we geen nieuws.

Welke keylogger is het precies?

Nog nieuws?
Met betrekking tot de netwerkscan

hier hebben we de kogel door de kerk. fileserver en werkstations worden geherinstalleerd. *zucht*

Verwijderd schreef op donderdag 17 april 2008 @ 13:59:
C:\Documents and Settings\user\Local Settings\Temp

daarin komen de .exe bestanden te staan die mede voor een infectie zorgen.
En tevens worden er in het register de firewall van de clients uitgezet.

kan je die map niet schrijfbaar maar onleesbaar maken voor alle gebruikers?
(buiten je eigen account waarmee je de server doorzoekt?)

dan stop je mogelijk al het opnieuw binnenkomen van de troep.

Je hebt / jullie hebben er in ieder geval de handen mee vol.
Een rechtstreeks gevecht tussen echte beheerders en 'invaders'
(hou er in ieder geval een hub tussen met daaraan een volledig afgeschermde client die snift. en logt
zodoende dat je altijd achteraf een lijst van verbindingen hebt en overgedragen file's - anderen kunnen daarmee misschien verder om verdere infectie's te voorkomen, en jullie kunnen er ev. schade-claims mee staven) en log ook je eigen actie's en de reactie's van de troep - al is het met pen en papier - zodoende dat je gericht een "lokale tegen-aanval" kunt doen.

is het ook niet mogelijk om de clients op een soort virtuele pc te laten werken ?
dan kunnen er geen programma's geïnstalleerd worden of bij de volgende reboot zijn ze weer weg.

pm1 schreef op donderdag 17 april 2008 @ 17:19:
is het ook niet mogelijk om de clients op een soort virtuele pc te laten werken ?
dan kunnen er geen programma's geïnstalleerd worden of bij de volgende reboot zijn ze weer weg.

Maar als je Domein controller geïnfecteerd is en je wilt de pc aan het domein hangen ben je de sjaak.
Dan moet je direct op internet zitten met de pc en niet nog op een switch of wat (of zodanig afschermen (23 vlan's ?) anders gaan ze elkaar infecteren.
En dan zit je weer met de mailserver / citrix servers.

OK, ik volg dit topic ook al met grote interesse...
Ik ben nog maar 14, en verwacht niet dat ik erg veel zal kunnen helpen, maar dan hier toch al eventjes een overzicht:

Virussen gevonden, en door welke virusscanner:

Win32/Horst.gen33 Norman
Win32/Agent.NTJ trojan NOD32 ?
Win32/Sality.NAO virus NOD32 ?
Win32/SpamTool.Agent.NAR trojan NOD32 ?
Application.Component.Keyloggers NOD32 ?
Virus Lop AVG
Trojan Horse Generic9.AVKK AVG
Win32/Genetik NOD32
Vundo.F AVG
Adware.Virtumonde AVG
Proxy.ABAC AVG
Backdoor.NTrootkit.AM AVG

Wat gebeurt er allemaal:

- Er worden nieuwe virussen gedownload
- Na verwijderen van virussen komen ze terug
- Virussen zorgen ervoor dat CPU constant op 100% draait
- Virussen zorgen voor andere virussen in de Temp directory
- Virussen infecteren de andere machines in het netwerk
- De virussen besmetten andere executable's, die oorspronkelijk legitieme MS processen waren.
- Virussen krijgen random namen


Oplossingen tot nu toe:

- De Temp directory weinig rechten geven
- PC's aan internet hangen via Proxy.
- PC's niet aan internet hangen

Ik hoop dat er snel een goede oplossing komt, liefst van de Anti - Virus producenten...

Als er iets mis is met m'n lijstje zeg maar

Je lijst klopt idd aardig. De temp minder recht geven scheelt idd een hoop.
Wij hadden het zelfs in ons admin account zitten. Op dit moment de enige "voorlopige" oplossing is her-install (en ja het kan terug komen)

De virus boeren moeten snel met een oplossing komen. Hoor hier en daar namelijk steeds meer geluiden dat het aan het verspreiden is. Het gaat zo diep dat het op kernel niveau zit. De scanners herkennen het wel maar kunnen er verder niks mee.

Het heeft ons een hoop tijd gekost en de klant natuurlijk ook. Verder wat belangrijk is op dit moment geen usb sticks of wat dan ook toe laten op je netwerk. En wij checken alles offline. De proxy oplossing hebben wij niet geprobeerd aangezien we toen al bezig waren met het netwerk opbouwen.
Gelukkig zijn we nu al aardig ver. Domein draait weer en exchange loopt ook weer. vanmiddag zijn de citrix servers opnieuw geinstalleerd. En straks gaan collega's de software voor de citrix clients installeren. Voor mij is het op dit moment tijd om te gaan slapen. Het mannetje met de hamer is al een aantal uurtjes aan het hakken bij me

De backup van voor het virus moet eerst op een isolated omgeving nagekeken worden voor er een restore gemaakt wordt. Wie weet zit er een incubatie tijd op of wat dan ook.
Heb weleens met vervelende virussen te maken gehad.... maar dit slaat alles

tevens hebben we ook gelijk wat extra beveiliginging ingebouwd doormiddel van een Sonicwall en een Sonicwall email appliance

[ Voor 15% gewijzigd door Verwijderd op 17-04-2008 19:11 ]

Verwijderd schreef op donderdag 17 april 2008 @ 19:08:
Je lijst klopt idd aardig. De temp minder recht geven scheelt idd een hoop.
Wij hadden het zelfs in ons admin account zitten. op dit moment de enige "voorlopige" oplossing is her-install (en ja het kan terug komen)
De virus boeren moeten snel met een oplossing komen. Hoor hier en daar namelijk steeds meer geluiden dat het aan het verspreiden is. Het gaat zo diep dat het op kernel niveau zit. De scanners herkennen het wel maar kunnen er verder niks mee.
Het heeft ons een hoop tijd gekost en de klant natuurlijk ook. Verder wat belangrijk is op dit moment geen usb sticks of wat dan ook toe laten op je netwerk. En wij checken alles offline. De proxy oplossing hebben wij niet geprobeerd aangezien we toen al bezig waren met het netwerk opbouwen.
Gelukkig zijn we nu al aardig ver. Domein draait weer en exchange loopt ook weer. vanmiddag zijn de citrix servers opnieuw geinstalleerd. En straks gaan collega's de software voor de citrix clients installeren. Voor mij is het op dit moment tijd om te gaan slapen. Het mannetje met de hamer is al een aantal uurtjes aan het hakken bij me

Weltrusten.
Ook alle workstations opnieuw geherinstalleerd?
En de Fileserver?
Mail archieven waren die niet besmet.

LuckyY schreef op donderdag 17 april 2008 @ 19:11:
[...]


Weltrusten.
Ook alle workstations opnieuw geherinstalleerd?
En de Fileserver?
Mail archieven waren die niet besmet.

Mail was niet besmet of tenminste niet vanaf afgelopen zaterdag. De restore van maandag durven we op moment nog niet live te doen natuurlijk.
De fileserver gaf redelijk wat problemen. Maar wederom hebben we een vm terug gekregen die clean was en daarna de backup gegevens van zaterdag terug gebracht.
Slapen... ooo ja heb mijn bedje de afgelopen dagen te weinig gezien

Eerst van dinsdag om 16:30 tot 2:00 gezocht naar een oplossing gezocht en toen besloten om de boel maar down te gooien. Effe naar bed en om 6:00 verder voor een oplossing.. helaas aangezien de klant zeer belangrijk is in de maatschappij was voor ons het tijd om een beslissing te nemen om de klant zo snel mogelijk in een werkende productie omgeving te brengen.
Dus tot 24:00 uur door gegaan en alle clients een nieuwe install gegeven zodat vanmorgen de users iig weer toegang tot mail en mappings hadden.

Met ons team van 4/5 man zijn we hier goed ingeslaagd moet ik zeggen ! (en ja ze lezen ook mee )

iig jammer dat het gebeurde maar dat het redelijk goed is opgelost (niet alles in gerestored maar dat was ook niet mogelijk)

En om de minuut f5 te beuken

[ Voor 19% gewijzigd door LuckY op 18-04-2008 08:04 ]

soulrider schreef op donderdag 17 april 2008 @ 17:01:
[...] (hou er in ieder geval een hub tussen met daaraan een volledig afgeschermde client die snift. en logt zodoende dat je altijd achteraf een lijst van verbindingen hebt en overgedragen file's [....]

Een goed ingerichte netwerk sniffer heeft geen IP protocol aan staan op de poort waarmee het netwerk verkeer gemonitord wordt.
Hij is dus automatisch volledig afgeschermd, tenzij een andere netwerkkaart alsnog met een 'vuil' netwerk verbonden is.

We have the same problem, three trojan/viruses:
agent.nar, agent.ntj and Sality.NAO since monday this week

eset recognize this, polish online antyvirus mks (mks.com.pl)
find it too, but not recognized by name

I can't find any solution, eset works and sign files as bad...
and nothing else...

best regards

Het is een heel vervelend virus wat je maar niet weg kunt krijgen.
De specialisten van Norman zijn druk doende om hiervoor een fix te maken.

Verwijderd schreef op donderdag 17 april 2008 @ 21:34:
We have the same problem, three trojan/viruses:
agent.nar, agent.ntj and Sality.NAO since monday this week

eset recognize this, polish online antyvirus mks (mks.com.pl)
find it too, but not recognized by name

I can't find any solution, eset works and sign files as bad...
and nothing else...

best regards

Not sure how your Dutch is but there is not a real cure as of now >> the systems affected are being re-installed without any guarantee that it will not re-occur.
What helped so-far to contain the virus -partilally- is:
- De Temp directory weinig rechten geven | restrict all users rights to the Temp dir (path somwhere in this post, search in upper right of your screen use searching 'Dit topic AND' which is default setting.
- PC's aan internet hangen via Proxy.| If internet access is needed use a (authenticating?) proxy server, the virus is not desgined to handle that.
- PC's niet aan internet hangen | use no internet connection at all, obvious but in cases like this best.
Any idea where your infection started, what OS / Servers do you use?

edit: btw just translating and not affected my self, all credits and the best of luck to the guys that did not sleep much last week.

[ Voor 5% gewijzigd door franssie op 17-04-2008 22:05 ]

Verwijderd schreef op donderdag 17 april 2008 @ 21:34:
We have the same problem, three trojan/viruses:
agent.nar, agent.ntj and Sality.NAO since monday this week

eset recognize this, polish online antyvirus mks (mks.com.pl)
find it too, but not recognized by name

I can't find any solution, eset works and sign files as bad...
and nothing else...

best regards

Are u also using Citrix ?

There might be a flaw in there but im not shure.
But it could also be a user-infection.

Its hard to search if you dont know the source.
Can u list some basics things you use in your network ?
Perhaps: thinclients or something?

infected started at monday this week, we use windows xp, 2000, 98 and novell server (6.5)

source.... hmm... I supouse pendrive...

[ Voor 19% gewijzigd door Verwijderd op 17-04-2008 22:13 ]

LuckyY schreef op donderdag 17 april 2008 @ 22:08:
[...]

Are u also using Citrix ?

There might be a flaw in there but im not shure.
But it could also be a user-infection.

Its hard to search if you dont know the source.
Can u list some basics things you use in your network ?
Perhaps: thinclients or something?

and to add to that (if I may ask) , which version(s) of Citrix were you using and was is intrAnet or intERnet access provided to your customers? And with that, which version of IIS (I assume) was used?

we not use Citrix, we have network with windows xp, 2000 and 98 ( ),
and server with novell 6.5

sorry for my english !

Verwijderd schreef op donderdag 17 april 2008 @ 22:32:
we not use Citrix, we have network with windows xp, 2000 and 98 ( ),
and server with novell 6.5

sorry for my english !

Which language is youre native tongue

About you're problems without topic stealing, they are the same as topic starter

Keep in mind Server OS, and client OS en what virus scanner is beeing used. Also describe how you're internet is deliverred en protected en what country you're living in

Try to describe what happened

[ Voor 3% gewijzigd door aReaRe op 17-04-2008 23:07 ]

I am from Poland
Server: Novell 6.5
Client: Windows XP (Pro & Home), 2000 and 98 (about 30 stations)
Internet: by DSL

Since last monday our network work wery slowly.

We use eset nod32. All client are infected
agent.nar, agent.ntj and sality.nao and work
very slowly...

I have a many files in tmp folder
with strange names like "12ada12.exe" ...

Verwijderd schreef op donderdag 17 april 2008 @ 23:19:
I am from Poland
Server: Novell 6.5
Client: Windows XP (Pro & Home), 2000 and 98 (about 30 stations)
Internet: by DSL

Since last monday our network work wery slowly.

We use eset nod32. All client are infected
agent.nar, agent.ntj and sality.nao and work
very slowly...

I have a many files in tmp folder
with strange names like "12ada12.exe" ...

sounds like same so no topic stealing (topic theft was meant I guess).
we had a guess here that citrix might have been a cause but as you do not use that, that lead is dead.
Good luck but get rid of the W98 clients and re-think the W2K clients - they are not suitable for networking at all, at least not since a long time.

/edit//: [for dutch readers] ik ga ervanuit dat iedereen hier engels kan en er geen problemen mee heeft, anders zouden we een kopie draad kunnen starten maar da's niet handig ivm delen info. Ik vond het al zo raar dat het probleem zo geisoleerd leek maar dat blijkt dus niet het geval te zijn?

[ Voor 16% gewijzigd door franssie op 18-04-2008 00:15 ]

joopv schreef op donderdag 17 april 2008 @ 20:04:
[...]

Een goed ingerichte netwerk sniffer heeft geen IP protocol aan staan op de poort waarmee het netwerk verkeer gemonitord wordt.
Hij is dus automatisch volledig afgeschermd, tenzij een andere netwerkkaart alsnog met een 'vuil' netwerk verbonden is.

dat is waar, maar in de vlugte wordt er soms een client gebruikt die eerst wordt aangesloten en geboot wordt voordat men protocols gaat uitschakelen en/of de sniffertool opstart.
daarmee dat ik het expliciet vermelde
(draai hier regelmatig een sniffer op mijn eigen pc's - het enigste protocol dat daar op staat is tcp/ip al de rest gebruik ik toch niet...- heeft me al regelmatig net die ene hint bezorgt dat er iets mis was en wat)

ik ben blij dat ik er zelf geen last van heb, en anderzijds vind ik het ook wat jammer. ben wel te vinden voor zulke uitdagingen.

[ Voor 7% gewijzigd door soulrider op 18-04-2008 00:44 ]

Ik volg dit topic zoals vele anderen met grote interesse en hoop natuurlijk dat er snel een oplossing komt voor de gedupeerden. Ik weet dat het ver gezocht is, maar wie zegt dat onze buitenlandse gast niet de schrijver/één van de schrijvers van de rootkit is en jou o.a. niet die mogelijke Citrix lead verder wilt laten uitzoeken door je op het verkeerde been te zetten. Hij kan hier zo via Google terecht zijn gekomen. Nogmaals, ver gezocht maar aangezien er als ik het goed heb gelezen door de geinfecteerde machines enige datacommunicatie naar van die vage landen als Rusland was, een beetje wantrouwen in dit geval best op z'n plaats mag zijn.

[ Voor 7% gewijzigd door temp00 op 18-04-2008 01:24 ]

temp00 schreef op vrijdag 18 april 2008 @ 01:18:
Ik volg dit topic zoals vele anderen met grote interesse en hoop natuurlijk dat er snel een oplossing komt voor de gedupeerden. Ik weet dat het ver gezocht is, maar wie zegt dat onze buitenlandse gast niet de schrijver/één van de schrijvers van de rootkit is en jou o.a. niet die mogelijke Citrix lead verder wilt laten uitzoeken door je op het verkeerde been te zetten. Hij kan hier zo via Google terecht zijn gekomen. Nogmaals, ver gezocht maar aangezien er als ik het goed heb gelezen door de geinfecteerde machines enige datacommunicatie naar van die vage landen als Rusland was, een beetje wantrouwen in dit geval best op z'n plaats mag zijn.

Eerlijk is eerlijk, de gedachte kwam ook bij mij op, maar aan de andere kant is het logisch dat juist ook in Oost-Europa (dichter bij Rusland) schade is.

[ Voor 5% gewijzigd door mae-t.net op 18-04-2008 02:50 ]

mae-t.net schreef op vrijdag 18 april 2008 @ 02:34:
[...]


Eerlijk is eerlijk, de gedachte kwam ook bij mij op, maar aan de andere kant is het logisch dat juist ook in Oost-Europa (dichter bij Rusland) schade is.

Het is allemaal vergezocht maar het kan ook zo via een stick zijn binnengekomen.

Goed stel het zit op een drager... waardoor wordt het dan geactiveerd om zich te gaan nestelen in het systeem? Door het mounting-proces van Windows.

Eigenlijk zou je het virus ergens in een veilige omgeving hier op moeten testen en kijken hoe het zich gedraagt. Eventueel binnen een virtueel machine met pauze functie.