Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Virus? maar Antivirus vind niets

Pagina: 1
Acties:

  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 29-11 17:14
vreemd probleem op mijn werk, begon met terminal server (2003) die opeens om de CD vroeg vanwege Windows File Protection. Braaf gedaan (helaas) systeem is daarna richting 100% CPU gegaan en niet meer gedaald. Pagefile groeit en groeit. Oudere image terug gezet en systeem is in ieder geval weer werkzaam.

Virusscan gedraaid, niets gevonden.

Op verscheiden werkstations (XP) meldingen van Firewall dat er iets geblokt is (explorer.exe).

We werken met McAfee 8.7 SP4, al moet ik eerlijk bekennen dat nog niet alles up2date is :( . Sommige systemen draaien nog 8.0 of helemaal niets. We zijn druk bezig om alles overal te upgraden en zoeken ons suf op Internet, maar komen niet met de beroemde vinger op de juiste plek. Is er iemand die iets van dit verhaal herkend en ons in de juiste richting kan wijzen?

BVD

Hattrick: Thorgal Eagles


  • Rupie
  • Registratie: Augustus 2006
  • Laatst online: 13-11 11:58
Je zou kunnen proberen om er een scan via internet overheen te halen. Het klinkt wel als een probleem met een virus in ieder geval.

Desktop | Server | Laptop


Verwijderd

Inderdaad opnieuw scannen met een up2date viruspakket.

Aangezien het een Terminal server is en gezien je viruspakket niet up2date was krijg ik ook mijn bedenkingen in jou/jullie security policies op de TS. Wellicht ook verstandig om een spyware pakket te installeren ( niet alle virusscanners dedecteren namelijk alle spyware )

  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 29-11 17:14
Het is wel degelijk een virus, alleen vind Mcafee 8.7 SP4 en het bijbehorende spywarepakket niets. Symptomen zijn Windows File Protection op Server 2003 systemen en Windows Firewall blokkeringen op XP machines.

We zijn ook in overleg met onze leverancier van Mcafee, maar het probleem is gewoon dat we niets kunnen melden, behalve deze 2 symptomen en de machines die vollopen qua geheugen/PageFile.

Daarom deze wanhoopskreet met weinig houvast voor jullie, in de hoop dat iemand iets herkende, kan me namelijk niet voorstellen dat we de enige zijn.

Hattrick: Thorgal Eagles


  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 29-11 17:14
Update:

we denken de boosdoener gevonden te hebben:
http://vil.nai.com/vil/content/v_287053.htm

Hattrick: Thorgal Eagles


Verwijderd

Voegt niks toe. Krijgt later uitleg via PM

[ Voor 92% gewijzigd door iisschots op 10-10-2010 02:33 ]


  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 29-11 17:14
Update:

we zijn nu een aantal werkdagen van meer dan 12 uur verder en de stand is Virus 4 McAfee 1

Dit heb ik nog niet eerder gezien (ben meer dan 10 jaar systeembeheerder) en het bedrijf hangt aan een zijden draadje.

Het virus is rond 1 oktober begonnen (en gelijk bij ons) en McAfee detecteert elke variant continu pas een paar dagen later. Er lopen nu continu mensen van onze AV-leverancier met ons mee en we krijgen het niet onder controle.

McAfee is nu vervangen door AVG en nu is duidelijk dat elke executable geinfecteerd is. Helaas kan AVG niet meer dan geinfecteerde exe bestanden weggooien/detecteren, vervolgens kunnen de gebruikers niet meer bij die applicaties en ligt het bedrijf stil. Door toe te staan dat onze applicaties geinfecteerd zijn en ze niet te scannen kan men doorwerken en hopen wij tijd te winnen en wachten op de nieuwere updates van AV.

We hopen nu ons serverpark schoner te houden en via software niet wijzigbare clients uit te rollen.

Heb net even 4 uur geslapen en ga nu weer een lange werkdag tegemoet ;w

Hattrick: Thorgal Eagles


  • Djwhal Khul
  • Registratie: Maart 2004
  • Laatst online: 13-01 08:21
Mischien gek om te proberen maar zet eens malware-bytes op de machines en laat deze draaien.

Een andere optie is om Combofix te draaien op de machine. Deze is niet bedoeld voor servers maar heeft mij al eens geholpen.

Werkt alleen op X86 machines.

Getest op een SBS 2003 server....

  • Gammo
  • Registratie: Oktober 2010
  • Niet online
Voor Malwarebytes' Anti-Malware hebben bedrijven een licentie nodig. :)

ComboFix werkt niet op serverbesturingssystemen. En zelfs al zou dat wel zo zijn, dan zou het alsnog geen goed idee zijn, vind ik zelf:
You should not run ComboFix unless you are specifically asked to by a helper. Also, due to the power of this tool it is strongly advised that you do not attempt to act upon any of the information displayed by ComboFix without supervision from someone who has been properly trained. If you do so, it may lead to problems with the normal functionality of your computer.
bregweb, weet je om welke infectie het gaat? Welke naam geeft AVG hem?

  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 29-11 17:14
Zo eindelijk kan ik antwoord geven, het gaat om Zbot, of een of andere variant. De werkdag waar ik woensdag 1100 uur over schreef duurde uiteindelijk tot donderdag 1900 uur 8)7 Vandaag is mijn 1e dag vrij, maar vanaf vrijdag heb ik wel normaal kunnen slapen.

Achteraf gezien is het grootste probleem geweest dat wij vanaf dag 1 met het virus te maken hadden en Mcafee pas 4 dagen later met een detectie kwam. Hierdoor was dus echt alles bij ons besmet, servers en workstations. Alle 11 servers zijn uiteindelijk teruggezet vanaf een BU van een maand terug, daarna is de data restored tot op heden. Daarna 1 voor 1 werkstations aangesloten en via AV-manager van Mcafee uitgerold.

Het heeft wat uren gekost maar we hebben het bedrijf draaiende kunnen houden. We zijn nu nog steeds bezig om alle foutjes uit de workstations te slopen die door haast/slaapgebrek zijn vergeten, en de rest van de week gaan we ook de overige, minder belangrijke systemen scannen, cleanen en weer inzetten.

Dan komt daarna hopelijk wat tijd om mijzelf wat meer in te lezen in Zbot en wat het precies doet.

Hattrick: Thorgal Eagles

Pagina: 1