Sonstiges > Offtopic

Ganz bös erwischt

(1/4) > >>

eknori:
Bei uns grassiert die "Computergrippe". Klingt lustig, hält uns aber seit 2 Tagen derbe auf Trab.
Angefangen hat es mit einer 1sass.exe, die irgendwie ins System gekommen ist. Die hat sich dann hübsch verbreitet und die AV Lösung ( Panda ) hat nicht einmal Alarm geschlagen. Hier wurde dann offenbar Tür und Tor für einen Trojaner geöffnet, der nun das hartnäckigste Botnet installiert hat, das ich je gesehen habe.
Momentan sieht es so aus, daß kein AV hersteller in der Lage ist, hgier zu helfen. Panda kann die Infektion erkennen und beseitigen; im gleichem Moment installiert sich der Scheiss wieder neu. Durch Myriarden von ARP requests kommt kein Client mehr an irgend einen Server.
...

DAU-in:
also derzeit nicht Kurzarbeit 0?

eknori:
Für uns nicht; die Mitarbeiter schon.

Ralf_M_Petter:
Mein Beileid!

Das einzige was da hilft Netzwerk disconnecten und mit LInux Livecd den Rechner booten und Virus entfernen. Bei sehr vielen Rechnern eventuell eine automatisierte Livecd erstellen, die die schadhaften Dateien ersetzt.

Grüße

Ralf

eknori:
Hier die neuesten Info's

--- Zitat ---This worm dops a copy of itself as c:\WINDOWS\system\1sass.exe and installs a rootkit in c:\WINDOWS\system32\drivers\sysdrv32.sys. The rootkit is installed as a service sysdrv32.
Then, the worm adds in the registry:

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system\1sass.exe"

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system\1sass.exe"
--- Ende Zitat ---

Sieht zwar nach dem alten 1sass aus, ist er aber wohl nicht.

Navigation

[0] Themen-Index

[#] Nächste Seite