Hi,
ich kümmere mich zur Zeit um das Windows-Netzwerk an unserm Institut. Es ist nur eine kleine Workgroup mit zwei Fileservern, einer Windows NT und einer Windows Server 2003. Auf den Servern läuft Sophos Antivirus...bzw lief...
Gestern trat auf einem der XP-Rechner das Problem auf, dass Sophos deaktiviert wurde...es lies sich nicht mehr starten und nicht neu installieren. Die Tastenkombination STRG-ALT-ENTF wurde deaktiviert, der Taskmanager lässt sich jedoch noch über rechtsklick auf die Taskleiste starten.
Eine hijackthis-Durchsuchung gab erstmal nichts auffälliges, außer einer Datei, die ich jetzt nichtmehr im Kopf habe (habe das System ziemlich schnell geplättet...).
Nach mehrmaligen Versuchen mit neuinstalliertem Kaspersky und AntiVir, welche entweder nichts fanden, oder die betroffenen Dateien nicht fixen konnten, hatte ich den McAfee Rootkit Revealer installiert, der mir zeigte, dass lsass.exe und svchost.exe als hidden process liefen. Beim Versuch eines dieser zu terminieren, schlägt das Autoritätssystem an und will den Rechner in 60 Sekunden runterfahren, was ich mit shutdown -a abbrach.
Naja neu aufsetzen war für mich die einzige sinnvolle Lösung, doch dann heute der Clou: auf dem Windows 2003 Server ist Sophos deaktiviert und STRG-ALT-ENTF ebenefals
Auf dem NT-Server "nur" STRG-ALT-ENTF deaktiviert.
Der Virus, Trojaner oder was auch immer breitet sich im gesamten Netzwerk aus und ich habe keine Ahnung wie.
Auf allen Rechner waren Firewall aktiv und neuste Sicherheitspatches und Servicespacks (beim NT-Server bin ich nicht sicher, aber grade der leistet noch den größten Widerstand, wenn Sophos noch läuft
Auf dem 2003 Server habe ich im abgesicherten Modus eine Sophos-Commandline Version von der Sophos-HP drüberlaufen lassen. Sie fand nichts. Wahrscheinlich durch das Rootkit sicher versteckt...
Hat jemand ne Ahnung, mit was ich es zu tun habe? Ist es sinnvoll beide Server neu aufzusetzen? Wie hoch ist die Gefahr für alle anderen Rechner im Netzwerk, wie kann sich das Zeug überhaupt überall einnisten, ohne das eine Benutzereingabe nötig ist (die Server laufen ja einfach und niemand arbeitet dran)?
Achso: Auf dem NT-Rechner läuft der Rootkit-Detective nicht.
Genauere hijackthis-logs oder ähnliches kann ich erst morgen geben, wenn ich wieder vor Ort bin. Lediglich auf den NT-Server hab ich im Moment Remotezugriff, der 2003 Server ist erstmal aus.
Vielen Dank schonmal!
Jan
Jan Dz. Gast |