[ERLEDIGT] Wie WORM/Conficker.Z.24 und Kido.IH.54 beseitigen!

[agape]

Hallo,

ich habe hier einen Desktop-PC, der vom Wurm Conficker Z.24 sowie vom Wurm Kido.IH.54 befallen ist. Der PC besitzt
keinen Internetzugang und ist wohl aus diesem Grunde nicht regelmäßig mit Microsoft Updates geupdatet worden. Ausserdem
besitzt der PC aktuell keinen Virenscanner. Aufgabe des PC war es, medizinische Bilder von CD/DVD/USB einzulesen und diese
auf einem Server abzulegen. Der Server ist mit Linux Debian Etch aufgesetzt und besitzt ebenfalls keinen Internetzugang sowie
keinen Virenscanner. An dem Server ist ansonsten kein weiteres Gerät angeschlossen.

Betriebssystem des PC ist Windows XP, die beiden Festplatten laufen ausserdem im RAID-Verbund.

Ich habe die aktuellste "AntiVir Rescue CD" von Avira gedownloaded, den PC von der CD gebootet
und das System gescannt. Es wurden 5 befallene Dateien vom Conficker sowie eine Datei von Kido gefunden.

Das Problem ist, dass der PC - wenn überhaupt möglich - nicht neu aufgesetzt werden darf.

Habe nun ein paar Fragen:

1. Kann jemand effektive Tools zur Entfernung dieses Wurmes vorschlagen?

2. Wie groß ist die Wahrscheinlichkeit, dass der Server ebenfalls mit dem Wurm infiziert ist? Da dort ja
ein Linux-Betriebssystem installiert ist, ist doch die Wahrscheinlichkeit eher gering???

Grüße,
agape

 

[puntohgt2008]

Im Normalfall hat jeder Antiviren-SW Hersteller spezielle Tools, die auf die jeweiligen Viren zugeschnitten sind.

Z.B. hier: http://www.sophos.com/products/free...ampaign=DE AW Special&utm_term=AWDE-conficker - Conficker Removal Tool

 

[drkohl]

Hallo,

ich hatte genau das gleiche Problem. Conficker auf einem Rechner, der auf keinen Fall plattgemacht werden durfte. Bei mir hat die Avira-Rescue-CD ausgereicht, um den Wurm (zumindest symptomatisch) zu beseitigen. Seidem (3 Monate) ist nichts auffälliges mehr feststellbar.

Der Linuxrechner wird zwar kein befallenes System haben, aber der Wurm kann dort natürlich trotzdem auf der Platte liegen und sich wieder auf den Windowsrechner zurückkopieren. Der ist wirklich sehr hartnäckig. Also die Linuxkiste auch "desinfizieren".

 

[aleskr]

Hi !

Ich würde mir entweder Avira Antivir Personal installieren (kostet nichts). Ist ziemlich gut, was Virenerkennung und Entfernung angeht (auch Wurmbefall) oder aber in der aktuellen ct gibt es eine Jahreslizenz für NOD32 Antivirus (normalerweise kostenpflichtig). Dieses ist ebenfalls sehr gut und empfehlenswert.

Auf die Schnelle würde ich sagen, versuch mit Antivir Personal Dein Glück. Einfach installieren und dann Komplettscan durchführen.

 

[drkohl]

[quote='aleskr',index.php?page=Thread&postID=743297#post743297]versuch mit Antivir Personal Dein Glück.[/quote]
Der bekommt den Conficker nicht gelöscht. Kaspersky kann das, aber da traue ich dem Frieden nicht (also wenn der Scan unter Windows durchgeführt wird). Der Rescue-Disk mit dem Mini-Linux schon eher, damit sollte der Wurm ja nichts anfangen können...

Edit: Orthographie.

 

[agape]

Danke für die Antworten.

Ich versuche gerade mit AntiVir Rescue System die "Würmer" zu löschen. Vorhin habe ich nur
die Option "Suchen und Reparieren" gesetzt gehabt - nun Scanne ich mit der Option "Löschen".
Die erste befallene Datei wurde soeben gefunden und gelöscht. Bin optimistisch dass er die anderen
Files ebenfalls findet und löscht. Hoffe nur, dass es keine wichtigen Dateien waren und der
Rechner dannach auch wieder neu startet.

In Zukunft wird der Rechner dann regelmäßig manuell mit Windows Updates versorgt und
AntiVir Professional aufgespielt (mit manuellen Updates).

 

[drkohl]

[quote='agape',index.php?page=Thread&postID=743302#post743302]Vorhin habe ich nur
die Option "Suchen und Reparieren" gesetzt gehabt [/quote]
Das ist beim ersten Durchlauf auch sinnvoll. Dann kann man erstmal in die Liste mit den Funden schauen, ob da der Scanner nicht aus Versehen eine wichtige Datei fälschlicherweise für einen Virus hält. Wenn man sich dann sicher ist, kann man den Löschdurchlauf machen.

Viel Erfolg!

 

[Schnitzel2k8]

In der aktuellen CT müßte auch wieder Knoppicillin sein. Damit wirst du das Zeug ganz sicher los.

 

[Mornsgrans]

Du solltest außerdem versuchen, herauszufinden, wie die Würmer ohne Internetzugang überhaupt auf den Rechner gelangt sind. Das kann ja dann nur über externe Datenträger, wie USB-Stick etc. erfolgt sein.
Hier bietet sich an, die Anschlüsse/Laufwerke stillzulegen, sonst sind die Würmer morgen wieder drauf, nur weil jemand seinen privaten und verseuchten USB-Stick wieder angeschlossen hat.

 

[agape]

Bei dem PC werden täglich dutzende CDs/DVDs sowie Daten über USB eingelesen. (Es handelt sich hierbei
um medizinisch wichtige Daten, die dem Datenschutz unterliegen). Wieso an dem PC in Vergangenheit
keine regelmäßigen Updates sowie kein Antivirenprogramm installiert war ist mir schleierhaft - aber das
ändert sich ab heute :thumbsup: !

Die Würmer wurden übrigens von der AntiVir Rescue System-CD erfolgreich erkannt und "erlegt".

 

[drkohl]

[quote='Mornsgrans',index.php?page=Thread&postID=743328#post743328]wie USB-Stick etc. erfolgt sein.[/quote]
Gerade der Conficker verbreitet sich über USB-Sticks mithilfe einer "autorun.inf". Fieses Ding, dass mich schon zwei ganze Wochenenden gekostet hat. Ich würde USB-Datenträger sehr gerne per GPO oder sonstwas ausschließen, aber das ist so nicht gewünscht und auch nicht praktikabel.

 

[agape]

Genau - eine Datei mit dem Namen "autorun.inf" war in diesem Fall ebenfalls befallen!

 

[lyvi]

..... Aufgabe des PC war es, medizinische Bilder von CD/DVD/USB einzulesen und diese .....

waren denn die würmer in den Bildern ?
wenn ja, sind die bei jedem windowszugriff natürlich grad wieder auf der kiste.
in den bildern findet sie der scaner nicht.
du brauchst also einen virenscaner der währen dem kopieren von jeweiligen datenträger die daten durchforstet.
zudem kommt es noch auf die einstellungen an, des scaners.
sind die daten gepackt muss der scaner so eingestellt werden das er die daten entpackt,
sonst findet er die "verseuchten" daten auch nicht.
welches format haben den die fotos ?

 

[2647-4EG]

[quote='agape',index.php?page=Thread&postID=743289#post743289]Das Problem ist, dass der PC - wenn überhaupt möglich - nicht neu aufgesetzt werden darf.[/quote][quote='agape',index.php?page=Thread&postID=743333#post743333](Es handelt sich hierbei um medizinisch wichtige Daten, die dem Datenschutz unterliegen)[/quote]Dann gehört der Rechner IMO neu aufgesetzt. Ob das mit hohem Aufwand verbunden ist, darf in dem sensiblen Umfeld keine Rolle spielen. Ich finde das nicht gerade verantwortungsbewusst und würde schnellstens Praxis bzw. Krankenhaus wechseln, wenn ich als Patient davon Wind bekäme.

 

[agape]

Klar - eine Neuinstallation habe ich empfohlen - wurde jedoch vorerst abgelehnt.
Es handelt sich um KEINE Praxis oder Krankenhaus - niemand muss Angst haben.

Weitere Fragen würde ich gerne (um eventuell berechtigte Einwände wie von 2647-4EG nicht weiter Nahrung zu geben) nicht beantworten.

Nochmals Danke für Eure Hilfe.

 

[Mornsgrans]

[quote='agape',index.php?page=Thread&postID=743333#post743333]Bei dem PC werden täglich dutzende CDs/DVDs sowie Daten über USB eingelesen.[/quote]
Dann müssen die Rechner, von denen diese Datenträger kommen, ebenfalls entseucht werden, ansonsten ist es vergebliche Liebesmüh - besonders, wenn diese Rechner Internetzugriff haben...