PDA

Vollständige Version anzeigen : Virenherkunft feststellen


Khelben
15.03.2004, 11:42
Hallo zusammen,

kennt jemand eine Möglichkeit mit der man den Virenherkunftsort herausbekommt? Genauer: Ich habe zig Rechner in einem Netzwerk und von irgendeinem Rechner kommt ständig ein Virus..nämlich der Blaster... Er kann bei uns zwar keinen Schaden anrichten, aber die Meldung des Virenscanners ist schon nervig auf Dauer. Infiziert sind bei uns 2 Win2000-Server, die aber nicht online gehen können. Die beiden Rechner hängen in 2 Netzen (2 Netzwerkkarten) Unser Netz ist sauber und ich vermute, dass in dem anderen Netz irgendwo der Fiesling steckt, ich kann aber nichts nachweisen....weiß da irgendjemand Abhilfe?

Gruß

Markus

J_Eilers
15.03.2004, 13:03
Hi,

so genau kenne ich mich dann auch nicht aus, aber IMHO sollten in den LogFiles doch auch neben dem Virus der Fundort stehen.

Khelben
15.03.2004, 14:21
Leider nur der Dateiname und der hilft mir leider nicht so wirklcih weiter, da dieser lokal ist und zudem nichtssagend, sprich die Datei wurde irgendwoher oder vom Virus angelegt. Aber der Ursprungsort ist leider nicht ersichtlich.

grandpa
18.03.2004, 12:29
Hi...

...wenn es der MsBlaster.E ist musst du nach einer laught.exe suchen,
ist meist im windows system zu finden.
Datei umbennen, neu starten, umbenannte Exe löschen und Blasterpatch von Microsoftseite saugen.

.......vielleicht hilfts.

mfg Grandpa


Wissen ist Macht ...nichts wissen macht auch nichts.

Khelben
18.03.2004, 15:37
Hi,

es geht mir weniger darum den Blaster zu eliminieren, sondern mehr darum den infizierten Rechner zu identifizieren. Ich hätte gern ein Programm in der Art: Virus gefunden, Typ: xyc: Quelle: IP 192.168.1.0 so oder so ähnlich.

Gruß

Markus

kaosqlco
18.03.2004, 22:45
Hallo Khelben,

bastel Dir doch in VB ein Suchprogramm, den Datenamen weist Du doch.
Ich habe mal sowas verwendet, um Rechner im Netz nach nicht freigegebener Software abzusuchen.
Das Programm hat den Rechnernamen aus eines Access-DB bezogen, sich Laufwerk C:\ über die C$-Freigabe als Laufwerk gemapped und nach Dateien gesucht. - Danach Laufwerk trennen und nächster Rechner.

Ich weiß aber nicht, ob sich nicht schon dadurch der Blaster verbreiten kann.

Gruß Jan

Khelben
19.03.2004, 09:15
Hallo Jan,

prinzipiell eine gute Idee, aber leider nicht so einfach umzusetzen, denn: 2 Netze - unser Netz ist sauber und ich vermute das es aus dem anderen kommt. Problem dabei: das sind 1600 schlagmichtot Rechner und ich hab da leider kein Admin-Passwort :( Warum nur hat noch niemand ein Tool entwickelt, welches die Herkunft von Dateien zurückverfolgen kann.... ein Tool, welches den Netzwerktraffic überwacht, jedes TCP-Paket logt und beim zusammensetzen der Dateien dies ebenfalls macht und den Paketen zuordnet....hmm....so die Theorie, die Praxis macht es deutlich schwerer mit unzureichenden Skills....:(

Gruß

Markus

Bravestar
19.03.2004, 21:31
Hallo Khelben,

also theoretisch könnte man ja da folgendes als Ansatz nehmen:

Also wenn Du eine Client / Server Version als Virenscanner nutzt (z.B. Symantec Anti Virus) dann könntest Du ja Anhand des Datums des Virenbefalls den befallenden Rechner herausbekommen.
Da ich nur in einem kleinem Netzwerk arbeite, ist das natürlich einfach herauszufinden.
Bei uns werden alle REchner mit IP.... angezeigt, und in den Protokollen kann ich dann nachvollziehen wann welcher Rechner befallen wurde und kann somit den Virusherd sofort lokalisieren!