Hallo und

Zitat:

Dieser wurde von Conficker befallen und mittels verschiedener Tools versucht zu bereinigen. Danach wurde der DNS-Server neu installiert,

Was heißt "versucht zu bereinigen", mit welchen Tools habt ihr da gewerkelt, was wurde genau gemacht?
Habt Ihr den W2K-Server formatiert und neu installiert?
Wenn ja, hast Du zuerst alle Updates eingespielt, und den dann erst wieder ans Netzwerk gehangen?

Wie ist der Rechner im Netzwerk integriert, hängt der nur im lokalen Netz oder hat der auch eine (direkte!?) Internetverbindung?

Hast Du sichergestellt, dass alle Rechner in Deinem Netzwerk sauber sind? Womöglich ist nämlich in Eurem Netzwerk immer noch eine Station mit Conficker verseucht und befällt verwundbare Rechner.

Du solltest unbedingt die Quelle des Befalls dingfest machen.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Datei (sofern diese noch existiert bzw. sichtbar ist) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINNT\system32\eifuwte.dll
         

Hallo cosinus,

Vielen Dank erstmal für die Antwort

Zitat:

Zitat von cosinus

Was heißt "versucht zu bereinigen", mit welchen Tools habt ihr da gewerkelt, was wurde genau gemacht?

d.exe
f-downadup.exe
kk.exe
stinger_conficker.exe
danach im regedit dem system und Administratoren die Vollzugriff-Berechtigungen entzogen
in den Gruppenrichtlinien Autoplay und das Erstellen neuer Tasks deaktiviert

Zitat:

Zitat von cosinus

Habt Ihr den W2K-Server formatiert und neu installiert?

ja

Zitat:

Zitat von cosinus

Wenn ja, hast Du zuerst alle Updates eingespielt, und den dann erst wieder ans Netzwerk gehangen?

ja

Zitat:

Zitat von cosinus

Wie ist der Rechner im Netzwerk integriert, hängt der nur im lokalen Netz oder hat der auch eine (direkte!?) Internetverbindung?

Domäne, aber keine direkte Internetverbindung

Zitat:

Zitat von cosinus

Hast Du sichergestellt, dass alle Rechner in Deinem Netzwerk sauber sind? Womöglich ist nämlich in Eurem Netzwerk immer noch eine Station mit Conficker verseucht und befällt verwundbare Rechner.

gut möglich, das noch infizierte Rechner im Netzwerk hängen, wir haben noch ein paar NT Rechner, auf denen die oben erwähnten Tools nicht laufen. Ist nur leider nicht möglich alle vom Netz zu nehmen, da die PC's benötigt werden.

Virustotal Auswertung kommt nach

Virustotal Auswertung:

Zitat:

a-squared 4.5.0.41 2009.10.29 Net-Worm.Win32.Kido!IK
AhnLab-V3 5.0.0.2 2009.10.29 Win32/Conficker.worm.167324
AntiVir 7.9.1.50 2009.10.28 Worm/Conficker.L
Antiy-AVL 2.0.3.7 2009.10.27 Worm/Win32.Kido.gen
Authentium 5.1.2.4 2009.10.28 W32/Conficker!Generic
Avast 4.8.1351.0 2009.10.28 Win32:Confi
AVG 8.5.0.423 2009.10.28 I-Worm/Generic.CKH
BitDefender 7.2 2009.10.29 Win32.Worm.Downadup.Gen
CAT-QuickHeal 10.00 2009.10.29 Worm.Conficker.b
ClamAV 0.94.1 2009.10.29 Worm.Kido-99
Comodo 2765 2009.10.29 NetWorm.Win32.Kido.ed
DrWeb 5.0.0.12182 2009.10.28 Win32.HLLW.Shadow.based
eSafe 7.0.17.0 2009.10.28 Suspicious File
eTrust-Vet 35.1.7088 2009.10.28 Win32/Conficker
F-Prot 4.5.1.85 2009.10.28 W32/Conficker!Generic
F-Secure 9.0.15370.0 2009.10.27 Worm:W32/Downadup.gen!A
Fortinet 3.120.0.0 2009.10.28 W32/Kido.ED!worm.im
GData 19 2009.10.29 Win32.Worm.Downadup.Gen
Ikarus T3.1.1.72.0 2009.10.29 Net-Worm.Win32.Kido
Jiangmin 11.0.800 2009.10.26 Worm/Kido.s
K7AntiVirus 7.10.881 2009.10.27 Net-Worm.Win32.Downadup.fq
Kaspersky 7.0.0.125 2009.10.29 Net-Worm.Win32.Kido.ih
McAfee 5785 2009.10.28 W32/Conficker.worm.gen.a
McAfee+Artemis 5785 2009.10.28 W32/Conficker.worm.gen.a
McAfee-GW-Edition 6.8.5 2009.10.29 Worm.Conficker.L
Microsoft 1.5202 2009.10.29 Worm:Win32/Conficker.B
NOD32 4553 2009.10.28 a variant of Win32/Conficker.AA
Norman 6.03.02 2009.10.28 W32/Conficker.CN
nProtect 2009.1.8.0 2009.10.28 Worm/W32.Kido.167324
Panda 10.0.2.2 2009.10.28 W32/Conficker.C.worm
PCTools 4.4.2.0 2009.10.19 Net-Worm.Kido!sd6
Prevx 3.0 2009.10.29 High Risk Worm
Rising 21.53.31.00 2009.10.29 Hack.Exploit.Win32.MS08-067.ix
Sophos 4.46.0 2009.10.29 Mal/Conficker-A
Sunbelt 3.2.1858.2 2009.10.27 Worm.Win32.Downadup.Gen
Symantec 1.4.4.12 2009.10.29 W32.Downadup.B
TheHacker 6.5.0.2.056 2009.10.28 W32/Kido.ih
TrendMicro 8.950.0.1094 2009.10.29 WORM_DOWNAD.AD
VBA32 3.12.10.11 2009.10.27 Worm.Win32.kido.110
ViRobot 2009.10.29.2010 2009.10.29 Worm.Win32.Conficker.73000
VirusBuster 4.6.5.0 2009.10.28 Worm.Kido.HS
weitere Informationen
File size: 167324 bytes
MD5...: 7bb455ea4a77b24478fba4de145115eb
SHA1..: c3d4becb6dbf94e948f7a3a81a73507d99a762b4
SHA256: 7fb855a7a2d4a2e2be9c1b6a1a87ca57aa8fc927df628d48be54156661de70a5
ssdeep: 3072:1t71jK3BcHPJvFQPsCK3U7nEyewA4JSoOYM0hRbuJrbJAkio/7+F7Vxq:nm
kBFQPsCK3UwlwSoOahxuJrd/ioiBVs
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x456b
timedatestamp.....: 0x44856ffb (Tue Jun 06 12:07:23 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3614 0x3800 6.19 05cf61b2edfbbd59f940a059818dc6b3
.rdata 0x5000 0x78c 0x800 4.80 3624471a89e97ca899aa14b4a0978e71
.data 0x6000 0x10d50 0x10600 7.98 06946e00b2bfded4d7441cdac5c07fad
.reloc 0x17000 0xb0c 0xc00 6.13 7518d2c23792eac9f95611d391fce377

( 6 imports )
> KERNEL32.dll: LoadLibraryA, InterlockedDecrement, InterlockedExchangeAdd, GetProcAddress, GetUserDefaultLCID, GetSystemTimeAsFileTime, VirtualAlloc, VirtualProtect, VirtualQuery, GetTickCount, IsBadWritePtr, IsBadCodePtr, IsDBCSLeadByte, GetACP, Sleep, QueryPerformanceCounter, GetComputerNameA, GetProcessHeap, GetCurrentProcess
> USER32.dll: GetCursor, IsWindowUnicode, GetMenuContextHelpId, GetWindowRect, IsCharLowerA, GetWindowRgn, WindowFromDC, GetDlgItem, GetTitleBarInfo, GetWindow, GetWindowInfo, GetWindowThreadProcessId, IsZoomed, IsIconic, GetGUIThreadInfo, GetWindowPlacement, IsChild, IsMenu, SetLastErrorEx, InSendMessage
> ADVAPI32.dll: IsValidSecurityDescriptor, InitializeSecurityDescriptor, IsValidAcl
> MSVCRT.dll: _adjust_fdiv, malloc, _initterm, free, memmove, _memicmp, memchr, _swab, _memccpy, _CIasin, _set_error_mode, _CIpow, _CItanh, frexp, _pctype, _isctype, _hypot, ceil, __mb_cur_max, modf, _errno, _ltoa, rand, _CIfmod
> GDI32.dll: GetPixel, GdiGetBatchLimit, GetROP2, GetBitmapDimensionEx
> SHELL32.dll: DuplicateIcon, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
packers (Antiy-AVL): CrypToCrackPeProtector0.93
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=7bb455ea4a77b24478fba4de145115eb' target='_blank'>http://www.threatexpert.com/report.aspx?md5=7bb455ea4a77b24478fba4de145115eb</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5839BC479CB067B28D4102B212C7A900C0058FBC' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5839BC479CB067B28D4102B212C7A900C0058FBC</a>