Win7 fährt ungewünscht herunter und speichert keine geöffnete Datei

[Sunny61 806]

Win7 ist oem dvd des Rechners 2 Jahre alter pc.

Keine Tools -

Glaub ich nicht.

 

os

direkt nach Installation eset

direkt danach malwarebytes

dann erst netzwerkkartentreiber und Anbindung and LAN

dann erst Windows updates direkt von von ms (nicht Wsus)

 

Danach kamen 2 unerwünschte Neustarts vor (ohne Msgbox)

Lass doch einfach mal ESET und den anderen Krempel weg. Installiere das SP1 für W7 und das Convenience Rollup: https://support.microsoft.com/en-us/kb/3125574 Am besten vorher von einem anderen Computer aus downloaden und auf einem Stick speichern. Bevor das nicht alles drauf ist, kein WLAN-Verbindung und keine LAN-Verbindung ins Internet aufbauen.

 

 

Und Adobe Reader vom Fileserver. Putty und WinSCP auf C kopiert (von fileserver, der Echtzeit und wöchentlich Voll gescannt wird)

Downloade Adobe Reader vom Hersteller und nicht von einem verseuchten Fileserver. Es gibt auch einen FTP-Server von Adobe, da kriegst Du nur das MSI ohne irgendwelche Beigaben.

 

Sonst ist da nix installiert.

Recht viel mehr Tools gehen schon fast nicht mehr.

 

Und wenn ich per Browser online bin, viel häufiger.

Diesen Post müsste ich per Handy tippen, weil ich 2 mal ausgeschaltet wurde und von vorne beginnen musste.

Mit welchem Browser arbeitest Du?

[audax 0]

Der Internet Explorer der mit installiert wird (und natürlich durch die updates von Microsoft auf die neuesten Fixe gezogen)

Kein Firefox, chrome etc

Nun, es ist echt unglaublich, wie diese Drecksprogammierer es wirklich schaffen, eine Infektion in eine Standard DVD, die vom OEM kommt, einzuschleusen.

Es kann natürlich sein, dass auch meine Eset und Malwarebytes- Installationsfiles auf dem fs verseucht sind.

Ich weiß schon garnicht mehr, wo man was sauberes erhalten kann??!!

 

Ich habe ansonsten ProofPoint und Palo Alto mit Sandbox-Analyse im Einsatz. Und im Endpoint halt Eset UND malwarebytes.

 

Dachte eigtl. das ist schon ein adäquater Schutz - Scheibe mich zu irren.

 

Nach Euren Vorschlägen werde ich nun folgendes machen:

 

Neue Festplatte

Neuer Datenträger

Neu installieren

Sp1 drauf

Offline Updates als Datei von einem sauberen Rechner (aber wer genau ist sauber?)

Eset Files von Eset Webseite

Malwarebytes (wird von malwarebytes serverconsole aus ausgerollt)

Adobe Reader vom ftp Server als msi

 

 

Hab ich was vergessen?

[mba 133]

Ich persönlich würde dem ganzen Netzwerk nicht mehr trauen

[audax 0]

Was genau hieße das?

Selbst wenn ich scanne, und die gescannten Dateien auf einen neuen Server kopiere?

[Sunny61 806]

Der eingesetzte Scanner kann und wird von den passenden Viren als erstes massiv getäuscht.

 

Wenn Du deinen W7 Key hast, dann kannst Du dir ja eine W10 ISO von MSFT holen und damit installieren.

Wie das geht, steht in diesem Artikel: https://www.heise.de/newsticker/meldung/Und-noch-ein-Trick-weiterhin-kostenlos-an-Windows-10-zu-kommen-3288425.html Vollkommen getrennt von den restlichen Maschinen alles neu installieren und anschließend Updates installieren.

 

Wie groß ist das Netzwerk? Firma oder Privat?

[audax 0]

Etwa 450 pc und 30 Server.

Das habe ich auch schon überlegt, direkt auf W10 zu gehen. Ist das OS hoffentlich weniger Lückenhaft in Bezug auf Exploits.

Kann das wer bestätigen?

Hat jmd. Erfahrung mit Palo Alto Traps als Endpoint Schutz?

 

 

Mir wird unwohl bei dem Gedanken, jedes File noch einmal umzudrehen.

 

Wir werden in ca. 2 Monaten ein neues SAN bekommen.

Also werde ich am besten nichts migrieren, bevor ich sicher sein kann.

Und das wird wohl nicht einfach möglich sein.

bearbeitet 28. Januar 2017 von audax

[Nobbyaushb 1.464]

450 Rechner - und verseuchte Files auf dem Storage?

 

Was hat ein neus SAN damit zun tun, erkennt der Storage-Controller Trojaner etc?

 

Sorry, Ich bin hier weg.

 

:nene:

[audax 0]

Nein, das tut er vermutlich nicht. Aber wir werden, da wir ein neues SAN bekommen ohnehin vor der Aufgabe stehen, eine Datenmigration zu betreiben.

Demnach hielt ich es für nicht sinnvoll, Verseuchtes auch zu migrieren.

Mein ungutes Gefühl bezieht sich darauf, dass es offensichtlich heutzutage KEIN verlässliches Mittel gibt zu verifizieren, ob man verseuchte Dateien hat, oder eben nicht.

[zahni 550]

450 PC per Recovery-DVD? Wer macht den sowas? 

[MurdocX 949]

450 PC per Recovery-DVD? Wer macht den sowas? 

 

Frag lieber nicht... Ich hab selbst schon die komischsten Konstellationen bei Kunden gesehen. 

Nachtrag: Schon mal daran gedacht, dass deine Zugangsdaten vielleicht abgegrast wurden? Ich würde mal das Passwort ändern.

[audax 0]

Ja, genau. Ich antworte lieber nicht darauf :-().

Aber genau so ist es leider. Ich versuche hier keine Schuldfrage zu stellen, aber als ich in dem Unternehmen angefangen hab, kannte jeder den Begriff Volumenlizenzierung bereits.

Kurzer Hinweis auch wenn es keine Lösung ist.

 

Seit gestern ist mein Rechner nicht mehr heruntergefahren. Ich habe per lok. GPO das Recht auf Herunterfahren auf einen spezifischen lokalen Benutzer beschränkt.

[audax 0]

Noch ein Nachtrag:

Seit meinem letzten Posting haben die lokalen Administratoren wieder das Recht, herunterzufahren. Ich habe aber das Recht, meine Workstation vom Netzwerk aus herunterfahren zu lassen weiterhin auf diesen einen lokalen Benutzer beschränkt. Mein PC ist seitdem auch noch nicht heruntergefahren.

[zahni 550]

"Die lokalen Administratoren haben"...

Das ist  wohl Dein Hauptproblem.

Unsere PCs haben keine lokalen Administratoren bzw. sind die Konten alle deaktiviert und mit einem Sinnlos-Password belegt.

Wenn ein PC remote heruntergefahren wird, steht das hinterher im Eventlog (u.U. auch unter "Security"). Da sollte die Quelle gefunden werden.

Und vermutlich solltet Ihr Euch fachmännische Hilfe im Bereich IT-Security holen.

[audax 0]

Sorry, ich meinte die lokale Gruppe Administratoren. Hier stehen ja dann auch die Domain-Admins, nachdem man sich zur Domain hinzufügt.

Der lokale Administrator ist selbstverständlich deaktiviert. Ist ja eh so nach dem Domain-Join.

Mit den Standardeinstellungen des Ereignisprotokolls steht es offensichtlich so nicht drin, bzw. es ist dann nicht ein remote shutdown - Zumindest konnte ich nichts im Protokoll finden.

Das war ja im Übrigen auch eine meiner ersten Fragen in diesem Thread, wie man denn das Ereignislog auf "Debug" stellen kann, um mal ein paar mehr Details zu erhalten. Denn da fehlt mir einfach das Know How.

 

Und Yepp! Ich würde mir gerne einen Windows Security Experten leisten wollen dürfen.

[zahni 550]

Versuch eines Reboots einer VM:

 

Bei mir ist es System-Log, Event 1074, Quelle User32:

 

 The process wininit.exe ([remote_ip_adress]) has initiated the restart of computer TESTVM on behalf of user Domain\user for the following reason: Legacy API shutdown

 Reason Code: 0x80070000

 Shutdown Type: restart

 Comment: 

bearbeitet 1. Februar 2017 von zahni