Sunny61 807 Geschrieben 27. Januar 2017 Melden Teilen Geschrieben 27. Januar 2017 Win7 ist oem dvd des Rechners 2 Jahre alter pc. Keine Tools - Glaub ich nicht. os direkt nach Installation eset direkt danach malwarebytes dann erst netzwerkkartentreiber und Anbindung and LAN dann erst Windows updates direkt von von ms (nicht Wsus) Danach kamen 2 unerwünschte Neustarts vor (ohne Msgbox) Lass doch einfach mal ESET und den anderen Krempel weg. Installiere das SP1 für W7 und das Convenience Rollup: https://support.microsoft.com/en-us/kb/3125574 Am besten vorher von einem anderen Computer aus downloaden und auf einem Stick speichern. Bevor das nicht alles drauf ist, kein WLAN-Verbindung und keine LAN-Verbindung ins Internet aufbauen. Und Adobe Reader vom Fileserver. Putty und WinSCP auf C kopiert (von fileserver, der Echtzeit und wöchentlich Voll gescannt wird) Downloade Adobe Reader vom Hersteller und nicht von einem verseuchten Fileserver. Es gibt auch einen FTP-Server von Adobe, da kriegst Du nur das MSI ohne irgendwelche Beigaben. Sonst ist da nix installiert. Recht viel mehr Tools gehen schon fast nicht mehr. Und wenn ich per Browser online bin, viel häufiger. Diesen Post müsste ich per Handy tippen, weil ich 2 mal ausgeschaltet wurde und von vorne beginnen musste. Mit welchem Browser arbeitest Du? Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 28. Januar 2017 Autor Melden Teilen Geschrieben 28. Januar 2017 Der Internet Explorer der mit installiert wird (und natürlich durch die updates von Microsoft auf die neuesten Fixe gezogen) Kein Firefox, chrome etc Nun, es ist echt unglaublich, wie diese Drecksprogammierer es wirklich schaffen, eine Infektion in eine Standard DVD, die vom OEM kommt, einzuschleusen. Es kann natürlich sein, dass auch meine Eset und Malwarebytes- Installationsfiles auf dem fs verseucht sind. Ich weiß schon garnicht mehr, wo man was sauberes erhalten kann??!! Ich habe ansonsten ProofPoint und Palo Alto mit Sandbox-Analyse im Einsatz. Und im Endpoint halt Eset UND malwarebytes. Dachte eigtl. das ist schon ein adäquater Schutz - Scheibe mich zu irren. Nach Euren Vorschlägen werde ich nun folgendes machen: Neue Festplatte Neuer Datenträger Neu installieren Sp1 drauf Offline Updates als Datei von einem sauberen Rechner (aber wer genau ist sauber?) Eset Files von Eset Webseite Malwarebytes (wird von malwarebytes serverconsole aus ausgerollt) Adobe Reader vom ftp Server als msi Hab ich was vergessen? Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 28. Januar 2017 Melden Teilen Geschrieben 28. Januar 2017 Ich persönlich würde dem ganzen Netzwerk nicht mehr trauen Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 28. Januar 2017 Autor Melden Teilen Geschrieben 28. Januar 2017 Was genau hieße das? Selbst wenn ich scanne, und die gescannten Dateien auf einen neuen Server kopiere? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 28. Januar 2017 Melden Teilen Geschrieben 28. Januar 2017 Der eingesetzte Scanner kann und wird von den passenden Viren als erstes massiv getäuscht. Wenn Du deinen W7 Key hast, dann kannst Du dir ja eine W10 ISO von MSFT holen und damit installieren. Wie das geht, steht in diesem Artikel: https://www.heise.de/newsticker/meldung/Und-noch-ein-Trick-weiterhin-kostenlos-an-Windows-10-zu-kommen-3288425.html Vollkommen getrennt von den restlichen Maschinen alles neu installieren und anschließend Updates installieren. Wie groß ist das Netzwerk? Firma oder Privat? Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 28. Januar 2017 Autor Melden Teilen Geschrieben 28. Januar 2017 (bearbeitet) Etwa 450 pc und 30 Server. Das habe ich auch schon überlegt, direkt auf W10 zu gehen. Ist das OS hoffentlich weniger Lückenhaft in Bezug auf Exploits. Kann das wer bestätigen? Hat jmd. Erfahrung mit Palo Alto Traps als Endpoint Schutz? Mir wird unwohl bei dem Gedanken, jedes File noch einmal umzudrehen. Wir werden in ca. 2 Monaten ein neues SAN bekommen. Also werde ich am besten nichts migrieren, bevor ich sicher sein kann. Und das wird wohl nicht einfach möglich sein. bearbeitet 28. Januar 2017 von audax Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 28. Januar 2017 Melden Teilen Geschrieben 28. Januar 2017 450 Rechner - und verseuchte Files auf dem Storage? Was hat ein neus SAN damit zun tun, erkennt der Storage-Controller Trojaner etc? Sorry, Ich bin hier weg. :nene: Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 30. Januar 2017 Autor Melden Teilen Geschrieben 30. Januar 2017 Nein, das tut er vermutlich nicht. Aber wir werden, da wir ein neues SAN bekommen ohnehin vor der Aufgabe stehen, eine Datenmigration zu betreiben. Demnach hielt ich es für nicht sinnvoll, Verseuchtes auch zu migrieren. Mein ungutes Gefühl bezieht sich darauf, dass es offensichtlich heutzutage KEIN verlässliches Mittel gibt zu verifizieren, ob man verseuchte Dateien hat, oder eben nicht. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Januar 2017 Melden Teilen Geschrieben 30. Januar 2017 450 PC per Recovery-DVD? Wer macht den sowas? Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 30. Januar 2017 Melden Teilen Geschrieben 30. Januar 2017 450 PC per Recovery-DVD? Wer macht den sowas? Frag lieber nicht... Ich hab selbst schon die komischsten Konstellationen bei Kunden gesehen. Nachtrag: Schon mal daran gedacht, dass deine Zugangsdaten vielleicht abgegrast wurden? Ich würde mal das Passwort ändern. Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 31. Januar 2017 Autor Melden Teilen Geschrieben 31. Januar 2017 Ja, genau. Ich antworte lieber nicht darauf :-(). Aber genau so ist es leider. Ich versuche hier keine Schuldfrage zu stellen, aber als ich in dem Unternehmen angefangen hab, kannte jeder den Begriff Volumenlizenzierung bereits. Kurzer Hinweis auch wenn es keine Lösung ist. Seit gestern ist mein Rechner nicht mehr heruntergefahren. Ich habe per lok. GPO das Recht auf Herunterfahren auf einen spezifischen lokalen Benutzer beschränkt. Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 31. Januar 2017 Autor Melden Teilen Geschrieben 31. Januar 2017 Noch ein Nachtrag: Seit meinem letzten Posting haben die lokalen Administratoren wieder das Recht, herunterzufahren. Ich habe aber das Recht, meine Workstation vom Netzwerk aus herunterfahren zu lassen weiterhin auf diesen einen lokalen Benutzer beschränkt. Mein PC ist seitdem auch noch nicht heruntergefahren. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 31. Januar 2017 Melden Teilen Geschrieben 31. Januar 2017 "Die lokalen Administratoren haben"... Das ist wohl Dein Hauptproblem. Unsere PCs haben keine lokalen Administratoren bzw. sind die Konten alle deaktiviert und mit einem Sinnlos-Password belegt. Wenn ein PC remote heruntergefahren wird, steht das hinterher im Eventlog (u.U. auch unter "Security"). Da sollte die Quelle gefunden werden. Und vermutlich solltet Ihr Euch fachmännische Hilfe im Bereich IT-Security holen. Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 1. Februar 2017 Autor Melden Teilen Geschrieben 1. Februar 2017 Sorry, ich meinte die lokale Gruppe Administratoren. Hier stehen ja dann auch die Domain-Admins, nachdem man sich zur Domain hinzufügt. Der lokale Administrator ist selbstverständlich deaktiviert. Ist ja eh so nach dem Domain-Join. Mit den Standardeinstellungen des Ereignisprotokolls steht es offensichtlich so nicht drin, bzw. es ist dann nicht ein remote shutdown - Zumindest konnte ich nichts im Protokoll finden. Das war ja im Übrigen auch eine meiner ersten Fragen in diesem Thread, wie man denn das Ereignislog auf "Debug" stellen kann, um mal ein paar mehr Details zu erhalten. Denn da fehlt mir einfach das Know How. Und Yepp! Ich würde mir gerne einen Windows Security Experten leisten wollen dürfen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 1. Februar 2017 Melden Teilen Geschrieben 1. Februar 2017 (bearbeitet) Versuch eines Reboots einer VM: Bei mir ist es System-Log, Event 1074, Quelle User32: The process wininit.exe ([remote_ip_adress]) has initiated the restart of computer TESTVM on behalf of user Domain\user for the following reason: Legacy API shutdown Reason Code: 0x80070000 Shutdown Type: restart Comment: bearbeitet 1. Februar 2017 von zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.