Andreas83 11 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 Hallo zusammen, habe bei einigen Windows 7 64 Bit diverse Probleme, unter anderem dass der Windows Update Dienst deaktiviert ist. Da Malwarebytes das ein oder andere gefunden hatte, empfand ich es für schneller und sicherer das System neu zu installieren. Nun, 1 Tag nach der Installation ist der sch*** Windows Update Dienst wieder deaktiviert... Sind noch Updates im Umlauf die die Ursache dafür sein können? Internet Explorer stürzt auch ab... Folgende Patch sind mir bekannt die Probleme verursachen.....können KB3004394 Probleme mit Zertifikate / Update Dienst KB3024777 soll oben genannten deinstallieren KB2992611 Sicherheitsproblem Schannel oder sowas... KB3011970 Probleme Silverlight KB2553154 Probleme Office Active-X KB3008923 Problem Internet Explorer KB3004394 ist defi. nicht drauf und auch nicht drauf gewesen. KB2992611 + KB3008923 habe ich ebne gesehen stehen zum Download und sin aktuell auf dem System, Deinstallieren? Aber habe gerade nochmal MBAM laufen ob das was findet. Der Anwender hat mit dem Chip Downloader 3 Tools installiert. Haltet Ihr den Downloader für "gefählich" Theoretisch sollten die Chip Download doch Safe sein, oder? Danke für alle Rückmeldungen und Tipps! Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 (bearbeitet) Nun, 1 Tag nach der Installation ist der sch*** Windows Update Dienst wieder deaktiviert... Sind noch Updates im Umlauf die die Ursache dafür sein können? Nein, sind nicht. Internet Explorer stürzt auch ab... Das deutet auf Malware hin. Aber habe gerade nochmal MBAM laufen ob das was findet. Der Anwender hat mit dem Chip Downloader 3 Tools installiert. Haltet Ihr den Downloader für "gefählich" Theoretisch sollten die Chip Download doch Safe sein, oder? Weshalb hat ein Anwender Adminrechte und installiert Software? Software holt man nur beim Hersteller, Chip ist definitiv kein Software Hersteller. Führe einen sauberen Neustart durch, und starte manuell den Update Dienst. Prüfe auch ob der Intelligente Hintergrund Übertragungsdienst auf Manuell steht. Jetzt nach Windows Updates suchen lassen. http://support.microsoft.com/kb/929135/de Besser wäre natürlich das Windows nochmal neu zu installieren, und dem Benutzer keine Adminrechte zu geben. BTW: Deine Punkt-Taste ist defekt, sie prellt. bearbeitet 18. Dezember 2014 von Sunny61 Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 18. Dezember 2014 Autor Melden Teilen Geschrieben 18. Dezember 2014 lokale Administratorrechte waren so gewünscht und wird/nun geändert. Trotzdem nochmal auf das Thema zurückzukommen, es kann keines der beiden Updates verantwortlich sein? Malwarebytes stürzt im abgesicherten Modus bei einer Suche nach einigen Minuten ab. Combofix bringt "weitere Löschungen" .c:\programdata\ntuser.polc:\users\av\AppData\Local\dfl36z32.dllc:\users\av\AppData\Local\wsr36zt32.dll. Geht mir einfach darum herauszufinden wie oder ob sich die Schadsoftware im LAN verteilt oder es durch den Anwender heruntergeladen wurde. Trend Micro Business Security in V 9 ist installiert und hat nicht angeschlagen. Aktuell sind von 25 Systemen 5 betroffen wo der Windows Update Dienst deaktiviert ist und diverse Standard Programme wie Internet Explorer oder Office einfrieren. Meine Punkt - Taste habe ich ausgetauscht - sorry! Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 (bearbeitet) Kann auch eine nicht geschlossene Sicherheitslücke sein. Sind denn Flash, Acrobat Reader und Java (falls vorhanden) auf dem neusten stand? Nur so als Beispiel (Sicherheitsvorfall von heute): Aktuell lädt der OpenX-Server von www. lanxess-arena .de einen Browser Exploit, der auch Java, PDF und Flash "durchprobiert". bearbeitet 18. Dezember 2014 von zahni Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 18. Dezember 2014 Autor Melden Teilen Geschrieben 18. Dezember 2014 Alle Drittanbieter Tools sind auf dem neuesten Stand bzw. waren es gestern vor der Domäneneinbindung Auf einem System wo eben der Windows Update Dienst deaktiviert hat MBAM nun was gefunden: Trojan.Agent in C:\Users\USERA\AppData\Local\wsr36zt32.dll Hijack.Comsysapp in HKLM\SYSTEM\CURENTCONTROLSET\SERVICES\COMSYSAPP|Type Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 Moin, nutzen die Anwender Roaming Profiles oder Folder Redirection? Eventuell ist ein Teil der "Freunde" in diesen Ordnern unterwegs und wird bei jeder Anmeldung des Users neu geladen. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 Wenn jetzt schon wieder etwas verseucht ist, solltest Du neu installieren, aber die HDD komplett formatieren und nicht nur ein Upgrade machen. Dann die nötigen Tools und Programme installieren und den Benutzern die Adminrechte entziehen. Du siehst ja wohin das führt. Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 18. Dezember 2014 Autor Melden Teilen Geschrieben 18. Dezember 2014 System wird neu installiert und lokale Admin Rechte sind entzogen. Nur möchte ich doch herausbekommen ob es durch ein Download oder intern im LAN kam. Es sind keine Servergespeicherten Profile und auch keine Folder Redirections in Verwendung. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 Google mal nach wsr36zt32.dll Ich würde mal alle mobilen Datenträger und die Netzlaufwerke mit spitzen Fingern anfassen. U.U. den Virenscanner mal wechseln. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 System wird neu installiert und lokale Admin Rechte sind entzogen. Nur möchte ich doch herausbekommen ob es durch ein Download oder intern im LAN kam. Es sind keine Servergespeicherten Profile und auch keine Folder Redirections in Verwendung. Dann kannes ja nur durch einen Download kommen. Und nochmal, Software nur vom Hersteller downloaden, und dabei immer immer immer den Expertenmodus bzw. den erweiterten Modus einschalten. Ansonsten fängst Du gleich wieder was ein. Java und der PDF-Creator sind ein abschreckendes Beispiel. Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 ...AppLocker und Software Restriction Policies können bei solchen Auswüchsen auch sehr viel Sicherheit verschaffen, wenn die Regeln entsprechend restriktiv sind. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 18. Dezember 2014 Melden Teilen Geschrieben 18. Dezember 2014 ...AppLocker und Software Restriction Policies können bei solchen Auswüchsen auch sehr viel Sicherheit verschaffen, wenn die Regeln entsprechend restriktiv sind. Bei solchen Basisfragen, die vom TO kamen, sind der Entzug von Adminrechten der erste Schritt in die richtige Richtung. Das was Du schreibst, muss man administrieren können, und das im produktiven Betrieb. Das sehe ich an dieser Stelle eher nicht gegeben. Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 19. Dezember 2014 Melden Teilen Geschrieben 19. Dezember 2014 ...da könntest Du recht haben. Obwohl: AppLocker hat ja genau dafür das Erfassen... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.