Zum Inhalt wechseln


Foto

Win7 fährt ungewünscht herunter und speichert keine geöffnete Datei


  • Bitte melde dich an um zu Antworten
32 Antworten in diesem Thema

#16 Sunny61

Sunny61

    Expert Member

  • 22.243 Beiträge

 

Geschrieben 27. Januar 2017 - 22:14

Win7 ist oem dvd des Rechners 2 Jahre alter pc.
Keine Tools -


Glaub ich nicht.

os
direkt nach Installation eset
direkt danach malwarebytes
dann erst netzwerkkartentreiber und Anbindung and LAN
dann erst Windows updates direkt von von ms (nicht Wsus)

Danach kamen 2 unerwünschte Neustarts vor (ohne Msgbox)


Lass doch einfach mal ESET und den anderen Krempel weg. Installiere das SP1 für W7 und das Convenience Rollup: https://support.micr...n-us/kb/3125574 Am besten vorher von einem anderen Computer aus downloaden und auf einem Stick speichern. Bevor das nicht alles drauf ist, kein WLAN-Verbindung und keine LAN-Verbindung ins Internet aufbauen.


Und Adobe Reader vom Fileserver. Putty und WinSCP auf C kopiert (von fileserver, der Echtzeit und wöchentlich Voll gescannt wird)


Downloade Adobe Reader vom Hersteller und nicht von einem verseuchten Fileserver. Es gibt auch einen FTP-Server von Adobe, da kriegst Du nur das MSI ohne irgendwelche Beigaben.

Sonst ist da nix installiert.


Recht viel mehr Tools gehen schon fast nicht mehr.

Und wenn ich per Browser online bin, viel häufiger.
Diesen Post müsste ich per Handy tippen, weil ich 2 mal ausgeschaltet wurde und von vorne beginnen musste.


Mit welchem Browser arbeitest Du?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#17 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 28. Januar 2017 - 08:45

Der Internet Explorer der mit installiert wird (und natürlich durch die updates von Microsoft auf die neuesten Fixe gezogen)
Kein Firefox, chrome etc
Nun, es ist echt unglaublich, wie diese Drecksprogammierer es wirklich schaffen, eine Infektion in eine Standard DVD, die vom OEM kommt, einzuschleusen.
Es kann natürlich sein, dass auch meine Eset und Malwarebytes- Installationsfiles auf dem fs verseucht sind.
Ich weiß schon garnicht mehr, wo man was sauberes erhalten kann??!!

Ich habe ansonsten ProofPoint und Palo Alto mit Sandbox-Analyse im Einsatz. Und im Endpoint halt Eset UND malwarebytes.

Dachte eigtl. das ist schon ein adäquater Schutz - Scheibe mich zu irren.

Nach Euren Vorschlägen werde ich nun folgendes machen:

Neue Festplatte
Neuer Datenträger
Neu installieren
Sp1 drauf
Offline Updates als Datei von einem sauberen Rechner (aber wer genau ist sauber?)
Eset Files von Eset Webseite
Malwarebytes (wird von malwarebytes serverconsole aus ausgerollt)
Adobe Reader vom ftp Server als msi


Hab ich was vergessen?

#18 mba

mba

    Board Veteran

  • 892 Beiträge

 

Geschrieben 28. Januar 2017 - 09:29

Ich persönlich würde dem ganzen Netzwerk nicht mehr trauen

#19 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 28. Januar 2017 - 09:41

Was genau hieße das?
Selbst wenn ich scanne, und die gescannten Dateien auf einen neuen Server kopiere?

#20 Sunny61

Sunny61

    Expert Member

  • 22.243 Beiträge

 

Geschrieben 28. Januar 2017 - 16:45

Der eingesetzte Scanner kann und wird von den passenden Viren als erstes massiv getäuscht.

Wenn Du deinen W7 Key hast, dann kannst Du dir ja eine W10 ISO von MSFT holen und damit installieren.
Wie das geht, steht in diesem Artikel: https://www.heise.de...en-3288425.html Vollkommen getrennt von den restlichen Maschinen alles neu installieren und anschließend Updates installieren.

Wie groß ist das Netzwerk? Firma oder Privat?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#21 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 28. Januar 2017 - 17:08

Etwa 450 pc und 30 Server.
Das habe ich auch schon überlegt, direkt auf W10 zu gehen. Ist das OS hoffentlich weniger Lückenhaft in Bezug auf Exploits.
Kann das wer bestätigen?
Hat jmd. Erfahrung mit Palo Alto Traps als Endpoint Schutz?


Mir wird unwohl bei dem Gedanken, jedes File noch einmal umzudrehen.

Wir werden in ca. 2 Monaten ein neues SAN bekommen.
Also werde ich am besten nichts migrieren, bevor ich sicher sein kann.
Und das wird wohl nicht einfach möglich sein.

Bearbeitet von audax, 28. Januar 2017 - 17:15.


#22 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.791 Beiträge

 

Geschrieben 28. Januar 2017 - 21:05

450 Rechner - und verseuchte Files auf dem Storage?

 

Was hat ein neus SAN damit zun tun, erkennt der Storage-Controller Trojaner etc?

 

Sorry, Ich bin hier weg.

 

:nene:


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server (heißt ja jetzt Office Server and Services..)

Das Problem gefällt mir nicht, ich hätte gerne ein anderes.

Wenn das die Lösung ist, hätte ich gerne mein Problem wieder


#23 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 30. Januar 2017 - 06:52

Nein, das tut er vermutlich nicht. Aber wir werden, da wir ein neues SAN bekommen ohnehin vor der Aufgabe stehen, eine Datenmigration zu betreiben.

Demnach hielt ich es für nicht sinnvoll, Verseuchtes auch zu migrieren.

Mein ungutes Gefühl bezieht sich darauf, dass es offensichtlich heutzutage KEIN verlässliches Mittel gibt zu verifizieren, ob man verseuchte Dateien hat, oder eben nicht.



#24 zahni

zahni

    Expert Member

  • 16.510 Beiträge

 

Geschrieben 30. Januar 2017 - 16:04

450 PC per Recovery-DVD? Wer macht den sowas? 


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#25 MurdocX

MurdocX

    Board Veteran

  • 585 Beiträge

 

Geschrieben 30. Januar 2017 - 17:02

450 PC per Recovery-DVD? Wer macht den sowas? 

 

Frag lieber nicht... Ich hab selbst schon die komischsten Konstellationen bei Kunden gesehen. 


Nachtrag: Schon mal daran gedacht, dass deine Zugangsdaten vielleicht abgegrast wurden? Ich würde mal das Passwort ändern.


Mit freundlicher Unterstützung
Jan


#26 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 31. Januar 2017 - 08:42

Ja, genau. Ich antworte lieber nicht darauf :-().

Aber genau so ist es leider. Ich versuche hier keine Schuldfrage zu stellen, aber als ich in dem Unternehmen angefangen hab, kannte jeder den Begriff Volumenlizenzierung bereits.


Kurzer Hinweis auch wenn es keine Lösung ist.

 

Seit gestern ist mein Rechner nicht mehr heruntergefahren. Ich habe per lok. GPO das Recht auf Herunterfahren auf einen spezifischen lokalen Benutzer beschränkt.



#27 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 31. Januar 2017 - 15:15

Noch ein Nachtrag:

Seit meinem letzten Posting haben die lokalen Administratoren wieder das Recht, herunterzufahren. Ich habe aber das Recht, meine Workstation vom Netzwerk aus herunterfahren zu lassen weiterhin auf diesen einen lokalen Benutzer beschränkt. Mein PC ist seitdem auch noch nicht heruntergefahren.



#28 zahni

zahni

    Expert Member

  • 16.510 Beiträge

 

Geschrieben 31. Januar 2017 - 15:31

"Die lokalen Administratoren haben"...

Das ist  wohl Dein Hauptproblem.

Unsere PCs haben keine lokalen Administratoren bzw. sind die Konten alle deaktiviert und mit einem Sinnlos-Password belegt.

Wenn ein PC remote heruntergefahren wird, steht das hinterher im Eventlog (u.U. auch unter "Security"). Da sollte die Quelle gefunden werden.

Und vermutlich solltet Ihr Euch fachmännische Hilfe im Bereich IT-Security holen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#29 audax

audax

    Junior Member

  • 95 Beiträge

 

Geschrieben 01. Februar 2017 - 09:59

Sorry, ich meinte die lokale Gruppe Administratoren. Hier stehen ja dann auch die Domain-Admins, nachdem man sich zur Domain hinzufügt.

Der lokale Administrator ist selbstverständlich deaktiviert. Ist ja eh so nach dem Domain-Join.

Mit den Standardeinstellungen des Ereignisprotokolls steht es offensichtlich so nicht drin, bzw. es ist dann nicht ein remote shutdown - Zumindest konnte ich nichts im Protokoll finden.

Das war ja im Übrigen auch eine meiner ersten Fragen in diesem Thread, wie man denn das Ereignislog auf "Debug" stellen kann, um mal ein paar mehr Details zu erhalten. Denn da fehlt mir einfach das Know How.

 

Und Yepp! Ich würde mir gerne einen Windows Security Experten leisten wollen dürfen.



#30 zahni

zahni

    Expert Member

  • 16.510 Beiträge

 

Geschrieben 01. Februar 2017 - 10:07

Versuch eines Reboots einer VM:

 

Bei mir ist es System-Log, Event 1074, Quelle User32:

 

 The process wininit.exe ([remote_ip_adress]) has initiated the restart of computer TESTVM on behalf of user Domain\user for the following reason: Legacy API shutdown

 Reason Code: 0x80070000
 Shutdown Type: restart
 Comment: 

Bearbeitet von zahni, 01. Februar 2017 - 10:08.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!