Zum Inhalt wechseln


Foto

Administrative Freigaben können alle User einsehen


  • Bitte melde dich an um zu Antworten
44 Antworten in diesem Thema

#31 magheinz

magheinz

    Newbie

  • 1.422 Beiträge

 

Geschrieben 31. August 2017 - 07:12

der ideale zeitpunkt um os-deployment+softwareverteilung einzuführen. bei 100 cliens imho ein muss, wie man hier sieht. Dank dem virus kannst du dich doch nicht mehr auf die korrekte anwendung der GPOs verlassen. der virus kann aich jederzit die firewall wieder deaktivieren. Die rechner weiter laufen zu lassen halte ich dpe grob fahrlässig. gibts einen it-Sicherheitsbeauftragten oder einen Datenschutzbeauftragten im Unternehmen? was sagen die zu deinem Vorgehen?

#32 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 31. August 2017 - 08:34

Moin,

 

also, eins sollten wir noch prüfen. Melde dich mit dem User, zu dem die whoami-Ausgabe oben gehört, an einem anderen Rechner an. Versuche dann von dort aus, auf einen Admin-Share des Rechners zuzugreifen, auf dem du whoami ausgeführt hattest. Kann er dort zugreifen?

 

 

Diesen PC habe ich bereits über einen Registry Eintrag die $-Freigaben entzogen. Bringt aber leider immer noch nichts. Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund.

Könnte das aber nochmal mit 2 anderen PCs testen. Was da rauskommt. Ist das eventuell zur Fehlerbehebung hilfreich. Oder bleibt eigentlich nur die Neuinstallation?

 

Ich würde es dennoch probieren mit der OfflineDisk. Im nächsten Schritt, falls alles schiefgeht. Kann man ja immer noch neuinstallieren. Der Aufwand mit Neuinstallationen ist ungleich höher und eventuell nicht vonnöten, wenn man sich Fehlerbehebungen mit dem EMOTET-Virus durchliest.



#33 zahni

zahni

    Expert Member

  • 16.497 Beiträge

 

Geschrieben 31. August 2017 - 08:43

Diesen PC habe ich bereits über einen Registry Eintrag die $-Freigaben entzogen. Bringt aber leider immer noch nichts. Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund.

Könnte das aber nochmal mit 2 anderen PCs testen. Was da rauskommt. Ist das eventuell zur Fehlerbehebung hilfreich. Oder bleibt eigentlich nur die Neuinstallation?

 

Grusel. Schick die User nach Hause und hole Dir externe Unterstützung.

 

BTW: Die hier haben mal gleich das LKA eingespannt: http://www.mdr.de/sa...nommen-100.html


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#34 Piranha

Piranha

    Senior Member

  • 508 Beiträge

 

Geschrieben 31. August 2017 - 08:44

Und da du selbst angegeben hast, dass in dem Netzwerk schon mehrere Viren unterwegs waren - liegt der Schluss zumindest nahe, dass die Rechner tiefgreifend kompromittiert sind.

 

Also ich finde du solltest generell hier mal ansetzen(!) - wie kann es sein das ihr immer wieder Schadcode bekommt?


Alle sagten, das geht nicht, bis einer kam und es nicht wusste.


#35 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 31. August 2017 - 10:06

Also ich finde du solltest generell hier mal ansetzen(!) - wie kann es sein das ihr immer wieder Schadcode bekommt?

 

User denke ich. Die unbedacht irgendeinen Anhang öffnen.



#36 NilsK

NilsK

    Expert Member

  • 12.457 Beiträge

 

Geschrieben 31. August 2017 - 10:12

Moin,

Deiner Beschreibung nach ist die Umgebung vollständig kompromittiert. Tut mir leid, das so sagen zu müssen, aber für mich klingt das nach Neuinstallation.

Die Rechner sind ja offenbar durch die Malware manipuliert. Man kann ihnen also nicht trauen. Die Entfernung der Viren stellt den Zustand dann auch nicht wieder her.

Viel Erfolg, Nils
  • Dr.Melzer gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#37 Sunny61

Sunny61

    Expert Member

  • 22.231 Beiträge

 

Geschrieben 31. August 2017 - 10:34

User denke ich. Die unbedacht irgendeinen Anhang öffnen.

 

Und das kann man technisch verhindern.


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#38 Piranha

Piranha

    Senior Member

  • 508 Beiträge

 

Geschrieben 31. August 2017 - 10:36

User denke ich. Die unbedacht irgendeinen Anhang öffnen.

Genau das meine ich - solche Emails sollten gar nicht erst ins Postfach gelangen und/oder gar nicht erst ausgefuehrt werden koennen(!)

 

...da war Sunny61 etwas schneller ;)


Bearbeitet von Piranha, 31. August 2017 - 10:36.

Alle sagten, das geht nicht, bis einer kam und es nicht wusste.


#39 magheinz

magheinz

    Newbie

  • 1.422 Beiträge

 

Geschrieben 31. August 2017 - 10:56

wenn der virus eine Backdoor öffnet, dann hilft es dir gar nix den zu entfernen. Gegen akuten Virenbefall hilft nur eines: neuinstallation und schliessen des Einfallsvektors so er bekannt ist.

#40 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.285 Beiträge

 

Geschrieben 31. August 2017 - 12:28

Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund.


Abgesehen davon, dass du endlich auf all die Experten hören und dir Hilfe holen solltest. Welcher Virus wird dir denn da gemeldet alle paar Stunden?


Never argue with an idíot, they drag you down to their level and beat you with experience!

#41 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 31. August 2017 - 12:30

Abgesehen davon, dass du endlich auf al die Experten hören und dir Hilfe holen solltest. Welcher Virus wird dir denn da gemeldet alle paar Stunden?

 

EMOTET



#42 Piranha

Piranha

    Senior Member

  • 508 Beiträge

 

Geschrieben 31. August 2017 - 12:34

Dann darfste sowieso alles platt machen - aber das weisst du wahrscheinlich selbst, auch wenn du es vielleicht noch zu umgehen versuchst :nene:


Alle sagten, das geht nicht, bis einer kam und es nicht wusste.


#43 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.285 Beiträge

 

Geschrieben 31. August 2017 - 14:14

EMOTET

Dir ist bewusst was emotet so macht auf deinen Systemen?

 

Seit wann hast du denn den Befall damit?


Never argue with an idíot, they drag you down to their level and beat you with experience!

#44 Daviiid

Daviiid

    Newbie

  • 18 Beiträge

 

Geschrieben 31. August 2017 - 14:17

Montag



#45 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.285 Beiträge

 

Geschrieben 31. August 2017 - 14:20

Falls dir noch nicht klar ist was du da in deinem Netz hast: https://www.scmagazi...article/676622/

 

Willst du es immer noch selbst versuchen?

 

BTW: Klopf schon mal bei eurer Buchhaltung an ob es diese Woche schon seltsame Geldabflüsse von euren Konten gab...


Never argue with an idíot, they drag you down to their level and beat you with experience!