reyeg

Danke für die Antworten.... ist leider beides net so ohne weiteres Möglich. :) Mal schauen wofür wir uns entscheiden werden, grüße Reyeg :)

Hallo Esta, sowas hab ich schon befürchetet.... *args* :shock: Und wie kann ich nu die Clients schützen die den IE drauf haben?

Hallo liebe Leute, eine etwas ****e Frage vllt. aber gibt es keine Patches mehr für NT4? Lt. dieser Tabelle wohl nicht, oder? http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-aug.mspx Was mach ich nun um meinen IE zu schützen? Gruß Reyeg :)

Hi MT2002, sehr schön lösen kann man das Problem mit RunAsP: http://www.mast-computer.com/c_9-l_de.html Grüße Reyeg :)

Hatte leider den gleich Effekt..... :(

Hallo Leute, endlich habe ich mein Script fertig, was automatisch eine neue Virensignatur von ftp.nai.com zieht, dann automatisch die alte Virensignatur archiviert und die neue in ein bestimmtes Verzeichnis kopiert. Nun habe ich dass Problem, dass das Script bei 3 von 6 Versuchen während des FTP-Downloads der Virensignatur einfach "hängen" bleibt, also der Download schlägt fehl und das Script wird dann nicht mehr weiter abgearbeitet, was auch so sein soll. Ich nutze "wget", ausgeführt in der Konsole, als FTP-Programm. Habt Ihr nen zuverlässigers, kostenloses FTP-Programm was ich via Script ansteuern könnte um die Virensig zu ziehen? Danke und Gruß Reyeg :)

Track It http://itsolutions.intuit.com/ Gruß Reyeg :)

Ich könnte Dir nen Ticketsystem namens TrackIt empfehlen, kostet aber Geld....

Neuer Zwischenstand: Über das Wochenende wurde keine Daten mehr gelöscht -> Datensicherung kann als Übeltäter wohl ausgeschlossen werden. Überwachung der besagten Verzeichnisse läuft, seit der Überwachung wurden keine Daten mehr gelöscht. Cu Reyeg :)

Mhh... dann hab ich wohl was verwechselt.... :eek: Ging aber trotzdem net bei uns und ich brauchte unser Script..... :)

Jup, da haste recht.... leider konnte ich es damals net nutzen, da wir noch NT4 Clients haben... :)

Also ich habe es bei unserem neuem Printserver (anderer Name) so gelöst, dass ich ne Batchdatei geschrieben habe, die auf die Clients geschaut hat was für ein Drucker drauf ist, diese dann gelöscht hat und den gleichen auf den neuen Server gemappt hat. Lediglich der Standarddrucker musste dann vom User neu markiert werden. Gruß Reyeg :)

Jop, VNC draufnudeln und dann vom anderen Client aus draufschalten. Cu Reyeg :)

Hi dmetzger, danke für den Link! :) Das Problem ist, dass wenn ich den Haken bei "Zum Überwachen erfolgreicher Versuche aktivieren Sie das Kontrollkästchen Erfolgreich." entferne, dass dann ja nichts mehr aufgezeichnet wird, oder? Ich müßte das irgendwie filtern oder einschränken können, da in der Sekunde ca. 100 Aktionen protokoliert werden..... Gruß Reyeg :)

So, folgendes Problem habe ich nun.... Erstmal muss ich sagen dass es sich wunderbar einstellen läßt Dateien und/oder Verzeichnisse mit Windows-Mitteln überwachen zu lassen... ich dachte schon dass ich damit mein Problem lösen könnte, ABER da ich davon ausgehe, dass die Aktionen der überwachten Dateien in der Ereignisanzeige im Sicherheitsprotokoll abgelegt werden habe ich da reingeschaut und festgestellt, dass dort in der Sekunde (!!) ca. 100 Einträge geschrieben werden, da die Überwachungsrichtlinie aktiv ist und jede Aktion die auf dem Server getätigt wird aufgezeichnet wird. So ist es unmöglich nach einem bestimmten Eintrag zu suchen.... :( Läßt sich die Protokolierung irgendwie einschränken? Grüße Reyeg :)

@Egli, nochmal danke für den Hinweis, da bin ich dran, jedoch wurden in den Shares wo ich die Maßnahme getroffen habe noch nicht wieder gelöscht.... @dmetzger Danke für den Hinweis, ich bin am prüfen... :) Cu Reyeg :) EDIT: @dmetzger Hey, das ist genau das was ich brauche, nur wo wird das ganze protokoliert? In der Ereignisanzeige finde ich nichts..... steht da dann auch welcher User was gemacht hat?

Hallo Leute, ich möchte hier keinen Doppelpost machen, allerdings denke ich dass mit diesem Thread andere Leute angesprochen werden, bzw. die Problemstellung gegenüber meines alten Threads verändert hat -> ich habe ich das Problem (siehe Thread: Neuer Wurm oder Virus aktiv?) dass ich Dateien aus Homeshares verschiedener User gelöscht bekomme und ich nicht nachvollziehen kann, wer oder was die Dateien löscht. Ich habe mich mit dem Tool Filemon von Sysinternals befasst, doch leider läßt sich damit nicht feststellen welcher User was auf unserem Server macht, sondern es wird immer nur das aufgezeichnet was der User macht, der das Programm gestartet hat (also ich). Gibt es ein Tool was die Verzeichnisse und Dateien auf einem Server überwacht und mir sagen kann, dass User X am Tag Z die Datei Y gelöscht hat? Danke und Gruß Reyeg :)

Kurze Zwischeninfo für alle Interessierten: Dateien wurden seit gestern nicht mehr gelöscht..... warum auch immer, vllt. sollte ich mal die Urlaubskartei prüfen lassen ;) EDIT: Leider hat "der" oder "das" wieder zugeschlagen..... und zwar 2 mal... 1x während der Bandsicherung heute Nacht muss es passiert sein, da seltsamerweise 2 Dateien auf Band gesichert worden sind (in dem Moment sind sie ja in Verwendung, denke ich mal) und nach der Sicherung hat "der" oder "das" zum 2. mal zugeschlagen, da sie gelöscht.... sprich heute Morgen net mehr vorhanden waren. Es wurde ja schon in Richtung BackUp-Software spekuliert allerdings schließe ich diese aus, da die Masse der Dateien im laufenden Betrieb gelöscht worden sind und da wird nicht gesichert.... *grmpf* Gruß Reyeg :)

Danke für die Hinweise, vllt. kommt man ja so irgendwie zu ner Problemlösung indem man alles ausschließt :) Ich bin Domänen Admin.... leider kann Filemon nicht aktiv Dateien auf einem Server aufzeichnen, die von Usern im Netzwerk verändert werden. Habe auch kein Programm gefunden was sowas kann... dann hätte ich schnell den Übeltäter... Wegen Sonntag relativ sicher, da in der Datensicherung von Samstag auf Sonntag noch alles da war und Sonntag auf Montag alles weg war.... Datensicherungssoftware kann ich eigentlich auch ausschließen da im laufenden Betrieb nicht in der Art gesichert wird und die Löschungen wurden ja auch Tagsüber durchgeführt. Grüße Reyeg :)

Hi MurphY MacManus, Rücksicherung kommt leider nicht in Frage... ist nicht realisierbar und wenn es auf Sabotage rausläuft auch nicht hilfreich.... :shock: @Gulp Ich habe Filemon direkt auf dem Server ausgeführt, aber net über die Konsole.... aber macht das nen Unterschied? Das Programm hat leider nicht die Sachen angezeigt, was die User in Ihrem Homeshares gemacht haben, sondern nur was der User gemacht hat, der das Programm gestartet hat, oder mache ich was falsch? Achja, heute wurden noch keine Dateien gelöscht... die Köder sind gelegt *g* Letzte Aktion war am Sonntag, was wieder gegen Sabotage spricht.... Habe vorhin auch noch mal Blacklight Beta von F-Secure was nach Rootkits sucht drübergescheucht... ohne Ergebnis. Cu Reyeg :)

Hi Egli, also es ist kein Task drin, der net reingehören würde.... :) Interessant auf alle Fälle, aber auch mega frustierend...... :shock: Gruß Reyeg

Hi s21it21, danke für den Tip, ich werde es mir anschauen. Gruß Reyeg :)

Hi Gulp, also die ~$iz VDs 1.dos - Datei war ein geöffnetes Word-Dokument, was nur noch in der ungeöffneten Form vorhanden ist und die .tmp-Datei ist nicht mehr im Gruppenlaufwerk vorhanden. FileMon habe ich wie folgt verwendet: Filemon.exe auf dem Server net unter der Konsole, sonder direkt die .exe - Datei im Explorer gestartet und dann hab ich ihn aufzeichnen lassen. Als Test, hat mein Kollege eine Datei aus meinem Homeshare gelöscht, dies wurde allerdings nicht erfasst... sondern immer nur das was der User (sprich ich) aktiv auf dem Server getan hat. Wir haben ein Homeshare eines betroffenen Users soweit dicht gemacht, dass nur noch der User selber und ein spezieller Admin (namentlich) Zugriff auf das Homeshare hatten, mit dem Resultat (2 Dateien lagen drin) dass die schreibgeschütze Datei nicht gelöscht wurde, aber die ohne Schreibschutz innerhalb von 2Stunden erneut gelöscht worden ist. Ich werde mal den Zugriff so setzen dass Löschen nicht möglich ist, danke für den Hinweis! :) Allerdings bin ich immernoch total ratlos... :( Cu Reyeg :)

Hallo Leute, wollte nur kurz berichten, dass wir es erstmal lassen werden.... im Prinzip scheiterte es immo daran, dass es nur per GPRS-Geschwindigkeit nutzbar ist und an den hohen Kosten... aber ich denke über kurz oder lang werden wir und wieder mit der Problematik auseinandersetzen müßen... :) Cu Reyeg :)

Hi Gulp, ich habe übers WE den RootKitRevealer nochmal über den DC1 laufen lassen und man staune, er hat was gefunden.... nur habe ich Interpretationsschwierigkeiten und bitte um Hilfe und wie lösche ich den Krams mit welchem Programm am besten? HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwFilesScanned 20.5.2005 14:35 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwLastModified 20.5.2005 14:35 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\szLastScanned 20.5.2005 14:35 82 bytes Windows API length not consistent with raw hive data. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A2.200 20.5.2005 17:07 4.35 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A4.200 20.5.2005 17:07 10.17 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A6.200 20.5.2005 17:07 7.46 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58C723.200 20.5.2005 17:07 6.73 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58D44F.200 20.5.2005 17:07 9.59 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58D60C.200 20.5.2005 17:07 6.21 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58C4FD.200 20.5.2005 17:07 8.41 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58D5F4.200 20.5.2005 17:07 5.55 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58D648.200 20.5.2005 17:07 10.25 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58C9D3.200 20.5.2005 17:07 5.63 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58D609.200 20.5.2005 17:07 5.91 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58D63F.200 20.5.2005 17:07 8.09 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Wirtschaft\58D550.200 20.5.2005 17:07 8.39 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Wirtschaft\58D5C2.200 20.5.2005 17:07 4.86 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\0000FC.60 20.5.2005 17:07 1.25 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58C723.60 20.5.2005 17:07 1.57 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D2D6.60 20.5.2005 17:07 1.54 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D2DE.60 20.5.2005 17:07 1.42 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D32F.60 20.5.2005 17:07 1.85 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D38C.60 20.5.2005 17:07 1.56 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D550.60 20.5.2005 17:07 1.69 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D5AA.60 20.5.2005 17:07 1.24 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D5F1.60 20.5.2005 17:07 1.76 KB Hidden from Windows API. ...\WEBDE\Screensaver\Cache\Newsticker\58D5F4.60 20.5.2005 17:07 1.35 KB Hidden from Windows API. ...Gruppenlaufwerk\~$tiz VDs 1.doc 20.5.2005 17:36 54 bytes Hidden from Windows API. ...Gruppenlaufwerk\~WRL0001.tmp 20.5.2005 17:37 67.00 KB Hidden from Windows API. Danke und Gruß Reyeg :)