Jump to content

reyeg

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    253

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von reyeg

  6. Geplante Tasks -> Script bleibt "hängen"

    in Windows Forum — Allgemein

    Geschrieben

    Hallo Leute,

     

    endlich habe ich mein Script fertig, was automatisch eine neue Virensignatur von ftp.nai.com zieht, dann automatisch die alte Virensignatur archiviert und die neue in ein bestimmtes Verzeichnis kopiert.

    Nun habe ich dass Problem, dass das Script bei 3 von 6 Versuchen während des FTP-Downloads der Virensignatur einfach "hängen" bleibt, also der Download schlägt fehl und das Script wird dann nicht mehr weiter abgearbeitet, was auch so sein soll.

    Ich nutze "wget", ausgeführt in der Konsole, als FTP-Programm.

     

    Habt Ihr nen zuverlässigers, kostenloses FTP-Programm was ich via Script ansteuern könnte um die Virensig zu ziehen?

     

    Danke und Gruß

    Reyeg :)

  12. Printserver umziehen

    in Windows Forum — Allgemein

    Geschrieben

    Also ich habe es bei unserem neuem Printserver (anderer Name) so gelöst, dass ich ne Batchdatei geschrieben habe, die auf die Clients geschaut hat was für ein Drucker drauf ist, diese dann gelöscht hat und den gleichen auf den neuen Server gemappt hat.

    Lediglich der Standarddrucker musste dann vom User neu markiert werden.

     

    Gruß

    Reyeg :)

  15. Suche Software zur Verzeichnisüberwachung..

    in Windows Forum — Allgemein

    Geschrieben

    So, folgendes Problem habe ich nun....

     

    Erstmal muss ich sagen dass es sich wunderbar einstellen läßt Dateien und/oder Verzeichnisse mit Windows-Mitteln überwachen zu lassen... ich dachte schon dass ich damit mein Problem lösen könnte, ABER da ich davon ausgehe, dass die Aktionen der überwachten Dateien in der Ereignisanzeige im Sicherheitsprotokoll abgelegt werden habe ich da reingeschaut und festgestellt, dass dort in der Sekunde (!!) ca. 100 Einträge geschrieben werden, da die Überwachungsrichtlinie aktiv ist und jede Aktion die auf dem Server getätigt wird aufgezeichnet wird.

    So ist es unmöglich nach einem bestimmten Eintrag zu suchen.... :(

     

    Läßt sich die Protokolierung irgendwie einschränken?

     

    Grüße

    Reyeg :)

  16. Suche Software zur Verzeichnisüberwachung..

    in Windows Forum — Allgemein

    Geschrieben

    @Egli,

    nochmal danke für den Hinweis, da bin ich dran, jedoch wurden in den Shares wo ich die Maßnahme getroffen habe noch nicht wieder gelöscht....

     

    @dmetzger

    Danke für den Hinweis, ich bin am prüfen... :)

     

    Cu Reyeg :)

     

    EDIT:

    @dmetzger

    Hey, das ist genau das was ich brauche, nur wo wird das ganze protokoliert? In der Ereignisanzeige finde ich nichts..... steht da dann auch welcher User was gemacht hat?

  17. Suche Software zur Verzeichnisüberwachung..

    in Windows Forum — Allgemein

    Geschrieben

    Hallo Leute,

     

    ich möchte hier keinen Doppelpost machen, allerdings denke ich dass mit diesem Thread andere Leute angesprochen werden, bzw. die Problemstellung gegenüber meines alten Threads verändert hat -> ich habe ich das Problem (siehe Thread: Neuer Wurm oder Virus aktiv?) dass ich Dateien aus Homeshares verschiedener User gelöscht bekomme und ich nicht nachvollziehen kann, wer oder was die Dateien löscht.

    Ich habe mich mit dem Tool Filemon von Sysinternals befasst, doch leider läßt sich damit nicht feststellen welcher User was auf unserem Server macht, sondern es wird immer nur das aufgezeichnet was der User macht, der das Programm gestartet hat (also ich).

     

    Gibt es ein Tool was die Verzeichnisse und Dateien auf einem Server überwacht und mir sagen kann, dass User X am Tag Z die Datei Y gelöscht hat?

     

    Danke und Gruß

    Reyeg :)

  18. Neuer Wurm oder Virus aktiv?

    in Windows Forum — Allgemein

    Geschrieben

    Kurze Zwischeninfo für alle Interessierten:

    Dateien wurden seit gestern nicht mehr gelöscht..... warum auch immer, vllt. sollte ich mal die Urlaubskartei prüfen lassen ;)

     

    EDIT: Leider hat "der" oder "das" wieder zugeschlagen..... und zwar 2 mal... 1x während der Bandsicherung heute Nacht muss es passiert sein, da seltsamerweise 2 Dateien auf Band gesichert worden sind (in dem Moment sind sie ja in Verwendung, denke ich mal) und nach der Sicherung hat "der" oder "das" zum 2. mal zugeschlagen, da sie gelöscht.... sprich heute Morgen net mehr vorhanden waren.

    Es wurde ja schon in Richtung BackUp-Software spekuliert allerdings schließe ich diese aus, da die Masse der Dateien im laufenden Betrieb gelöscht worden sind und da wird nicht gesichert.... *grmpf*

     

    Gruß

    Reyeg :)

  19. Neuer Wurm oder Virus aktiv?

    in Windows Forum — Allgemein

    Geschrieben

    Danke für die Hinweise, vllt. kommt man ja so irgendwie zu ner Problemlösung indem man alles ausschließt :)

     

    Ich bin Domänen Admin.... leider kann Filemon nicht aktiv Dateien auf einem Server aufzeichnen, die von Usern im Netzwerk verändert werden. Habe auch kein Programm gefunden was sowas kann... dann hätte ich schnell den Übeltäter...

     

    Wegen Sonntag relativ sicher, da in der Datensicherung von Samstag auf Sonntag noch alles da war und Sonntag auf Montag alles weg war....

    Datensicherungssoftware kann ich eigentlich auch ausschließen da im laufenden Betrieb nicht in der Art gesichert wird und die Löschungen wurden ja auch Tagsüber durchgeführt.

     

    Grüße

    Reyeg :)

  20. Neuer Wurm oder Virus aktiv?

    in Windows Forum — Allgemein

    Geschrieben

    Hi MurphY MacManus,

     

    Rücksicherung kommt leider nicht in Frage... ist nicht realisierbar und wenn es auf Sabotage rausläuft auch nicht hilfreich.... :shock:

     

    @Gulp

    Ich habe Filemon direkt auf dem Server ausgeführt, aber net über die Konsole.... aber macht das nen Unterschied?

    Das Programm hat leider nicht die Sachen angezeigt, was die User in Ihrem Homeshares gemacht haben, sondern nur was der User gemacht hat, der das Programm gestartet hat, oder mache ich was falsch?

     

    Achja, heute wurden noch keine Dateien gelöscht... die Köder sind gelegt *g*

    Letzte Aktion war am Sonntag, was wieder gegen Sabotage spricht.... :confused:

    Habe vorhin auch noch mal Blacklight Beta von F-Secure was nach Rootkits sucht drübergescheucht... ohne Ergebnis.

     

    Cu Reyeg :)

  23. Neuer Wurm oder Virus aktiv?

    in Windows Forum — Allgemein

    Geschrieben

    Hi Gulp,

     

    also die ~$iz VDs 1.dos - Datei war ein geöffnetes Word-Dokument, was nur noch in der ungeöffneten Form vorhanden ist und die .tmp-Datei ist nicht mehr im Gruppenlaufwerk vorhanden.

     

    FileMon habe ich wie folgt verwendet:

    Filemon.exe auf dem Server net unter der Konsole, sonder direkt die .exe - Datei im Explorer gestartet und dann hab ich ihn aufzeichnen lassen.

    Als Test, hat mein Kollege eine Datei aus meinem Homeshare gelöscht, dies wurde allerdings nicht erfasst... sondern immer nur das was der User (sprich ich) aktiv auf dem Server getan hat.

     

    Wir haben ein Homeshare eines betroffenen Users soweit dicht gemacht, dass nur noch der User selber und ein spezieller Admin (namentlich) Zugriff auf das Homeshare hatten, mit dem Resultat (2 Dateien lagen drin) dass die schreibgeschütze Datei nicht gelöscht wurde, aber die ohne Schreibschutz innerhalb von 2Stunden erneut gelöscht worden ist.

    Ich werde mal den Zugriff so setzen dass Löschen nicht möglich ist, danke für den Hinweis! :)

     

    Allerdings bin ich immernoch total ratlos... :(

     

    Cu Reyeg :)

  25. Neuer Wurm oder Virus aktiv?

    in Windows Forum — Allgemein

    Geschrieben

    Mal mit dem RootkitRevealer von sysinterals probieren .... der findet auch gut getarnte Störenfriede.

     

    Greetz

     

    Gulp

     

    Hi Gulp,

     

    ich habe übers WE den RootKitRevealer nochmal über den DC1 laufen lassen und man staune, er hat was gefunden.... nur habe ich Interpretationsschwierigkeiten und bitte um Hilfe und wie lösche ich den Krams mit welchem Programm am besten?

     

    HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwFilesScanned 20.5.2005 14:35 4 bytes Data mismatch between Windows API and raw hive data.

    HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\dwLastModified 20.5.2005 14:35 4 bytes Data mismatch between Windows API and raw hive data.

    HKLM\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\McShield\szLastScanned 20.5.2005 14:35 82 bytes Windows API length not consistent with raw hive data.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A2.200 20.5.2005 17:07 4.35 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A4.200 20.5.2005 17:07 10.17 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Kultur\58D5A6.200 20.5.2005 17:07 7.46 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58C723.200 20.5.2005 17:07 6.73 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58D44F.200 20.5.2005 17:07 9.59 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Politik\58D60C.200 20.5.2005 17:07 6.21 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58C4FD.200 20.5.2005 17:07 8.41 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58D5F4.200 20.5.2005 17:07 5.55 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Sport\58D648.200 20.5.2005 17:07 10.25 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58C9D3.200 20.5.2005 17:07 5.63 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58D609.200 20.5.2005 17:07 5.91 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Vermischtes\58D63F.200 20.5.2005 17:07 8.09 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Wirtschaft\58D550.200 20.5.2005 17:07 8.39 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Nachrichtenbox\Wirtschaft\58D5C2.200 20.5.2005 17:07 4.86 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\0000FC.60 20.5.2005 17:07 1.25 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58C723.60 20.5.2005 17:07 1.57 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58D2D6.60 20.5.2005 17:07 1.54 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58D2DE.60 20.5.2005 17:07 1.42 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58D32F.60 20.5.2005 17:07 1.85 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58D38C.60 20.5.2005 17:07 1.56 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58D550.60 20.5.2005 17:07 1.69 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58D5AA.60 20.5.2005 17:07 1.24 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58D5F1.60 20.5.2005 17:07 1.76 KB Hidden from Windows API.

    ...\WEBDE\Screensaver\Cache\Newsticker\58D5F4.60 20.5.2005 17:07 1.35 KB Hidden from Windows API.

    ...Gruppenlaufwerk\~$tiz VDs 1.doc 20.5.2005 17:36 54 bytes Hidden from Windows API.

    ...Gruppenlaufwerk\~WRL0001.tmp 20.5.2005 17:37 67.00 KB Hidden from Windows API.

     

    Danke und Gruß

    Reyeg :)

×
×
  • Neu erstellen...