Heckflosse

Die "Gesamtentschlüsselung" war nicht zufriedenstellend. Mit dem Malwarebytes-Tool habe ich versucht alle Dateien mit der Endung der Verschlüsselung zu entschlüsseln. 

Dabei wurden nicht alle Dateien entschlüsselt, einige entschlüsselte Dateien konnten nicht mehr geöffnet werden trotz Entschlüsselung.

Also genau so, wie es Malwarebytes angegeben hat. Zuerst eine Master-Kopie machen und dann entschlüsseln. Falls die Entschlüsselung nicht klappt, können Dateien beschädigt werden.

Da ich vorher die Eigenen Dateien bereits gesichert und zu 100% entschlüsselt habe, ist alles gut gelaufen. Der Besitzer des PC ist sehr erleichtert. 

Für mich war es wieder was unter dem Motto "again what learned". Allgemein stimmen dann die Berichte doch die verschlüsselten Festplatten aufzuheben bis Schlüssel und Tool verfügbar ist.

Hi,

konnte jetzt auch den MBR entschlüsseln, System startet wieder. Führe jetzt gerade das Malwarebytes-Win-Tool aus und entschlüssel alle Dateien mit Endung xxx.

Gruß

Hi,

die Entschlüsselung hat funktioniert. Hab jetzt die Dateien per Kaspersky Rescue Disk auf einen Stick kopiert, dann in eine VM. Mit einem Hex-Editor den Schlüssel ausgelesen, dann Schlüssel zum Entschlüsseln mit dem Malwarebytes-Tool generiert.

Dann mit dem zweiten Malwarebytes-Tool die Dateien entschlüsselt.

Diese scanne ich jetzt erneut mit Kaspersky und fertig.

Gruß

OK, mach ich. Werde heute Abend beginnen.

Hallo,

natürlich wird das System neu installiert. Malwarebytes hat vor zwei Tagen eine Decryptor veröffentlich, werde ich am WE testen.

Gruß

Hallo,

wir suchen eine Möglichkeit die Speicherung des Kennworts durch den IE ausschließlich für OWA per GPO zu deaktivieren.

Gibt es sowas?

Gruß
Markus

Die Kiste hängt natürlich offline. Eh klar.

Waren zwischen 20 und 30. ...bewerbung.xls 

Danke für Eure Beiträge:

@Dr.Melzer

Viele Artikel im Netz beschreiben ein bootbares Win (abgesicherter Modus) und den Versuch der Datenwiederherstellung mit ShadowCopies oder Systemwiederherstellungspunkt.

Der Rechner wurde mehrfach neu gestartet. Kein F8 möglich.

@Jan

Super Hinweis. Dann mal warten bis eine Software entwickelt ist die den Master-Key verwendet und die Daten vielleicht entschlüsselt werden können. Hab jetzt alle relevanten Daten per Kaspersky Rescue-Disk auf eine externe Festplatte kopiert und alle gefunden Viren, Trojaner, etc. entfernt.

Hallo,

ich habe seit längerem einen PC zu Hause der sich Ende letzten Jahres mit GoldenEye infiziert hat. 

Manche Lösungen im Internet setzen einen Systemstart voraus. Dies im abgesicherten Modus.

Bei mir funktioniert der Start mit F8 nicht. 

Gibt es eine Möglichkeit den defekten MBR wieder zu reparieren so dass Win7 startet?

Danke.
Markus

Hallo,

mein Kollege hat es nun gefunden über den Domaincontroller exportiert:

get-aduser -filter {emailaddress -like  "*domaene.de"} -properties DisplayName, EMailAddress | select DisplayName, EMailAddress | export-csv -path c:\temp\ADUser.txt

Danke für den Hinweis.

Hallo,

kanns leider nicht downloaden:

Hallo,

ich benötige einen PS-Abfrage der Postfächer nach Domäne mit Vorname und Nachname:

Als Ansatz verwende ich dies:

Get-Mailbox -ResultSize Unlimited | Select-Object Name, PrimarySMTPAddress, @{Name="EmailAddresses";Expression={$_.EmailAddresses -cmatch "smtp"}} | Where-Object {($_.PrimarySMTPAddress -like "*domain3.ch*") -or ($_.EmailAddresses -like "*domain3.ch*")} > c:mailboxes.txt

Hier wird "nur" der Windows-Benutzername ausgegeben, ich benötige noch Vorname und Nachname.

Wie schaffe ich das?

Gruß

Markus

Habe ich auch getestet, das gleiche Ergebnis.

Tschuldigung. Der Druckeranschluss ist TCP/IP, Anschlussname: fritz.box

Der Drucker wird in Windows auf Online gesetzt: Rechte Maustaste auf den Drucker, Druckaufträge anzeigen, Menü "Drucker", Drucker online verwenden.

Hallo,

auf einem älteren Win7 wurde ein Brother-MFC installiert. Dieser ist per USB an eine FritzBox angebunden. Wenn der Laptop neu gestartet wird ist der Drucker immer "Offline". Schaltet man ihn "Online" kann wieder gedruckt werden. Nach mehrmaligen Reinstallationen konnte das Problem nicht beseitigt werden.

Gibt es eine Funktion per Skript die in den Autostart verfrachtet werden kann? Finde leider nix.

Danke.

Markus

Hallo,

danke für Deine Antwort. Wir machen es jetzt anders:

Auf einer Synology wurde jetzt ein FTP eingerichtet mit den identischen FTP-Login-Daten wie vor dem Hoster-Umzug. Die Webseiten werden auch auf der Synology gehostet. Eine Weiterleitung beim Hoster wird eingerichtet. Somit ist man unabhängig von zukünftigen Veränderungen.

Gruß

Hallo,

hab ein nicht direktes Windows-Problem:

Für einen Kunden habe ich über 80 Solar-Anlagen mit automatischen Upload der Verbrauchszahlen auf einen Webserver erstellt. Hier wird vor Ort per Internet der jeweilige Tagesstand per Internet hochgeladen. 

Jetzt wurde der Hoster von einem anderen Hoster übernommen und der FTP-Name ist nicht mehr identisch. D. h. ich müsste jetzt über 80 Standorte abfahren und die FTP-Daten ändern. 

Als Alternative wäre jetzt ein erneuter Umzug zu einem anderen Hosting-Dienst. Hier gilt als Voraussetzung, dass der FTP-Name frei wählbar ist. 

Kennt jemand einen Hoster bei dem der Name frei wählbar ist?

Gruß und danke.

Markus

Das App-Whitelisting hatten wir heuer auch schon im Gespräch. Wird mit Sicherheit in 2017/18 kommen. 

Ich finde es einfach nur schwach von Trendmicro. Lt. Techniker von Bitdefender besteht dort dieses "Problem" nicht. Hier ist egal ob Server oder Client ein flächendeckender Ransom-Schutz gegeben.

Hallo,

wir benutzen Trendmicro Officescan im Client- und Server-Umfeld.

Nach Installation der letzten Version wurde die Verhaltensüberwachung (Ransom-Schutz) für die gesamte Domäne aktiviert.

Auf allen Clients ist diese jetzt aktiv, auf den Server nicht. Lt. Trendmicro-Admin-Konsole ist diese aktiv, wenn man den OfficeScan-Client am Server ansieht, ist die Verhaltensüberwachung deaktiviert. 

Es wurde ein Call bei Trendmicro geöffnet mit dieser Antwort:

Der OfficeScan-Client erkennt ob es sich um ein Server-OS handelt. Wenn ja, wird der Ransom-Schutz abgeschaltet da es hier zu Problemen kommen kann. Nach mehrmaliger Nachfrage wurde uns mitgeteilt, man könne den Schutz per Hand über die Registry, etc. einschalten und man sollte alle aktivierten Server permanent auf Performance-Probleme beobachten. 

D. h. Trendmicro kann keinen flächendeckenden Schutz gewährleisten.

Frage:

Wer setzt Trendmicro ein und wie wird mit diesem Problem umgegangen?

Gruß

Markus

Hallo,

wir verwenden Outlook 2010 mit SP2 und Exchange 2010.

Ein Postfach besitzt eine Weiterleitung. Wenn man an dieses Postfach einen Termin sendet, wird dieser an den Empfänger der Weiterleitung zugestellt. Kriegt der Empfänger ebenfalls den Termin und löscht den Termin aus der Weiterleitung, wird auch das Kalenderelement das für den Benutzer bestimmt war gelöscht.

Ich hoffe ich konnte mich einigermaßen verständlich geben.

Gruß
Markus

Es ist "egal" ob man das Attribut in 1-15 einträgt. Das Attribut "123" muss nicht immer das Attribut 1 sein.

Wollte nur mitteilen, dass es jetzt funktioniert. An sich enthält der neue Beitrag keine große Änderung. Dachte es wäre für weitere Benutzer dieses Forums evtl. interessant.

So, nun funktioniert es. Unser Consultant hat noch mal einen rausgehauen!

Hier die Powershell-Befehle für eine Firma: