willy-goergen 0 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 (bearbeitet) Mich hat heute ein wutentbrannter Anruf von einem Meister in der Fertigung erreicht, weil sein Rechner nicht mehr wie erwartet funktionierte. "WAS HAST DU DA SCHON WIEDER GEMACHT? MEIN BILD IST WEG!!!" Die Sache habe ich mir dann näher angesehen, weil ich eventuell Zusammenhänge mit den von mir mit WPP verteilten Updates gesehen habe. Dem ist aber nicht so. Auf dem Rechner hat sich eine Adware eingenistet. Genannt "Vosteran". Da die Profile momentan noch lokal gespeichert sind, hat sich das Problem auch auf das lokale Profil eingrenzen lassen. Irgendein Depp hat sich da wohl nen dummen Scherz erlaubt. Mein Problem: Ich bekomme die Schadsoftware nicht vollständig deinstalliert. Das Programm hat(te) sich in den Benutzerdaten eingenistet. Das konnte ich entfernen. Ebenso den "Vosteran-Browser", eine Abart von Chrome. Irgendwo hängt der Mist aber noch drin und ich komme grade nicht dahinter. Das Programm hat sich im Firefox eingenistet. Auch wenn ich die Einstellungen in about:config zurücksetze, sind sie nach jedem Neustart des Browser da. Irgendwo hab ich da glaube ich was übersehen. Mein radikaler Ansatz wäre, das komplette Nutzerprofil zu löschen. Damit wären natürlich auch Lesezeichen über paranoide Exfrauen weg. Das möchte ich nicht. Meine Fragen wären: - Wie kann ich solche Installationen in Zukunft (ggf. per GPO) verhindern. So weit bin ich noch nicht gekommen. - Wie bekomme ich den Schrott weg, ohne das ich das komplette Profil löschen muss? AdwCleaner findet nichts. Bisher habe ich mir noch nicht die auf dem Rechner laufenden Prozesse angesehen. Wäre evtl. auch ein Ansatzpunkt. bearbeitet 14. Januar 2015 von willy-goergen Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 Eventuell hat sich das Teil irgendwo im Alluser-Profil eingenistet Ich gehe mal davon aus, dass der User keine Adminrechte hat Um solche Dinge zu verhindern, sollte man mehrstufig vorgehen: - Keine offenen USB-Port - Proxy und Mailserver, die ausführbare Programme filtern. - Mit einem geschickten Einsatz der Software Restriction Policy kann man die Ausführung heruntergeladener Programme verhindern. Ist nicht ganz einfach und braucht Einiges an Testaufwand. - Ja, ein Virenscanner schadet auch nicht. -Zahni Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 14. Januar 2015 Autor Melden Teilen Geschrieben 14. Januar 2015 (bearbeitet) Eventuell hat sich das Teil irgendwo im Alluser-Profil eingenistet Ich gehe mal davon aus, dass der User keine Adminrechte hat Um solche Dinge zu verhindern, sollte man mehrstufig vorgehen: - Keine offenen USB-Port - Proxy und Mailserver, die ausführbare Programme filtern. - Mit einem geschickten Einsatz der Software Restriction Policy kann man die Ausführung heruntergeladener Programme verhindern. Ist nicht ganz einfach und braucht Einiges an Testaufwand. - Ja, ein Virenscanner schadet auch nicht. -Zahni Dem Nutzer habe ich vor längerer Zeit die Adminrechte entzogen. Zumindest war es ihm möglich, beliebige Software als lokaler Administrator zu installieren. Solche Abgründe haben sich daneben noch sehr oft aufgetan, die ich jetzt nicht diskutieren will. Ich wundere mich nur darüber. Daneben habe ich immer noch das Problem, das manche Nutzer als Domänenadmin arbeiten. Mein ausgeschiedener Kollege hat ihnen das halt mal so offen gelegt. Das Passwort muss ich ändern. Allerdings muss ich da vorher nochmal drüber nachdenken. Einen Virenscanner haben wir... aber ich möchte das Thema nicht sprengen. Das wird evtl. mal eine separate Frage meinerseits. Was meinst du mit einem "geschickten Einsatz der Software Restriction Policy"? Das allgemeine Profil werde ich mir morgen mal anschauen. bearbeitet 14. Januar 2015 von willy-goergen Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 Also: Keine Adminrechte, bzw. Rechte wegnehmen und sofort alle (ALLE!) Kennwörter von Usern ändern, die irgendwelche administrativen Rechte haben. SRP im Groben: http://technet.microsoft.com/de-de/library/hh831534.aspx Den betreffenden PC würde ich platt machen und neu installieren. Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 14. Januar 2015 Autor Melden Teilen Geschrieben 14. Januar 2015 (bearbeitet) Die Userkennwörter sind weniger mein Problem. Mein Problem ist das Kennwort des Domänenadministrators. Das ändert man nicht einfach so. Da hängt ein bisschen was dran. Und ich habe bisher nicht alle Abhängigkeiten erkannt. Das wäre bei einer Änderung fatal. Das ist aber nicht das Thema, weil ich nicht glaube, dass der User im Kontext des Domänenadmins gehandelt hat. Er hat sich den Schrott lokal installiert. bearbeitet 14. Januar 2015 von willy-goergen Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 Nun, dann solltest Du hier anfangen. Anwendungen sollten sich nur noch mit dedizierten technischen Usern anmelden, die genau die Rechte haben, die benötigt werden. Das sind sehr oft viel weniger Rechte, als sie ein Domän-Admin hat. Oft hilft hier nur der harte Weg: Wochenende einplanen, alle Passwörter der Domänen-Admins ändern, die System neu booten, Nun prüfen, was alles nicht mehr funktioniert und mit diesem Anwendungen in persönliches "Wort" wechseln. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 Ist auf dem Rechner Filezilla installiert? Der Installer von Filezilla aus SourceForge bringt zwei weiter Programme mit. Im Installer sieht es so aus als würdest du nur Lizenz Bedingungen abnicken. Tatsächlich sind das aber Bestätigungen um "Vosteran" und "suoer PC Tools" zu imstallieren. Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 14. Januar 2015 Autor Melden Teilen Geschrieben 14. Januar 2015 Ist Filezilla so böse? Auf dem Rechner ist das nicht drauf.... Ich hab es aber auf meinem Rechner als FTP-Programm. Außer dem Programm habe ich selbst aber nichts abgenickt Wir kommen irgendwie immer weiter ab. ;). Zitieren Link zu diesem Kommentar
daabm 1.197 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 Nicht wirklich - ein wenig Diskussion muß schon sein... Wenn Du Dein Netzwerk vor so etwas schützen willst: Least Privilege und Software Restriction Policies (und zwar mit Whitelisting!) helfen effektiv. Dazu noch EMET. Meine "allgemeine Regel": KEIN User ist Administrator - nirgends und nie."Shared" Admin-Kennwörter gehen GAR NICHT. Und KEIN User darf Dateien ausführen,die in Verzeichnissen gespeichert sind, in denen er Schreibrechte hat. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 Wertvolle Tippps hast du ja bekommen, generell gilt bei uns im Unternehmen die Policy das ein Virenverseuchter Rechner neugemacht werden muss und vorher nicht mehr ins Netzwerk kommt. Die Zeit du da reingesteckt hast ist a) zu teuer und b) weißt du nie genau ob alles entfernt wurde. Image drauf und fertig (ggf. vorher wichtigen Daten aus den Profilen sichern) Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 15. Januar 2015 Autor Melden Teilen Geschrieben 15. Januar 2015 (bearbeitet) Ist auf dem Rechner Filezilla installiert? Der Installer von Filezilla aus SourceForge bringt zwei weiter Programme mit. Im Installer sieht es so aus als würdest du nur Lizenz Bedingungen abnicken. Tatsächlich sind das aber Bestätigungen um "Vosteran" und "suoer PC Tools" zu imstallieren. Beim nochmaligen Lesen kommt in mir eine schlechte Erinnerung bzgl. Filezilla hoch. Stimmt, darüber bin ich auch gestolpert, aber zum Glück nicht drauf reingefallen. Ansonsten... war wieder einmal sehr informativ! Danke euch allen für euren guten Tipps bisher. :) Sehr viel eigentliche Arbeitszeit habe ich in den infizierten Rechner noch nicht gesteckt. War vielleicht ein Stündchen gestern. Nachdem ich mal drüber geschlafen habe, denke ich aber auch grade, ich wähle den radikalen Ansatz und mach das Ding platt. Privat mache ich das eigentlich auch immer so und spiele ein (meistens halbwegs aktuelles) Backup zurück, weil ich keine Lust habe, ewig Zeit mit solchen Dingen zu verschwenden. Der Nutzer sollte sowieso einen neuen Rechner bekommen. Dem werde ich ihn dann eben heute einrichten und von der verseuchten Kiste solange erst mal den Stecker ziehen. bearbeitet 15. Januar 2015 von willy-goergen Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 15. Januar 2015 Melden Teilen Geschrieben 15. Januar 2015 Hier noch ein IMHO guter Hinweis in Sachen Software Restriction Policy: http://schneegans.de/computer/safer/ Damit kannst Du an einem Testrechner anfangen und ein bisschen ein Gefühl dafür entwickeln. Wenn das korrekt eingerichtet ist, kann nur noch Software ausgeführt werden, die in %PROGRAMFILES%, %ProgramFiles(x86)% oder in %WINDIR% bereits installiert ist. Und wenn der User keine Adminrechte hat, kann er auch nichts installieren. Bezüglich Domain Admin Kennwort könnte auch dieser Artikel weiterhelfen: http://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/ Damit lassen sich Konten auflisten die auf Server/Clients benutzt werden. Und ja, nach so einer Infektion ist eine Neuinstallation die einzige seriöse Vorgehensweise. Alles andere hat in einem Firmenumfeld nichts zu suchen. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. Januar 2015 Melden Teilen Geschrieben 15. Januar 2015 Ist Filezilla so böse? Nein ist es nicht. Du hattest gefragt wie die Malware auf den Rechner gekommen sein kann. Die SourceFogre Installationsroutine für Filezilla ist ein potentieller Weg. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.