Jump to content

Win7 fährt ungewünscht herunter und speichert keine geöffnete Datei


audax
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Win7 ist oem dvd des Rechners 2 Jahre alter pc.

Keine Tools -

Glaub ich nicht.

 

os

direkt nach Installation eset

direkt danach malwarebytes

dann erst netzwerkkartentreiber und Anbindung and LAN

dann erst Windows updates direkt von von ms (nicht Wsus)

 

Danach kamen 2 unerwünschte Neustarts vor (ohne Msgbox)

Lass doch einfach mal ESET und den anderen Krempel weg. Installiere das SP1 für W7 und das Convenience Rollup: https://support.microsoft.com/en-us/kb/3125574 Am besten vorher von einem anderen Computer aus downloaden und auf einem Stick speichern. Bevor das nicht alles drauf ist, kein WLAN-Verbindung und keine LAN-Verbindung ins Internet aufbauen.

 

 

Und Adobe Reader vom Fileserver. Putty und WinSCP auf C kopiert (von fileserver, der Echtzeit und wöchentlich Voll gescannt wird)

Downloade Adobe Reader vom Hersteller und nicht von einem verseuchten Fileserver. Es gibt auch einen FTP-Server von Adobe, da kriegst Du nur das MSI ohne irgendwelche Beigaben.

 

Sonst ist da nix installiert.

Recht viel mehr Tools gehen schon fast nicht mehr.

 

Und wenn ich per Browser online bin, viel häufiger.

Diesen Post müsste ich per Handy tippen, weil ich 2 mal ausgeschaltet wurde und von vorne beginnen musste.

Mit welchem Browser arbeitest Du?

Link zu diesem Kommentar

Der Internet Explorer der mit installiert wird (und natürlich durch die updates von Microsoft auf die neuesten Fixe gezogen)

Kein Firefox, chrome etc

Nun, es ist echt unglaublich, wie diese Drecksprogammierer es wirklich schaffen, eine Infektion in eine Standard DVD, die vom OEM kommt, einzuschleusen.

Es kann natürlich sein, dass auch meine Eset und Malwarebytes- Installationsfiles auf dem fs verseucht sind.

Ich weiß schon garnicht mehr, wo man was sauberes erhalten kann??!!

 

Ich habe ansonsten ProofPoint und Palo Alto mit Sandbox-Analyse im Einsatz. Und im Endpoint halt Eset UND malwarebytes.

 

Dachte eigtl. das ist schon ein adäquater Schutz - Scheibe mich zu irren.

 

Nach Euren Vorschlägen werde ich nun folgendes machen:

 

Neue Festplatte

Neuer Datenträger

Neu installieren

Sp1 drauf

Offline Updates als Datei von einem sauberen Rechner (aber wer genau ist sauber?)

Eset Files von Eset Webseite

Malwarebytes (wird von malwarebytes serverconsole aus ausgerollt)

Adobe Reader vom ftp Server als msi

 

 

Hab ich was vergessen?

Link zu diesem Kommentar

Der eingesetzte Scanner kann und wird von den passenden Viren als erstes massiv getäuscht.

 

Wenn Du deinen W7 Key hast, dann kannst Du dir ja eine W10 ISO von MSFT holen und damit installieren.

Wie das geht, steht in diesem Artikel: https://www.heise.de/newsticker/meldung/Und-noch-ein-Trick-weiterhin-kostenlos-an-Windows-10-zu-kommen-3288425.html Vollkommen getrennt von den restlichen Maschinen alles neu installieren und anschließend Updates installieren.

 

Wie groß ist das Netzwerk? Firma oder Privat?

Link zu diesem Kommentar

Etwa 450 pc und 30 Server.

Das habe ich auch schon überlegt, direkt auf W10 zu gehen. Ist das OS hoffentlich weniger Lückenhaft in Bezug auf Exploits.

Kann das wer bestätigen?

Hat jmd. Erfahrung mit Palo Alto Traps als Endpoint Schutz?

 

 

Mir wird unwohl bei dem Gedanken, jedes File noch einmal umzudrehen.

 

Wir werden in ca. 2 Monaten ein neues SAN bekommen.

Also werde ich am besten nichts migrieren, bevor ich sicher sein kann.

Und das wird wohl nicht einfach möglich sein.

bearbeitet von audax
Link zu diesem Kommentar

Nein, das tut er vermutlich nicht. Aber wir werden, da wir ein neues SAN bekommen ohnehin vor der Aufgabe stehen, eine Datenmigration zu betreiben.

Demnach hielt ich es für nicht sinnvoll, Verseuchtes auch zu migrieren.

Mein ungutes Gefühl bezieht sich darauf, dass es offensichtlich heutzutage KEIN verlässliches Mittel gibt zu verifizieren, ob man verseuchte Dateien hat, oder eben nicht.

Link zu diesem Kommentar

Ja, genau. Ich antworte lieber nicht darauf :-().

Aber genau so ist es leider. Ich versuche hier keine Schuldfrage zu stellen, aber als ich in dem Unternehmen angefangen hab, kannte jeder den Begriff Volumenlizenzierung bereits.


Kurzer Hinweis auch wenn es keine Lösung ist.

 

Seit gestern ist mein Rechner nicht mehr heruntergefahren. Ich habe per lok. GPO das Recht auf Herunterfahren auf einen spezifischen lokalen Benutzer beschränkt.

Link zu diesem Kommentar

"Die lokalen Administratoren haben"...

Das ist  wohl Dein Hauptproblem.

Unsere PCs haben keine lokalen Administratoren bzw. sind die Konten alle deaktiviert und mit einem Sinnlos-Password belegt.

Wenn ein PC remote heruntergefahren wird, steht das hinterher im Eventlog (u.U. auch unter "Security"). Da sollte die Quelle gefunden werden.

Und vermutlich solltet Ihr Euch fachmännische Hilfe im Bereich IT-Security holen.

Link zu diesem Kommentar

Sorry, ich meinte die lokale Gruppe Administratoren. Hier stehen ja dann auch die Domain-Admins, nachdem man sich zur Domain hinzufügt.

Der lokale Administrator ist selbstverständlich deaktiviert. Ist ja eh so nach dem Domain-Join.

Mit den Standardeinstellungen des Ereignisprotokolls steht es offensichtlich so nicht drin, bzw. es ist dann nicht ein remote shutdown - Zumindest konnte ich nichts im Protokoll finden.

Das war ja im Übrigen auch eine meiner ersten Fragen in diesem Thread, wie man denn das Ereignislog auf "Debug" stellen kann, um mal ein paar mehr Details zu erhalten. Denn da fehlt mir einfach das Know How.

 

Und Yepp! Ich würde mir gerne einen Windows Security Experten leisten wollen dürfen.

Link zu diesem Kommentar

Versuch eines Reboots einer VM:

 

Bei mir ist es System-Log, Event 1074, Quelle User32:

 

 The process wininit.exe ([remote_ip_adress]) has initiated the restart of computer TESTVM on behalf of user Domain\user for the following reason: Legacy API shutdown

 Reason Code: 0x80070000
 Shutdown Type: restart
 Comment: 
bearbeitet von zahni
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...