Jump to content

Administrative Freigaben können alle User einsehen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

der ideale zeitpunkt um os-deployment+softwareverteilung einzuführen. bei 100 cliens imho ein muss, wie man hier sieht.

Dank dem virus kannst du dich doch nicht mehr auf die korrekte anwendung der GPOs verlassen. der virus kann aich jederzit die firewall wieder deaktivieren.

 

Die rechner weiter laufen zu lassen halte ich dpe grob fahrlässig. gibts einen it-Sicherheitsbeauftragten oder einen Datenschutzbeauftragten im Unternehmen? was sagen die zu deinem Vorgehen?

Link zu diesem Kommentar

Moin,

 

also, eins sollten wir noch prüfen. Melde dich mit dem User, zu dem die whoami-Ausgabe oben gehört, an einem anderen Rechner an. Versuche dann von dort aus, auf einen Admin-Share des Rechners zuzugreifen, auf dem du whoami ausgeführt hattest. Kann er dort zugreifen?

 

 

Diesen PC habe ich bereits über einen Registry Eintrag die $-Freigaben entzogen. Bringt aber leider immer noch nichts. Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund.

Könnte das aber nochmal mit 2 anderen PCs testen. Was da rauskommt. Ist das eventuell zur Fehlerbehebung hilfreich. Oder bleibt eigentlich nur die Neuinstallation?

 

Ich würde es dennoch probieren mit der OfflineDisk. Im nächsten Schritt, falls alles schiefgeht. Kann man ja immer noch neuinstallieren. Der Aufwand mit Neuinstallationen ist ungleich höher und eventuell nicht vonnöten, wenn man sich Fehlerbehebungen mit dem EMOTET-Virus durchliest.

Link zu diesem Kommentar

Diesen PC habe ich bereits über einen Registry Eintrag die $-Freigaben entzogen. Bringt aber leider immer noch nichts. Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund.

Könnte das aber nochmal mit 2 anderen PCs testen. Was da rauskommt. Ist das eventuell zur Fehlerbehebung hilfreich. Oder bleibt eigentlich nur die Neuinstallation?

 

Grusel. Schick die User nach Hause und hole Dir externe Unterstützung.

 

BTW: Die hier haben mal gleich das LKA eingespannt: http://www.mdr.de/sachsen-anhalt/landtag-vom-netz-genommen-100.html

Link zu diesem Kommentar

Moin,

 

Deiner Beschreibung nach ist die Umgebung vollständig kompromittiert. Tut mir leid, das so sagen zu müssen, aber für mich klingt das nach Neuinstallation.

 

Die Rechner sind ja offenbar durch die Malware manipuliert. Man kann ihnen also nicht trauen. Die Entfernung der Viren stellt den Zustand dann auch nicht wieder her.

 

Viel Erfolg, Nils

Link zu diesem Kommentar

Falls dir noch nicht klar ist was du da in deinem Netz hast: https://www.scmagazine.com/new-variant-of-emotet-banking-trojan-spreads-internally-like-worm/article/676622/

 

Willst du es immer noch selbst versuchen?

 

BTW: Klopf schon mal bei eurer Buchhaltung an ob es diese Woche schon seltsame Geldabflüsse von euren Konten gab...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...