Jump to content
Daviiid

Administrative Freigaben können alle User einsehen

Empfohlene Beiträge

der ideale zeitpunkt um os-deployment+softwareverteilung einzuführen. bei 100 cliens imho ein muss, wie man hier sieht.

Dank dem virus kannst du dich doch nicht mehr auf die korrekte anwendung der GPOs verlassen. der virus kann aich jederzit die firewall wieder deaktivieren.

 

Die rechner weiter laufen zu lassen halte ich dpe grob fahrlässig. gibts einen it-Sicherheitsbeauftragten oder einen Datenschutzbeauftragten im Unternehmen? was sagen die zu deinem Vorgehen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

also, eins sollten wir noch prüfen. Melde dich mit dem User, zu dem die whoami-Ausgabe oben gehört, an einem anderen Rechner an. Versuche dann von dort aus, auf einen Admin-Share des Rechners zuzugreifen, auf dem du whoami ausgeführt hattest. Kann er dort zugreifen?

 

 

Diesen PC habe ich bereits über einen Registry Eintrag die $-Freigaben entzogen. Bringt aber leider immer noch nichts. Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund.

Könnte das aber nochmal mit 2 anderen PCs testen. Was da rauskommt. Ist das eventuell zur Fehlerbehebung hilfreich. Oder bleibt eigentlich nur die Neuinstallation?

 

Ich würde es dennoch probieren mit der OfflineDisk. Im nächsten Schritt, falls alles schiefgeht. Kann man ja immer noch neuinstallieren. Der Aufwand mit Neuinstallationen ist ungleich höher und eventuell nicht vonnöten, wenn man sich Fehlerbehebungen mit dem EMOTET-Virus durchliest.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Diesen PC habe ich bereits über einen Registry Eintrag die $-Freigaben entzogen. Bringt aber leider immer noch nichts. Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund.

Könnte das aber nochmal mit 2 anderen PCs testen. Was da rauskommt. Ist das eventuell zur Fehlerbehebung hilfreich. Oder bleibt eigentlich nur die Neuinstallation?

 

Grusel. Schick die User nach Hause und hole Dir externe Unterstützung.

 

BTW: Die hier haben mal gleich das LKA eingespannt: http://www.mdr.de/sachsen-anhalt/landtag-vom-netz-genommen-100.html

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Und da du selbst angegeben hast, dass in dem Netzwerk schon mehrere Viren unterwegs waren - liegt der Schluss zumindest nahe, dass die Rechner tiefgreifend kompromittiert sind.

 

Also ich finde du solltest generell hier mal ansetzen(!) - wie kann es sein das ihr immer wieder Schadcode bekommt?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also ich finde du solltest generell hier mal ansetzen(!) - wie kann es sein das ihr immer wieder Schadcode bekommt?

 

User denke ich. Die unbedacht irgendeinen Anhang öffnen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

Deiner Beschreibung nach ist die Umgebung vollständig kompromittiert. Tut mir leid, das so sagen zu müssen, aber für mich klingt das nach Neuinstallation.

 

Die Rechner sind ja offenbar durch die Malware manipuliert. Man kann ihnen also nicht trauen. Die Entfernung der Viren stellt den Zustand dann auch nicht wieder her.

 

Viel Erfolg, Nils

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

User denke ich. Die unbedacht irgendeinen Anhang öffnen.

Genau das meine ich - solche Emails sollten gar nicht erst ins Postfach gelangen und/oder gar nicht erst ausgefuehrt werden koennen(!)

 

...da war Sunny61 etwas schneller ;)

bearbeitet von Piranha

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

wenn der virus eine Backdoor öffnet, dann hilft es dir gar nix den zu entfernen. Gegen akuten Virenbefall hilft nur eines: neuinstallation und schliessen des Einfallsvektors so er bekannt ist.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund.

Abgesehen davon, dass du endlich auf all die Experten hören und dir Hilfe holen solltest. Welcher Virus wird dir denn da gemeldet alle paar Stunden?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Falls dir noch nicht klar ist was du da in deinem Netz hast: https://www.scmagazine.com/new-variant-of-emotet-banking-trojan-spreads-internally-like-worm/article/676622/

 

Willst du es immer noch selbst versuchen?

 

BTW: Klopf schon mal bei eurer Buchhaltung an ob es diese Woche schon seltsame Geldabflüsse von euren Konten gab...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×