magheinz 111 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 der ideale zeitpunkt um os-deployment+softwareverteilung einzuführen. bei 100 cliens imho ein muss, wie man hier sieht. Dank dem virus kannst du dich doch nicht mehr auf die korrekte anwendung der GPOs verlassen. der virus kann aich jederzit die firewall wieder deaktivieren. Die rechner weiter laufen zu lassen halte ich dpe grob fahrlässig. gibts einen it-Sicherheitsbeauftragten oder einen Datenschutzbeauftragten im Unternehmen? was sagen die zu deinem Vorgehen?
Daviiid 0 Geschrieben 31. August 2017 Autor Melden Geschrieben 31. August 2017 Moin, also, eins sollten wir noch prüfen. Melde dich mit dem User, zu dem die whoami-Ausgabe oben gehört, an einem anderen Rechner an. Versuche dann von dort aus, auf einen Admin-Share des Rechners zuzugreifen, auf dem du whoami ausgeführt hattest. Kann er dort zugreifen? Diesen PC habe ich bereits über einen Registry Eintrag die $-Freigaben entzogen. Bringt aber leider immer noch nichts. Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund. Könnte das aber nochmal mit 2 anderen PCs testen. Was da rauskommt. Ist das eventuell zur Fehlerbehebung hilfreich. Oder bleibt eigentlich nur die Neuinstallation? Ich würde es dennoch probieren mit der OfflineDisk. Im nächsten Schritt, falls alles schiefgeht. Kann man ja immer noch neuinstallieren. Der Aufwand mit Neuinstallationen ist ungleich höher und eventuell nicht vonnöten, wenn man sich Fehlerbehebungen mit dem EMOTET-Virus durchliest.
zahni 587 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 Diesen PC habe ich bereits über einen Registry Eintrag die $-Freigaben entzogen. Bringt aber leider immer noch nichts. Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund. Könnte das aber nochmal mit 2 anderen PCs testen. Was da rauskommt. Ist das eventuell zur Fehlerbehebung hilfreich. Oder bleibt eigentlich nur die Neuinstallation? Grusel. Schick die User nach Hause und hole Dir externe Unterstützung. BTW: Die hier haben mal gleich das LKA eingespannt: http://www.mdr.de/sachsen-anhalt/landtag-vom-netz-genommen-100.html
Piranha 18 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 Und da du selbst angegeben hast, dass in dem Netzwerk schon mehrere Viren unterwegs waren - liegt der Schluss zumindest nahe, dass die Rechner tiefgreifend kompromittiert sind. Also ich finde du solltest generell hier mal ansetzen(!) - wie kann es sein das ihr immer wieder Schadcode bekommt?
Daviiid 0 Geschrieben 31. August 2017 Autor Melden Geschrieben 31. August 2017 Also ich finde du solltest generell hier mal ansetzen(!) - wie kann es sein das ihr immer wieder Schadcode bekommt? User denke ich. Die unbedacht irgendeinen Anhang öffnen.
NilsK 3.046 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 Moin, Deiner Beschreibung nach ist die Umgebung vollständig kompromittiert. Tut mir leid, das so sagen zu müssen, aber für mich klingt das nach Neuinstallation. Die Rechner sind ja offenbar durch die Malware manipuliert. Man kann ihnen also nicht trauen. Die Entfernung der Viren stellt den Zustand dann auch nicht wieder her. Viel Erfolg, Nils 1
Sunny61 833 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 User denke ich. Die unbedacht irgendeinen Anhang öffnen. Und das kann man technisch verhindern.
Piranha 18 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 (bearbeitet) User denke ich. Die unbedacht irgendeinen Anhang öffnen. Genau das meine ich - solche Emails sollten gar nicht erst ins Postfach gelangen und/oder gar nicht erst ausgefuehrt werden koennen(!) ...da war Sunny61 etwas schneller ;) bearbeitet 31. August 2017 von Piranha
magheinz 111 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 wenn der virus eine Backdoor öffnet, dann hilft es dir gar nix den zu entfernen. Gegen akuten Virenbefall hilft nur eines: neuinstallation und schliessen des Einfallsvektors so er bekannt ist.
Dr.Melzer 191 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 Immer wieder sprint der Virenscanner an. Zwar nicht mehr so oft wie vorher. Aber immer noch so im 3h Takt ein Fund. Abgesehen davon, dass du endlich auf all die Experten hören und dir Hilfe holen solltest. Welcher Virus wird dir denn da gemeldet alle paar Stunden?
Daviiid 0 Geschrieben 31. August 2017 Autor Melden Geschrieben 31. August 2017 Abgesehen davon, dass du endlich auf al die Experten hören und dir Hilfe holen solltest. Welcher Virus wird dir denn da gemeldet alle paar Stunden? EMOTET
Piranha 18 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 Dann darfste sowieso alles platt machen - aber das weisst du wahrscheinlich selbst, auch wenn du es vielleicht noch zu umgehen versuchst :nene:
Dr.Melzer 191 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 EMOTET Dir ist bewusst was emotet so macht auf deinen Systemen? Seit wann hast du denn den Befall damit?
Dr.Melzer 191 Geschrieben 31. August 2017 Melden Geschrieben 31. August 2017 Falls dir noch nicht klar ist was du da in deinem Netz hast: https://www.scmagazine.com/new-variant-of-emotet-banking-trojan-spreads-internally-like-worm/article/676622/ Willst du es immer noch selbst versuchen? BTW: Klopf schon mal bei eurer Buchhaltung an ob es diese Woche schon seltsame Geldabflüsse von euren Konten gab...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden