dauernd viren...

[DerNiemand]

Hi,

ein Bekannter (der Chef des Unternehmens) hat probleme mit seiner Workstation, an dem auch andere Mitarbeiterinnen (technisches Verständnis = 0,0) und fragt mich um Rat.

Er hat ein Rechner, der seit drei Wochen permanent mit Viren verseucht wird. Die Internetseiten sind alle sicher, Firewall und Antivirus ist installiert und läuft. Die Viren lasten entweder cmd.exe zweimal mit 50% aus oder aber der greift ins Bios (über das Systemeigene Verwaltungstool wahrscheinlich) ein und stellt als primäres Bootlaufwerk die Netzwerkkarte ein.

In 4 Tagen waren es mal 8 Viren. Woher kommen die? Was auch sehr merkwürdig ist: Der PC ist ja in einer eigenen Arbeitsgruppe (ich nenne es mal "netzwerk A"). Und in diesem Netzwerk ist auch nur dieser PC. Auf einmal taucht dort ein anderer PC auf. Keiner weiß, woher der kommt? Das Netzwerk (Wlan) ist für Gäste zwar offen, aber die können ja nicht auf den Netzwerknamen kommen?

ich bin ratlos, woher diese ganze Virenflut kommt. habt ihr eine Idee?

 

[zEtTlAh]

Welcher Virenscanner ?
Welches Betriebssystem ?
Welche Firewall ?
Wie ist der Patchstand der Maschine ?
Wie ist sie ans Internet angebunden ?
Welche Viren wurden gefunden ?

 

[sdwaroc]

Ist das ein Firmennetzwerk oder ist das sein privater Rechner in den eigenen vier Wänden?

Ein verstecktes Netzwerk kann man auch finden. Wenn es dann noch offen ist gibt es keine Hindernis mehr reinzukommen. Wenn man dann noch technischen Sachverstand hat kommt auch in die Netzwerkgruppen. Das kostet dann aber schon ein wenig Energie...

Wärs nicht dein Chef würde ich ihm sagen, dass er weniger kostenfreie Erotikseiten aufrufen soll ;-)

Tipp: PC neu aufsetzen und das Netzwerk anständig sichern. Auch Gästen ist zuzutrauen ein Passwort anzufragen.

 

[brubbelmichi]

Na wenn Windows 98 darauf läuft, hast du deine Antwort, woher die ganzen Viren kommen
Nähere Infos zum System wären nicht schlecht.
Auch wäre interessant, ob dort regelmäßig "unsichere" USB Sticks oder andere Peripherie angesteckt wird.

Ein Antivirus, dass auf einem PC läuft, dass schon virenverseucht ist, darf man absolut nicht mehr trauen. Lieber eine Boot CD mit aktuellem Antivirus erstellen und einmal scannen lassen.

Falsch konfigurierte Firewalls tun ihr übriges dazu (da dort im Unternehmen ja absolut kein "technischer Verstand" vorhanden ist, wie du sagst, halte ich sowas für nicht ausgeschlossen)

 

[Eisholz]

Baller uns bloß nicht mit so vielen Infos zu.
Um welches Betriebssystem geht's? Und wenn ich schon lese "Firewall und Antivirus ist installiert und läuft"...
Oftmals reißen Firewalls von Drittanbietern große Sicherheitslücken ins System, kann durchaus sein, dass dort einige Türchen offen stehen.

Gruß, Eisholz

 

[wupi]

Würde spontan auf verseuchte USB-Sticks tippen.

 

[zEtTlAh]

Wenn ihr den Rechner immer Sauber bekommt könnten auch Roaming Profiles schuld sein. Sorry, aber mit den Infos kommen wir hier nicht weiter. Genauer genommen... Wenn ich das so lese ist der Chef nicht der einzige mit 0 technischem Verstand (wer das anderen vorwirft muss das auch selbst einstecken können).

 

[PropHunt]

Format C und USB-Sticks verbieten.

 

[Smartbomb]

Dann dürfte die Verseuchuhg schon tief im System sein und der Kübel ghört mit aktueller Software komplett neu aufgesetzt!
Und dann von nem Profi das Netztwerk eingerichtet und richtig konfiguriert.
UNd wenn die versuechte Kiste am Netztwerk hängt, das irgendwie offen ist und die Leute alle absolute OberDAUs sind (was fast überall so ist), dann sind wahrscheinlich sämtliche PCs und USB Sticks der tollen Mitarbeiter infiziert!
Also auch deren HeimPC wenn sie den USB Stick mal hier, mal da verwenden.

Also alles neu machen! Und erst wenn komplett fertig, wieder ans netztwerk hängen.
Die anderen PCs daweil ebenfalls vom Netztwerk trennen und verschiedene Scanner (wenn geht von CD booten) lufen lassen.

Als prima Alti Malware Programm (gratis) nimm Malwarebytes Antimalware.
Das nehmen auch viele Firmen, hat beste Erkennungsraten und ist spitze. Wo alle anderen (zm alle kostenlosen) Programme nichts mehr finden, malwarebytes Antimalware findet sie alle!
Kleines Freewareprogramm: McAffee Stinger. Kostenloses kleines Wurm/Schädling Suchtool.
Hat auch mal wärend der Durchsuchung die Guard von meinem AntiVir Free zum Ausschlagen gebracht.

Hatte in al der zeit auch schon mal ein richtig fieses RootKit auf meinem Win XP Netbook, was seit jahren 24/7 läuft.
Sowas bekommst du nur mit Combofix und/oder GMER Antirootkit weg!

Aber Vorsicht! das sind zwei echt "arge" Tools! Auf der Homepage wird auch strikt gewarnt, keinen Mist zu machen und den Suchvorgang, auch wenn Stunden nix passiert, nichts zu machen.
Weil es kann sein, dass das System dann nimma startet und alles im A ist.

Also neu machen und USB Sticks verbieten wäre - wenn es wirklich DAUs sind - nicht verkehrt.


MfG

 

[Soulii]

viren ohne ende , gäste wlan , niemand mit ahnung

offensichtlich ist der chef nicht qualifiziert oder willens eine firma zu leiten...

alles dicht machen , alle rechner formatieren , wlan aus , usb aus , cdroms ausbauen , internet abschalten.
danach organisiert man sich kompetente hilfe oder stellt wen ein und macht alles mal richtig,
anstatt so grob fahrlässig mit firmendaten umzugehen.

kriegt das auch nur ein kunde mit, ist die firma schneller dicht als der "chef" kucken kann...

 

[Smartbomb]

@Soulii: THIS!!

Ergänzung (31. Oktober 2013)

Muss ne Minifirma sein, sonst gäbe es wohl jemanden der für die IT/das Netzwerk/die PCs zuständig ist.
Sogar in nem Anwaltsbüro mit nem Server und 3 Office PCs die Word und Paragraph (son Anwaltsprogramm) nutzen, ham die einen Betreuer, den sie anrufen wenn was nicht eght oder kaputt ist. Und einen Leasingvertrag für den Server.

Und dein Chef?
Ist wohl kein Problem, wenn mal ne Woche nichts geht. Muss offensichtlich kein Geld verdient werden damit

 

[jud4s]

gäste-wlan gehört mal als absolut ersten schritt dicht gemacht.

danach gehören usb-sticks verbannt, viel zu oft werden damit (unbemerkt/unfreiwillig) schädlinge eingeschleppt.

neuaufsetzen und den leuten mal eine schulung verordnen zum thema computer-sicherheit und umgang mit den pcs bzw. den eingesetzten programmen.

 

[DigitalIllusion]

Also,

ich kam mal von kleinen Firmen mit maximal 30 Mitarbeitern - irgendwann kaufte die ganzen kleinen Firmen ein Börsengänger auf und entwickelte ein Weltunternehmen. In den iT-Abteilungen war da die Hölle los von ca. 2000 bis Windows XP. Seit dem läuft der ganze Intercompany Mist über VPNs. Ein drunter und drüber war das wie bei einem Rockkonzert bis Enterprise Server kam.

 

[sdwaroc]

Holt euch professionelle Hilfe!

 

[Terrier]

aus oder aber der greift ins Bios (über das Systemeigene Verwaltungstool wahrscheinlich) ein und stellt als primäres Bootlaufwerk die Netzwerkkarte ein.

ein Virus greift ins Bios ein, habe ich noch nicht gehört.

Der Chef und die Mitarbeiter greifen ein und sind dann wohl die Viren.

 

[chrigu]

huch... laie fragt laien um rat... (ist nicht böse gemeint)... mein tipp: holt euch profis, damit die besagte firma auf der sicheren seite ist. bringt wirklich nichts, irgendwelche tipps zu geben, wenn es beim pc-it-wissen happert. besonders gefährlich wird es, wenn kundendaten vermeindlich sicher irgendwie auf dem pc offenliegen mit der hoffnung "da steht firewall an, das reicht und ein virenscanner läuft auch noch"..

 

[DerNiemand]

huch... laie fragt laien um rat... (ist nicht böse gemeint)...

und

... Wenn ich das so lese ist der Chef nicht der einzige mit 0 technischem Verstand

Doch, das nehme ich persönlich. Nur weil ich hier gerademal 164 Beiträge habe, heißt das noch lange nicht, dass ich keine Ahnung habe!? In anderen Computer-Foren habe ich über 10.000 (qualifizierte!) Beiträge und bin sogar im Supportforum eines großen PC-Händlers tätig, wo meine Arbeit sehr geschätzt wird. Ein Laie bin ich nun wirklich nicht.

Also: Es handelt sich um ein PC (wo KEINE Kundendaten drauf gespeichert sind), der gerademal 3 Monate dort läuft (habe ich dort hingestellt und eingerichtet). Es läuft win 7 Prof 64 mit Avira und Windows Defender-Firewall drauf (in meinen Augen ausreichend). Der PC ist in einem Schrank (abgeschlossen!) mit 5mm Stahlwand und es kann dort niemand einen USB-Stick oder dergleichen einstecken. Der Chef des Unternehmens und die Mitarbeiter rufen weder "verbotene" noch "schmuddel"seiten auf und haben noch nichtmal ne Ahnung, was "BIOS" überhaupt ist. Und wenn jemand "unbedarftes" etwas anstellt, dann resultiert das in 8 Virenmeldungen und cmd.exe bei 50% (die haben noch nichtmal ne Ahnung, was cmd.exe ist!) ?

achja, das ding hat auch kein CDrom und das Wlan für die Gäste ist zwingend notwendig. Das wird eventuell bald auf einen Benutzerdefinierten Accespoint mit zufallspasswörtern ersetzt.

achja, der PC ist immer auf dem neuesten Stand und per LAN-Kabel an den Router angeschlossen

 

[sdwaroc]

Es geht nicht um die Anzahl deiner Beiträge sondern darum, wie du das Problem oben formuliert hast.

Das wird eventuell bald auf einen Benutzerdefinierten Accespoint mit zufallspasswörtern ersetzt.

Großartig: Ihr schließt ganz vielleicht eine riesige Sicherheitslücke!

Es läuft win 7 Prof 64 mit Avira und Windows Defender-Firewall drauf (in meinen Augen ausreichend).

Entschuldigung aber dieser PC ist alles andere als gesichert. Das solltest du wissen! Avira -.-"


Was macht das Maschinchen denn eigentlich? Bezieht es ein Profil vom Server oder sind diese Lokal abgelegt. Wenn du Ahnung hast müsstest du wissen, dass du die Infrastruktur schon genauer beschreiben musst wenn wir die sagen sollen wo der virus herkommen und wie man ihn wieder los werden kann.

Der Chef des Unternehmens und die Mitarbeiter rufen weder "verbotene" noch "schmuddel"seiten auf und haben noch nichtmal ne Ahnung, was "BIOS" überhaupt ist.

Wenn die Seiten nicht gesperrt sind werden sie auch aufgerufen. Da hilft es nichts auf die guten und ehrlichen Kollegen zu vertrauen, was in anderen Bereichen zweifelsfrei notwendig ist.
"Gute Bekannte" mit dem BND-Virus waren auch nie auf den einschlägigen Seiten - richtig?!

 

[DerNiemand]

Die Formulierung liegt vielleicht daran, dass ich es per Ipad geschrieben habe und ich mich so kurz wie möglich gehalten habe?

was hast du gegen Avira? Für ein riesen Unternehmen wäre das unterdimensioniert, das ist klar. Aber für einen popligen Office-Rechner reicht das locker aus.

Das ist einfach ein stinknormaler Office-PC um Accounts auf Internetportalen zu "überwachen" und um Emails zu schreiben. Anhänge von Emails werden übrigens nicht geöffnet.

Das ist kein riesen Unternehmen oder sowas.

Und nein, auf den Seiten wird nicht drauf gegangen, die sind nicht im Protokoll aufgeführt und die Mitarbeiter haben 0 Ahnung wie man das Abschaltet/löscht.

Und ja, der BND-Virus konnte sich auch über "normale" internetseiten einschleusen. Meine Freundin und auch ich hatten den schonmal gehabt, sogar bei einem Rechner, der 3 wochen lang am Stück encodiert hat und damit noch NIE im Internet gesurft wurde.

achja,kann jemand so einen AP empfehlen? sollte so günstig wie möglich sein. Zyxel hatte sowas doch mal?

 

[sdwaroc]

was hast du gegen Avira? Für ein riesen Unternehmen wäre das unterdimensioniert, das ist klar. Aber für einen popligen Office-Rechner reicht das locker aus.

Wenn etwas "sicher" sein soll reicht Avira eben gerade nicht. Und das ist absolut unabhängig vom Einsatzgebiet des PCs.

Und nein, auf den Seiten wird nicht drauf gegangen, die sind nicht im Protokoll aufgeführt und die Mitarbeiter haben 0 Ahnung wie man das Abschaltet/löscht.

Wenn niemand auf unsichere Websites geht dann können die Viren de facto ja nur über USB-Sticks u.Ä. kommen. Genau wie hier...

Und ja, der BND-Virus konnte sich auch über "normale" internetseiten einschleusen. Meine Freundin und auch ich hatten den schonmal gehabt, sogar bei einem Rechner, der 3 wochen lang am Stück encodiert hat und damit noch NIE im Internet gesurft wurde.

... denn selbst schreiben tun PCs diese viren ganz sicher nicht.

Und nein, auf den Seiten wird nicht drauf gegangen, die sind nicht im Protokoll aufgeführt und die Mitarbeiter haben 0 Ahnung wie man das Abschaltet/löscht.

Wenn du dir da so sicher bist dann hilft wirklich nur sicherzustellen, dass Daten von extern nicht nach intern kommen. Also alle Firmenfremden Medienträger sperren.

Die Formulierung liegt vielleicht daran, dass ich es per Ipad geschrieben habe und ich mich so kurz wie möglich gehalten habe?

Du hättest ahnen können, dass man mit der Beschreibung nicht viel anfangen kann.

achja,kann jemand so einen AP empfehlen? sollte so günstig wie möglich sein. Zyxel hatte sowas doch mal?

Warscheinlich wärt ihr mit einem örtlich-ansässigen IT-Dienstleister am besten beraten. Der kann dann auch im Notfall eingreifen und unterstützen. Für große Dienstleister scheint das Unternehmen deutlich zu klein zu sein: Thema Priorisierung von Kunden.