Mögliches Duplikat:
Der Computer ist mit einem Virus oder Malware infiziert. Was kann ich jetzt tun?
Wir haben eine Benutzerin, die sich mehrere Viren eingefangen hat. Die Viren wurden gelöscht und gesäubert, aber jetzt muss ich herausfinden, wie sie diese Viren auf ihren Computer bekommen hat.
Ich würde gerne wissen, was Sie verwenden, um aus der Ferne zu überprüfen, was die Ursache dieses Problems sein könnte.
- Internetprotokolle (Browserverlauf)
- Kekse
- Tools zur Analyse
- Tools, die alle Einbruchsmöglichkeiten aus der Ferne überprüfen können.
Außerdem suche ich nach Software, die Informationen auf dem Remotecomputer extrahieren kann und mir Hinweise oder Informationen hierzu geben kann.
Ich hoffe, diese Frage wird nicht geschlossen. Es wäre vielleicht eine gute Idee, hier alles aufzuschreiben, was zu tun ist, wenn auf einem PC in einer Domäne ein Virus gefunden wird, die Protokolle aber remote bereinigt und überprüft werden müssen.
Grüße,
David.
Antwort1
Wir bekommen regelmäßig Viren, die sich in Benutzerprofilen installieren. Diese Viren laufen zwar nicht mit Administratorrechten, werden aber auf jeden Computer kopiert, an dem sich der Benutzer anmeldet, und können Daten im Netzwerk senden und empfangen, was fast genauso schlimm ist.
Um die Viren zu erkennen, scannen wir den Dateiserver, auf dem unsere Benutzerprofile gespeichert sind, mit einer Antivirensoftware und überwachen das Netzwerk aktiv auf Virenaktivität. Hierzu verwenden wir eine Reihe von Tools wie Snort und Firewall-IP-Blacklists.
Wenn wir einen Virus entdecken, stellen wir sicher, dass er aus dem Roaming-Profil des Benutzers gelöscht wird, und führen ein neues Image aller Computer durch, auf denen der Virus im lokalen Profil des Benutzers installiert wurde (das auf diesem Computer und nicht auf dem Dateiserver gespeichert ist).
Antwort2
Ich würde zuerst prüfen, ob sie irgendwie als Administrator ausgeführt wurde. Die Ausführung als nicht privilegierter Benutzer ist die beste Möglichkeit, sich vor Viren zu schützen.
Dann würde ich Ihren SUS-Server oder das System Center prüfen, falls Sie diese haben, denn die zweithäufigste Möglichkeit, sich einen Virus einzufangen, ist die Verwendung einer Maschine, die nicht über alle Patches verfügt.
Als nächstes muss sichergestellt werden, dass ihre Antivirensoftware auf dem neuesten Stand ist. Beachten Sie, dass dies bei weitem nicht so wichtig ist wie die ersten beiden Punkte – die Ausführung vollständig gepatchter und unprivilegierter Programme trägt weitaus mehr zum Schutz vor Malware-Infektionen bei als Antivirensoftware. Es macht jedoch keinen Sinn, auch nur daran zu denken, Dinge wie Internetprotokolle oder Cookies anzusehen, bevor Sie alle drei Punkte überprüft haben.