Zitat:

Zitat von BataAlexander

Frage bitte einen Admin der sich damit auskennt.

Traurig, aber wahr: Ich bin der Admin :-(

Zitat:

Zitat von BataAlexander

Ich würde an Deiner Stelle nicht weiter Firmeninterna, die sicherlich noch nicht schlimm sind, dennoch hier nicht zu ssuchen haben, ins Internet stellen.

Keine Angst, hab alle sichtbaren IP-Adressen und Namen mit "Suchen&Ersetzen" geändert. Es sind also keine realen Angaben mehr vorhanden.

Zitat:

Zitat von OberChecker1

Traurig, aber wahr: Ich bin der Admin :-(

Traurig, aber hart: Dann hast Du den falschen Job.

Wenn Du Dich selber nicht mit dem Thema Virenbefall auskennst, so lasse bitte einen externen Sachverständigen kommen. Über die Fernwartung hier kommt man zu schnell zu dem Punkt, dass diese komische machdas.bat ja doch essentiell wichtig war um deinen bestimmten client übers Netzwinzubinden und nein es gibt kein Backup.
In diese Situtation möchte ich nicht kommen und auch Fachbetriebe haben das Recht Ihr Schärflein zu verdienen.

Hallo Alexander,

nun ja, meine Qualifikation sei mal dahingestellt.

Es geht mir ja im Moment darum, zu erfahren, ob der eScan schon was festgestellt hat, oder nicht.

Wenn jemand sagt: "Ohh, das-und-das sieht aber schlimm aus" werde ich mir immer noch geeignete Maßnahmen überlegen.

Deswegen wäre ich froh, wenn mir jemand etwas zu meinem geposteten Skript sagen könnte

eScan ist imho dafür nicht geeignet.
Alles was Du getan hast war an sich falsch, einzig eTrust hat Dich dran gehindert die Datei weiter auszuführen, indem der Guard die Datei beim schreiben auf die Festplatte bzw. kurz dannach prüfte uns gelöscht hat.

Hab gerde noch mal mit nem Techniker von unserem Systemhaus telefoniert.
Zusammen sind wir einige Einstellungen durchgegangen.
Wir sind zu dem Schluss gekommen, dass mein eTrust den Wurm in dem Moment gestoppt hat, als er loslegen wollte.

Die Einstellung vom Echtzeit-Scan war auf "Löschen" eingestellt, so dass ich in der Protokoll-Ansicht auch nur noch sehen kann, dass mein eTrust heute morgen den Wurm NetskyC überführt hat.

Zitat:

Zitat von BataAlexander

Alles was Du getan hast war an sich falsch,

Leider kann ich Deine Meinung nicht ganz nachvollziehen.
Und einfach zu behaupten, ich hätte ALLES falsch gemacht, finde ich dann doch etwas zu platt.

- Firewall aktiv und aktuell (korrekt)
- eTrust aktiv und aktuell (korrekt)
- bei Verdacht sofort Netzwerk gezogen (zumindest nicht das Schlechteste)
- Verschiedene Virenscanner den Client (und den Server) checken lassen (korrekt)

- Eine als "Extension Blocking" Markierte Email downgeladen: Geb ich zu, das war blöd. Aber meiner Meinug nach nicht vorher zu sehen.
Ich hätte erwartet, dass so eine Mail im "infected"-Ordner landet.
Außerdem hätte ich NICHT erwartet, dass das Script automatisch losläuft
Wobei ich ja nicht mal sagen kann, ob nun das virus-Script oder mein eTrust ausgeführt wurde...

Zitat:

Zitat von BataAlexander

einzig eTrust hat Dich dran gehindert die Datei weiter auszuführen, indem der Guard die Datei beim schreiben auf die Festplatte bzw. kurz dannach prüfte uns gelöscht hat.

Bitte??
Wieso hat eTrust MICH daran gehindert, die Datei auszuführen??
Also soo blöd bin ich nun auch nicht, dass ich diese Datei auch noch angeklickt hätte. - Vielen Dank!!-

Also einigen wir uns darauf:

- ich war so blöd, eine bereits suspekte Mail runter zu laden (geb ich zu!)
- Meine Technik war aber auf dem neuesten Stand (was ich täglich kontrolliere!!) . Das Virus hat keinen Schaden anrichten können. Und dafür ist das Programm schließlich da!
- Mit allen weiteren Aktionen habe ich zumindest keinen weiteren Schaden angerichtet, und mein Systemhaus ist der Meinung, dass alles OK sei...

In diesem Sinne:

'n schön' Tach noch

Zitat:

Leider kann ich Deine Meinung nicht ganz nachvollziehen.

Warum

Zitat:

Und einfach zu behaupten, ich hätte ALLES falsch gemacht, finde ich dann doch etwas zu platt.

Man könnte Dir anrechnen die Schutzsoftware installiert zu haben, aber ehrlich gesagt wars das auch schon. Was willst Du denn lesen?
Eine Glanzleistung war das so oder so nicht, dass hast Du aber ja selber schon bemerkt.

@oberchecker1


Schau doch mal ob es eine Datei gibt die modifiziert wurde, zu finden unter C:\Windows\winlogon.exe


Desweiteren nachsehen ob es hier Auffälligkeiten gibt:

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run key
         

Werte wie dieser "ICQ Net" = "%Windir%\winlogon.exe -stealth sollten Anzeichen für eine Infektion sein welche sich nach einem Neustart aktivieren!

Ist dies alles nicht geschehen sollte auch keine Infizierung stattgefunden haben.

Zitat:

Zitat von BataAlexander

Was willst Du denn lesen?

Also meine ursprüngliche Hoffnung war ja, dass jemand meine eScan-Auswertung irgendwie überprüft, und einen entsprechenden Hinweis abgibt, was zu tun wäre.
SO ETWAS hätte ich gerne gelesen...

<edit>
Oder eben: eScan ist Quatsch. Starte mit Programm XYZ, mache dann ABC und danach DEF...
So was hätte sich bestimmt auch gut gelesen...
</edit>

Zitat:

Zitat von BataAlexander

Eine Glanzleistung war das so oder so nicht, dass hast Du aber ja selber schon bemerkt.

Das ist richtig. Aber ich denke, dass ALLE(!!) Leute, die hier etwas posten sich irgendwie einen Virus oder sonst was eingefangen haben.
Dafür wurde ja auch dieses Forum geschaffen.
Und ich denke, dass 99% aller Fälle, die hier gepostet werden, wesentlich fahrlässiger gehandelt haben, als ich! (z.B. gar keine AntiVirus-Software, oder auf sonstigen ominösen Seiten gesurft...)