20
1KB Dateien zB 0A43F2AB4D66 überall
Hallo;
Sorry für den eigenartigen Titel, kanns aber nicht anders beschreiben.
Bilder sagen mehr als 1000 Worte. (im Anhang)
Diese eigenartigen Dateien tauchen überall auf.
Auf C:
Auf D:
Auch auf den Netzlaufwerken.
Geht über einen Zeitraum von mittlerweile sechs Monaten.
Besitzer ist immer "SYSTEM"
Kommt von jedem erdenklichen PC.
Kein Muster erkannbar.
System:
Domäne mit Server 2016
Hat jemand eine Idee?
Sorry für den eigenartigen Titel, kanns aber nicht anders beschreiben.
Bilder sagen mehr als 1000 Worte. (im Anhang)
Diese eigenartigen Dateien tauchen überall auf.
Auf C:
Auf D:
Auch auf den Netzlaufwerken.
Geht über einen Zeitraum von mittlerweile sechs Monaten.
Besitzer ist immer "SYSTEM"
Kommt von jedem erdenklichen PC.
Kein Muster erkannbar.
System:
Domäne mit Server 2016
100 Windows 10 Clients
Hat jemand eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374205
Url: https://administrator.de/forum/1kb-dateien-zb-0a43f2ab4d66-ueberall-374205.html
Ausgedruckt am: 22.12.2024 um 02:12 Uhr
20 Kommentare
Neuester Kommentar
Hallo Freak-On-Silicon,
... oder auch lokal auf Laufwerken, die im Netz freigegeben sind.
Vom Fileserver lokal erzeugt versus auf dem Fileserver erzeugt.
Sind die Dateien löschbar oder gesperrt, weil geöffnet?
Schau doch mal mit Notepad in die Dateien rein.
Vielleicht sind die enthaltenen 40 Bytes aufschlussreich in Bezug auf die Herkunft oder für eine weitere Internetsuche geeignet.
Gruß Frank
... oder auch lokal auf Laufwerken, die im Netz freigegeben sind.
Vom Fileserver lokal erzeugt versus auf dem Fileserver erzeugt.
Sind die Dateien löschbar oder gesperrt, weil geöffnet?
Schau doch mal mit Notepad in die Dateien rein.
Vielleicht sind die enthaltenen 40 Bytes aufschlussreich in Bezug auf die Herkunft oder für eine weitere Internetsuche geeignet.
Gruß Frank
Jetzt hast mich verwirrt 
Es ist immer ein anderer Benutzer.
Ich geh davon aus dass irgendein Programm das auf den Clients installiert ist, das verursacht.
Dateien sind ganz einfach löschbar.
Sicherheit steht auf "Jeder" Vollzugriff.
Wenn so eine Datei mit dem Notepad öffne steht sowas zB: 1A3FA3ED648E10FD384C88E1774D3F562DD55AC9
Ahja, versteckt sind sie auch.
Hab leider im Google absolut nichts gefunden.
Ist aber auch irgendwie schwer zu suchen^^
Es ist immer ein anderer Benutzer.
Ich geh davon aus dass irgendein Programm das auf den Clients installiert ist, das verursacht.
Dateien sind ganz einfach löschbar.
Sicherheit steht auf "Jeder" Vollzugriff.
Wenn so eine Datei mit dem Notepad öffne steht sowas zB: 1A3FA3ED648E10FD384C88E1774D3F562DD55AC9
Ahja, versteckt sind sie auch.
Hab leider im Google absolut nichts gefunden.
Ist aber auch irgendwie schwer zu suchen^^
Hallo Freak-On-Silicon,
womit habe ich das geschafft und konntest Du Dich entwirren oder hält der Zustand noch an?
Da der Besitzer "SYSTEM" ist, würde ich eher auf einen Dienst tippen.
Gruß Frank
womit habe ich das geschafft und konntest Du Dich entwirren oder hält der Zustand noch an?
Zitat von @Freak-On-Silicon:
Ich geh davon aus dass irgendein Programm das auf den Clients installiert ist, das verursacht.
Programme laufen normalerweise im Benutzerkontext.Ich geh davon aus dass irgendein Programm das auf den Clients installiert ist, das verursacht.
Da der Besitzer "SYSTEM" ist, würde ich eher auf einen Dienst tippen.
Gruß Frank
Mit dem:
Hab gerade was interessantes entdeckt.
Der Besitzer ist doch nicht immer "System".
Sondern verschiedenste User.
Also, wenn so eine Datei lokal zB auf C: erstellt wurde, dann ist der Besitzer "SYSTEM".
Wenn die Datei in einem Netzlaufwerk erstellt wurde, ist der Besitzer ein User.
Zitat von @Pedant:
... oder auch lokal auf Laufwerken, die im Netz freigegeben sind.
Vom Fileserver lokal erzeugt versus auf dem Fileserver erzeugt.
... oder auch lokal auf Laufwerken, die im Netz freigegeben sind.
Vom Fileserver lokal erzeugt versus auf dem Fileserver erzeugt.
Hab gerade was interessantes entdeckt.
Der Besitzer ist doch nicht immer "System".
Sondern verschiedenste User.
Also, wenn so eine Datei lokal zB auf C: erstellt wurde, dann ist der Besitzer "SYSTEM".
Wenn die Datei in einem Netzlaufwerk erstellt wurde, ist der Besitzer ein User.
Hallo,
Wirklich?
Da versucht jemand oder etwas irgendwas.... Ist so meine Vermutung.
Gruß,
Peter
Wirklich?
Also, wenn so eine Datei lokal zB auf C: erstellt wurde, dann ist der Besitzer "SYSTEM".
Klar, da ja das lokale Systemkonto eben alles darf. Das würde normalerweise richtig Alarm auslösen.Wenn die Datei in einem Netzlaufwerk erstellt wurde, ist der Besitzer ein User.
Auch klar, weil entweder wäre das ja sonst das lokale Systemkontor des betreffenden Servers da ein Client lokales Systemkonto nichts im Netzwerk darf...Da versucht jemand oder etwas irgendwas.... Ist so meine Vermutung.
Gruß,
Peter
Hm,
Echt nervig.
Wie würdest du/ihr weiter vorgehen?
Echt nervig.
Wie würdest du/ihr weiter vorgehen?
Hallo,
Rechner Offline nehmen
Evtl. mit ProcessMonitor und Co. suchen und evtl. den Verursacher finden und identifizieren
Offline nach unerwünschten Prg. suchen und entfernen
Die Server ebenfalls Offline scannen
Oder halt eine saubere Datensicherung überall zurückspielen
Fragt sich ob du wissen willst wer und was das verursacht, eine Datensicherung existiert usw. Das dieses Teil sich dein Netzwerk zu nutzen macht ist ja schon klar, Aber vieeleicht ist es nur ein Amoklaufendes PRG welches USB Sticks formartieren kann. Wir wissen nicht was alles bei dir....
Gruß,
Peter
Rechner Offline nehmen
Evtl. mit ProcessMonitor und Co. suchen und evtl. den Verursacher finden und identifizieren
Offline nach unerwünschten Prg. suchen und entfernen
Die Server ebenfalls Offline scannen
Oder halt eine saubere Datensicherung überall zurückspielen
Fragt sich ob du wissen willst wer und was das verursacht, eine Datensicherung existiert usw. Das dieses Teil sich dein Netzwerk zu nutzen macht ist ja schon klar, Aber vieeleicht ist es nur ein Amoklaufendes PRG welches USB Sticks formartieren kann. Wir wissen nicht was alles bei dir....
Gruß,
Peter
Oha.
Das sind ungefähr 100 Rechner.
Datensicherung ist ausreichend vorhanden.
Auf 90% der PCs lauft das gleiche Image.
Aufgefallen ist es mir erst vor zwei Wochen.
Aber die ersten Dateien sind vom Dezemeber 2017.
Das sind ungefähr 100 Rechner.
Datensicherung ist ausreichend vorhanden.
Auf 90% der PCs lauft das gleiche Image.
Aufgefallen ist es mir erst vor zwei Wochen.
Aber die ersten Dateien sind vom Dezemeber 2017.
Hallo,
Und? Wo ist dein Problem?
Dein Netz, deine Entscheidung
Gruß,
Peter
Und? Wo ist dein Problem?
Datensicherung ist ausreichend vorhanden.
Auch aktuell mit jedem Client OS und dessen Einstellungen der Nutzer? Und wo dieses unbekannte PRG noch nicht zugegriffen hat?Auf 90% der PCs lauft das gleiche Image.
Aber auf 100% sind teils andere Einstellungen weil du sicherlich nicht mit einen einzigen Benutzer im LAN...Aufgefallen ist es mir erst vor zwei Wochen.
Dann hat das ganze ja noch Zeit, oder was sollen wir darunter verstehen. Du musst entscheiden was mit euren Rechner passiert oder eben nicht passiert. Solange du die Ursache nicht kennst, gehe vom schlimmsten Fall aus...Aber die ersten Dateien sind vom Dezemeber 2017.
Also hast du seit Dezember dich nicht um dein Netz gekümmert? Dein Netz, deine Entscheidung
Gruß,
Peter
Hallo Freak-On-Silicon,
irgendwie glaube ich nicht, dass es ein Virus ist.
Stell doch mal einen Rechner, den Du im Moment nicht benötigst, mittels eines Backups wieder her.
Zwischenfragen:
Wie lange dauert es eigentlich, vom Löschen der fraglichen Dateien, bis zum Erscheinen neuer Dateien dieser Sorte?
Werden sie immer nur im Root der Laufwerke erstellt oder auch in Unterordnern?
Den Rechner kannst Du zunächst ohne Netzwerkanbindung nutzen und sehen ob Dateien auftauchen
und anschließend mit Netzwerkanbindung.
Beobache einfach was Du tust, welche Programme Du öffnest usw.
Du kannst auch mal alle Autostartsachen deaktivieren und mal AV deinstallieren (solange der PC nicht am Netzwerk ist).
Du kannst auch mal einen betroffenen Rechner vom Netz nehmen, die Dateien löschen und den dann nutzen und beobachten.
Wenn Du Dich damit beschäftigst wird Dir schon irgendwann ein Zusammenhang mit irgendwas auffallen.
Es würde mich nicht überraschen, wenn irgendwas von Adobe der Schuldige wäre, wobei ich exakt dieses Phänoment (noch) nicht kenne.
Gruß Frank
irgendwie glaube ich nicht, dass es ein Virus ist.
Stell doch mal einen Rechner, den Du im Moment nicht benötigst, mittels eines Backups wieder her.
Zwischenfragen:
Wie lange dauert es eigentlich, vom Löschen der fraglichen Dateien, bis zum Erscheinen neuer Dateien dieser Sorte?
Werden sie immer nur im Root der Laufwerke erstellt oder auch in Unterordnern?
Den Rechner kannst Du zunächst ohne Netzwerkanbindung nutzen und sehen ob Dateien auftauchen
und anschließend mit Netzwerkanbindung.
Beobache einfach was Du tust, welche Programme Du öffnest usw.
Du kannst auch mal alle Autostartsachen deaktivieren und mal AV deinstallieren (solange der PC nicht am Netzwerk ist).
Du kannst auch mal einen betroffenen Rechner vom Netz nehmen, die Dateien löschen und den dann nutzen und beobachten.
Wenn Du Dich damit beschäftigst wird Dir schon irgendwann ein Zusammenhang mit irgendwas auffallen.
Es würde mich nicht überraschen, wenn irgendwas von Adobe der Schuldige wäre, wobei ich exakt dieses Phänoment (noch) nicht kenne.
Gruß Frank
Nein, von den Clients sind keine Backups vorhanden, weil egal...
Auf den Clients direkt sind keine Daten und auch keine Einstellungen.
Es sind ungefähr 280 User.
Naja, wie soll mir auffallen dass bei irgendwelchen Ordnern am Fileserver so eigenartige Dateien liegen?
Sonst läuft gerade dieser Standort pipifein.
Bin nur einen Tag in der Woche an diesem Standort.
Auf den Clients direkt sind keine Daten und auch keine Einstellungen.
Es sind ungefähr 280 User.
Naja, wie soll mir auffallen dass bei irgendwelchen Ordnern am Fileserver so eigenartige Dateien liegen?
Sonst läuft gerade dieser Standort pipifein.
Bin nur einen Tag in der Woche an diesem Standort.
An einen Virus glaub ich eigentlich auch nicht, das hätte sich meiner Meinung auch schon anders geäußert.
Backups von den Clients gibts keins.
Wenn was nicht passt, hau ich mein Image mittels WDS drüber und fertig.
Aber anscheinend liegt ja im Grundimage das Problem.
Das Problem ist ja auch dass die Dateien so extrem selten auftauchen.
Wenn man bedenkt dass sich ungefähr 280 User auf 100 verschiedenen Geräte einloggen.
Sind es ungefähr Pi x Daumen 150 solcher Dateien.
Fraglich ist für mich warum erst ab Dezember.
Das Image hab ich im September aufgespielt.
Bleibt mir aber eh nix anderes über als einen Client zu nehmen und mit einem Testuser herumzuspielen.
Yey...
Backups von den Clients gibts keins.
Wenn was nicht passt, hau ich mein Image mittels WDS drüber und fertig.
Aber anscheinend liegt ja im Grundimage das Problem.
Das Problem ist ja auch dass die Dateien so extrem selten auftauchen.
Wenn man bedenkt dass sich ungefähr 280 User auf 100 verschiedenen Geräte einloggen.
Sind es ungefähr Pi x Daumen 150 solcher Dateien.
Fraglich ist für mich warum erst ab Dezember.
Das Image hab ich im September aufgespielt.
Bleibt mir aber eh nix anderes über als einen Client zu nehmen und mit einem Testuser herumzuspielen.
Yey...
Hallo Freak-On-Silicon,
Falls ja, dann kannst Du die Ordner überwachen und Alarmschlagen lassen, wenn so eine Datei auftaucht.
Zeitnah lässt sich vielleicht eher ermitteln, was die Datei erzeugt hat.
Gruß Frank
Falls ja, dann kannst Du die Ordner überwachen und Alarmschlagen lassen, wenn so eine Datei auftaucht.
Zeitnah lässt sich vielleicht eher ermitteln, was die Datei erzeugt hat.
Gruß Frank
Oh, hab ich überlesen,
Dateien tauchen nur im Root auf.
Interessant ist für mich auch dass eigentlich 90% von 2017 sind.
Danke mal für deine/eure Mühe.
Dateien tauchen nur im Root auf.
Interessant ist für mich auch dass eigentlich 90% von 2017 sind.
Danke mal für deine/eure Mühe.
Hallo Freak-On-Silicon,
Sind oder waren?
Von wann ist denn die Neueste, die Du entdeckt hast?
Ich würde sie mal alle löschen und zuvor eine Tabelle erstellen:
Betroffener Rechner | Dateidatum | Dateibesitzer
Eventuell hilft ja die Statistik richtige Schlüsse zu ziehen.
Ansonsten wäre es natürlich interessant zu wissen auf welchen Rechnern, wann neue Dateien entstehen,
respektive wann neue Dateien auf einem Netzlaufwerk entstehen und von welchem User (Besitzer).
Gruß Frank
Sind oder waren?
Von wann ist denn die Neueste, die Du entdeckt hast?
Ich würde sie mal alle löschen und zuvor eine Tabelle erstellen:
Betroffener Rechner | Dateidatum | Dateibesitzer
Eventuell hilft ja die Statistik richtige Schlüsse zu ziehen.
Ansonsten wäre es natürlich interessant zu wissen auf welchen Rechnern, wann neue Dateien entstehen,
respektive wann neue Dateien auf einem Netzlaufwerk entstehen und von welchem User (Besitzer).
Gruß Frank
1
Sind.
Also, es sind sogar mehr als 95% von 2017.
Die neueste ist vom 20.04. die zweitneueste vom 06.04.
Hab jetzt auch nochmal genauer gesucht.
Sind insgesamt 350 Dateien, also deutlich mehr als ich dachte.
Interessant ist auch dass des öfteren Dateien erstellt wurden, obwohl der User gar nicht angemeldet war.
Das versteh ich mal gar nicht.
Da die Dateien immer weniger wurden, lass ich das ganze mal ruhen.
Anscheinend hat sich das Ganze Problem langsam aber doch von alleine gelöst.
Es wurde aber nichts geändert seit September.
Also, es sind sogar mehr als 95% von 2017.
Die neueste ist vom 20.04. die zweitneueste vom 06.04.
Hab jetzt auch nochmal genauer gesucht.
Sind insgesamt 350 Dateien, also deutlich mehr als ich dachte.
Interessant ist auch dass des öfteren Dateien erstellt wurden, obwohl der User gar nicht angemeldet war.
Das versteh ich mal gar nicht.
Da die Dateien immer weniger wurden, lass ich das ganze mal ruhen.
Anscheinend hat sich das Ganze Problem langsam aber doch von alleine gelöst.
Es wurde aber nichts geändert seit September.
Hallo,
Also alle alt.
Es ist deine Entscheidung was du dort tust. Es kann spätfolgen haben, muss aber nicht. Es kann ein unerwünschtes Prg gewesen sein, muss es aber nicht.
Mach dann noch bitte den grünen Balken dran. Wie kann ich einen Beitrag als gelöst markieren?
Gruß,
Peter
Also alle alt.
Die neueste ist vom 20.04. die zweitneueste vom 06.04.
Von welchem Jahr redest du denn jetzt?Sind insgesamt 350 Dateien, also deutlich mehr als ich dachte.
Und der Besitzer ist immer System?Interessant ist auch dass des öfteren Dateien erstellt wurden, obwohl der User gar nicht angemeldet war.
Es reicht wenn der Rechner an war damit das Systemkonto arbeiten kann.Da die Dateien immer weniger wurden, lass ich das ganze mal ruhen.
Wie mit den Dieselskandal. Einfach aussitzen Es wurde aber nichts geändert seit September.
Noch nicht mal Updates wurden gemacht?Es ist deine Entscheidung was du dort tust. Es kann spätfolgen haben, muss aber nicht. Es kann ein unerwünschtes Prg gewesen sein, muss es aber nicht.
Mach dann noch bitte den grünen Balken dran. Wie kann ich einen Beitrag als gelöst markieren?
Gruß,
Peter
1
Da red ich vom Jahr 2018
Nein, Besitzer ist nur dann System wenn die Datei lokal zB auf C: erstellt wurde.
Wenn die Datei auf einem Netzlaufwerk erstellt wurde, ist der Besitzer ein User.
Nur wie kann eben eine Datei erstellt werden wo der Besitzer ein User ist, der nirgends angemeldet war.
Doch, Windows Updates wurden gemacht, auch Browser-Updates, sonst nix.
Im Juli/August werden alle Clients wieder neu installiert.
Sollte es da wieder kommen muss ich es wirklich herausfinden.
Nein, Besitzer ist nur dann System wenn die Datei lokal zB auf C: erstellt wurde.
Wenn die Datei auf einem Netzlaufwerk erstellt wurde, ist der Besitzer ein User.
Nur wie kann eben eine Datei erstellt werden wo der Besitzer ein User ist, der nirgends angemeldet war.
Doch, Windows Updates wurden gemacht, auch Browser-Updates, sonst nix.
Im Juli/August werden alle Clients wieder neu installiert.
Sollte es da wieder kommen muss ich es wirklich herausfinden.
Hallo,
Alle lokal oder auch im LAN?
Das bei einem Dragster nach jedem Lauf alles zerlegt und wieder zusammengebaut wird ist klar, aber bei einen VW Golf nach jeden Wochenendausflug?
Gruß,
Peter
Alle lokal oder auch im LAN?
Nur wie kann eben eine Datei erstellt werden wo der Besitzer ein User ist, der nirgends angemeldet war.
Runas könnte so etwas und andere wege. Ich muss nicht an einen Rechner angemeldet sein um die Credentials eines (lokalen) Benutzers zu nutzen. Es kommt halt drauf an was wie erreicht werden soll.Im Juli/August werden alle Clients wieder neu installiert.
Warum werden denn alle Clients neu gemacht? Habt ihr dann Betriebsferien oder hast du dann langeweile Das bei einem Dragster nach jedem Lauf alles zerlegt und wieder zusammengebaut wird ist klar, aber bei einen VW Golf nach jeden Wochenendausflug?Gruß,
Peter
1
Sowohl als auch.
Ah ok, an das hab ich eigentlich gar nicht gedacht.
Es handelt sich um eine Schule, und da jedes Jahr immer wieder andere bzw aktualisierte Software drauf muss,
werden alle Clients neuinstalliert. Dank WDS geht das ja schnell.
Ah ok, an das hab ich eigentlich gar nicht gedacht.
Es handelt sich um eine Schule, und da jedes Jahr immer wieder andere bzw aktualisierte Software drauf muss,
werden alle Clients neuinstalliert. Dank WDS geht das ja schnell.
