Clients - temporärer WAN (Internet) Zugang aus dem LAN - Hinweis auf etwaige Schadsoftware?
Hallo,
Im LAN befinden sich zwei Clients die seit ca. 14 Tagen tagsüber keinen Zugang zum WAN (Internet) haben.
Client16 und Client17 sollten wie die anderen Clients standardmäßig über den Router (zur Zeit FritzBox) ins Internet kommen.
Liege ich mit der Vermutung richtig, dass die Clients mit Schadsoftware infiziert wurden?
Denn bis ca. 11:00Uhr soll die Internetzugang funktionieren. Die betroffenen Clients habe ich - auch ein Systemhaus - die Netzwerkeinstellungen hin geprüft.
Treiber sind aktualiersiert.
Die Switch ist zwar 10 Jahre alt. Wurde jedoch von mir nicht 'angefasst'.
Weiterhin hatte ich unter W2008R2 keine entsprechende Einstellungen im User/Client Account durchgeführt.
Im Moment weis ich nicht, wo ich suchen soll.
Meine Fragen:
Könnte der User mit Adminrechten (nötig laut Datev-Betreuer für Updates usw.) 'irgendwo' entsprechende Einstellungen vorgenommen haben?
Sophos-Lösung wird morgen installiert.
Bei der bisherige Antivieren-Lösung hatte ich diese Funktion nicht aktiviert.
Bleibt eigentlich nur Schadsoftware, oder?
Vielen Dank im Voraus.
Im LAN befinden sich zwei Clients die seit ca. 14 Tagen tagsüber keinen Zugang zum WAN (Internet) haben.
Client16 und Client17 sollten wie die anderen Clients standardmäßig über den Router (zur Zeit FritzBox) ins Internet kommen.
Liege ich mit der Vermutung richtig, dass die Clients mit Schadsoftware infiziert wurden?
Denn bis ca. 11:00Uhr soll die Internetzugang funktionieren. Die betroffenen Clients habe ich - auch ein Systemhaus - die Netzwerkeinstellungen hin geprüft.
Treiber sind aktualiersiert.
Die Switch ist zwar 10 Jahre alt. Wurde jedoch von mir nicht 'angefasst'.
Weiterhin hatte ich unter W2008R2 keine entsprechende Einstellungen im User/Client Account durchgeführt.
Im Moment weis ich nicht, wo ich suchen soll.
Meine Fragen:
Könnte der User mit Adminrechten (nötig laut Datev-Betreuer für Updates usw.) 'irgendwo' entsprechende Einstellungen vorgenommen haben?
Sophos-Lösung wird morgen installiert.
Bei der bisherige Antivieren-Lösung hatte ich diese Funktion nicht aktiviert.
Bleibt eigentlich nur Schadsoftware, oder?
Vielen Dank im Voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 281066
Url: https://administrator.de/forum/clients-temporaerer-wan-internet-zugang-aus-dem-lan-hinweis-auf-etwaige-schadsoftware-281066.html
Ausgedruckt am: 05.04.2025 um 21:04 Uhr
23 Kommentare
Neuester Kommentar
Guten Morgen 
Im LAN befinden sich zwei Clients die seit ca. 14 Tagen tagsüber keinen Zugang zum WAN (Internet) haben.
so so..
Liege ich mit der Vermutung richtig, dass die Clients mit Schadsoftware infiziert wurden?
kann sein... kann aber auch nicht sein...
Denn bis ca. 11:00Uhr soll die Internetzugang funktionieren. Die betroffenen Clients habe ich - auch ein Systemhaus - die
Netzwerkeinstellungen hin geprüft.
Treiber sind aktualiersiert.
aha 14 tage geht nix... dann nur noch 5 stunden... *'Kopfschüttel**
na ja, was hat das Systemhaus und du genau geprüft ?
geht ein Ping auf den nachbar PC, Server etc... ?
habt ihr schon ein Ping auf das GW ( also die FritzBox ) gemacht ?
ein Ping auf 194.25.2.129 gemacht ... oder eine andere öffentliche IP ?
hast du mal einen anderen DNS am Client eingetragen, 194.25.2.129... oder 8.8.8.8 zum Test ?
schon ein ipconfig /flushdns gemacht ?
Tracert ? wie weit ... also bis wo hin geht der ?
hast du dir mal die host datei angesehen ?
Netzwerk Kabel getauscht ? stecker rein und raus... auf beiden seiten etc... ?
hach was könnte ich noch alles schreiben...
Die Switch ist zwar 10 Jahre alt. Wurde jedoch von mir nicht 'angefasst'.
trau dich.. einmal an und abschalten schadet nix....
Weiterhin hatte ich unter W2008R2 keine entsprechende Einstellungen im User/Client Account durchgeführt.
aha....
Im Moment weis ich nicht, wo ich suchen soll.
Meine Fragen:
Könnte der User mit Adminrechten (nötig laut Datev-Betreuer für Updates usw.) 'irgendwo' entsprechende
Einstellungen vorgenommen haben?
aha, ein Datev PC.... der Datev User braucht nicht zwingend admin rechte... dein Datev-Betreuer hat nur keine lust einzurichten!
Sophos-Lösung wird morgen installiert.
uhhhh...
Vielen Dank im Voraus.
gern... 
LG
Frank
Im LAN befinden sich zwei Clients die seit ca. 14 Tagen tagsüber keinen Zugang zum WAN (Internet) haben.
Client16 und Client17 sollten wie die anderen Clients standardmäßig über den Router (zur Zeit FritzBox) ins
Internet kommen.
aha..Internet kommen.
Liege ich mit der Vermutung richtig, dass die Clients mit Schadsoftware infiziert wurden?
Denn bis ca. 11:00Uhr soll die Internetzugang funktionieren. Die betroffenen Clients habe ich - auch ein Systemhaus - die
Netzwerkeinstellungen hin geprüft.
Treiber sind aktualiersiert.
na ja, was hat das Systemhaus und du genau geprüft ?
geht ein Ping auf den nachbar PC, Server etc... ?
habt ihr schon ein Ping auf das GW ( also die FritzBox ) gemacht ?
ein Ping auf 194.25.2.129 gemacht ... oder eine andere öffentliche IP ?
hast du mal einen anderen DNS am Client eingetragen, 194.25.2.129... oder 8.8.8.8 zum Test ?
schon ein ipconfig /flushdns gemacht ?
Tracert ? wie weit ... also bis wo hin geht der ?
hast du dir mal die host datei angesehen ?
Netzwerk Kabel getauscht ? stecker rein und raus... auf beiden seiten etc... ?
hach was könnte ich noch alles schreiben...
Die Switch ist zwar 10 Jahre alt. Wurde jedoch von mir nicht 'angefasst'.
Weiterhin hatte ich unter W2008R2 keine entsprechende Einstellungen im User/Client Account durchgeführt.
Im Moment weis ich nicht, wo ich suchen soll.
Meine Fragen:
Könnte der User mit Adminrechten (nötig laut Datev-Betreuer für Updates usw.) 'irgendwo' entsprechende
Einstellungen vorgenommen haben?
Sophos-Lösung wird morgen installiert.
Bei der bisherige Antivieren-Lösung hatte ich diese Funktion nicht aktiviert.
die wäre welche ?Bleibt eigentlich nur Schadsoftware, oder?
nicht nurVielen Dank im Voraus.
LG
Frank
Hi,
sorry, habe eben Quark geschrieben, ich habe verstanden das alle nicht mehr ins Internet kommen ...
Alles weg, und noch mal von vorne:
1) Scan die PCs mal offline, das bring mehr als eine Sophos-Losung die ein evtl. vorhandener Trojaner eh erstmal deaktiviert.
Und ping dann mal von dem Linux aus raus.
Antiviren Rescue CDs
Dann sehen wir weiter.
Ansonsten was der Kollege eben sagte, was sagen die pings, bis wo gehen die?
sorry, habe eben Quark geschrieben, ich habe verstanden das alle nicht mehr ins Internet kommen ...
Alles weg, und noch mal von vorne:
1) Scan die PCs mal offline, das bring mehr als eine Sophos-Losung die ein evtl. vorhandener Trojaner eh erstmal deaktiviert.
Und ping dann mal von dem Linux aus raus.
Antiviren Rescue CDs
Dann sehen wir weiter.
Ansonsten was der Kollege eben sagte, was sagen die pings, bis wo gehen die?
Hallo,
@Vision2015
ächz... das kann gewaltig schief gehen... das wäre nicht der erste Switche der bei der ersten Abschaltung in den Tod gebootet wird...
Empfehlung: wenn du den Switch bootest, lege einen Reserve Switch daneben... oder Tausch den Gleich aus...
@wkaspar
Wie sieht den die Netzwerkkonfiguration der betroffenen CLients wirklich aus? was das Systemhaus hier sagt interessiert erstmal nicht... was ist effektiv auf den Maschinen konfiguriert....
Was sagt die Fritte zu dem Zeitpunkt an dem die Clients aussteigen?
btw, selbst wenn Updates nur im Admin Kontext installiert werden können, ein reguläres arbeiten mit Admin Rechten ist bei keinem Betriebssystem der richtige Weg!
brammer
@Vision2015
Die Switch ist zwar 10 Jahre alt. Wurde jedoch von mir nicht 'angefasst'.
trau dich.. einmal an und abschalten schadet nix..ächz... das kann gewaltig schief gehen... das wäre nicht der erste Switche der bei der ersten Abschaltung in den Tod gebootet wird...
Empfehlung: wenn du den Switch bootest, lege einen Reserve Switch daneben... oder Tausch den Gleich aus...
@wkaspar
Wie sieht den die Netzwerkkonfiguration der betroffenen CLients wirklich aus? was das Systemhaus hier sagt interessiert erstmal nicht... was ist effektiv auf den Maschinen konfiguriert....
Was sagt die Fritte zu dem Zeitpunkt an dem die Clients aussteigen?
btw, selbst wenn Updates nur im Admin Kontext installiert werden können, ein reguläres arbeiten mit Admin Rechten ist bei keinem Betriebssystem der richtige Weg!
brammer
Zitat von @brammer:
Hallo,
@Vision2015
>> Die Switch ist zwar 10 Jahre alt. Wurde jedoch von mir nicht 'angefasst'.
> trau dich.. einmal an und abschalten schadet nix..
ächz... das kann gewaltig schief gehen... das wäre nicht der erste Switche der bei der ersten Abschaltung in den Tod
gebootet wird...
Empfehlung: wenn du den Switch bootest, lege einen Reserve Switch daneben... oder Tausch den Gleich aus...
da hast du recht... aber wenn das teil keinen neustart kann.... ist es eh doof- türlich kann er sich einen neuen auf reserve besorgen...Hallo,
@Vision2015
>> Die Switch ist zwar 10 Jahre alt. Wurde jedoch von mir nicht 'angefasst'.
> trau dich.. einmal an und abschalten schadet nix..
ächz... das kann gewaltig schief gehen... das wäre nicht der erste Switche der bei der ersten Abschaltung in den Tod
gebootet wird...
Empfehlung: wenn du den Switch bootest, lege einen Reserve Switch daneben... oder Tausch den Gleich aus...
ich würde es einfach tun....
@wkaspar
Wie sieht den die Netzwerkkonfiguration der betroffenen CLients wirklich aus? was das Systemhaus hier sagt interessiert erstmal
nicht... was ist effektiv auf den Maschinen konfiguriert....
Was sagt die Fritte zu dem Zeitpunkt an dem die Clients aussteigen?
btw, selbst wenn Updates nur im Admin Kontext installiert werden können, ein reguläres arbeiten mit Admin Rechten ist
bei keinem Betriebssystem der richtige Weg!
brammer
Zitat von @LinuxTuxFan:
Da es sich um eine LWL-Switch handelt (Baujahr2002/2003) könnte ich da eine Fehlerursache vermuten.
Dann stöpsel doch einfach mal um, mal sehen wie es dann aussieht.Da es sich um eine LWL-Switch handelt (Baujahr2002/2003) könnte ich da eine Fehlerursache vermuten.
Zitat von @Deepsys:
Moment mal, hatten wir doch schon mal ... Setze mal mittels netsh die Einstellungen zurück:
netsh int ip reset ipreset.txt
netsh winsock reset
Ich meine das könnte reichen ...
Moment mal, hatten wir doch schon mal ... Setze mal mittels netsh die Einstellungen zurück:
netsh int ip reset ipreset.txt
netsh winsock reset
Ich meine das könnte reichen ...
PS: Sag denn die Ereignisanzeige nichts?
Meine 5ct:
- Schmeiß mal den TeamViewer da runter, so das der Tunnel weg ist.
- 4 DNS-Server? Würde ich mal nur auf den lokalen beschränken.
- Kein DNS-Suffix?
- Doch die Fritzbox kann eine Fehlerquelle sein, dort kann man den Zugang für bestimmte IPs zeitgebunden unterbinden!
Tausch doch einfach mal die IP.
- Schmeiß mal den TeamViewer da runter, so das der Tunnel weg ist.
- 4 DNS-Server? Würde ich mal nur auf den lokalen beschränken.
- Kein DNS-Suffix?
- Doch die Fritzbox kann eine Fehlerquelle sein, dort kann man den Zugang für bestimmte IPs zeitgebunden unterbinden!
Tausch doch einfach mal die IP.
moin,
habt ihr keinen datev sql server ? oder läuft datev local auf dem pc ?
wenn datev server - brauchst nix machen- einfach neu installieren und gut ist- kannst ja mal nen image oder die hdd auf seite legen- falls da noch daten gebraucht werden!
wenn datev local, hast du die möglichkeit mit dem umzugs assi- oder mit sql manager eine datensicherung zu machen!
im bestands manger geht das auch, allerdings- wenn du von datev keine ahnung hast, lass es lieber!
ist nur ein gutgemeinter rat
frank
habt ihr keinen datev sql server ? oder läuft datev local auf dem pc ?
wenn datev server - brauchst nix machen- einfach neu installieren und gut ist- kannst ja mal nen image oder die hdd auf seite legen- falls da noch daten gebraucht werden!
wenn datev local, hast du die möglichkeit mit dem umzugs assi- oder mit sql manager eine datensicherung zu machen!
im bestands manger geht das auch, allerdings- wenn du von datev keine ahnung hast, lass es lieber!
ist nur ein gutgemeinter rat
frank
Ich glaube dir bleibt nichts mehr anders übrig, als die Clients neu zu installieren ...
Oder mal die Fragen zu beantworten ... und die DNS Einstellungen zu ändern
Oder sich mal an dem PC zu setzen und mal vorher nachher Einstellungen checken.
Oder mal auf die Fritzbox gucken (siehe oben) ...
Sophos hat ja nun auch nicht viel gebracht bei euch im muehlenhof
Oder mal die Fragen zu beantworten ... und die DNS Einstellungen zu ändern
Oder sich mal an dem PC zu setzen und mal vorher nachher Einstellungen checken.
Oder mal auf die Fritzbox gucken (siehe oben) ...
Sophos hat ja nun auch nicht viel gebracht bei euch im muehlenhof