9
DNS Client Dienst Auslastung auf 100 Prozent, arbeit nicht mehr möglich
Moin,
ich habe aus unerfindlichen Gründen seit ca. einer Woche das Problem, dass der besagte Dienst diverse Pc`s so verlangsamt, dass ein arbeiten fast nicht mehr möglich ist.
Ich kann leider nicht sagen was der Auslöser ist, vermute dass es mit dem letzten Funktionsupdate zusammenhängt, sicher bin ich aber nicht.
Es fing erst auf meinem Laptop an, dass der DNS Client Dienst auf 100% ging, nach dem Neustart konnte ich mich nicht mehr einloggen. Gefolgt von meinem PC, selbes Problem. Nachdem ich einer Freundin einen Laptop bei mir daheim zurecht gemacht habe, Installation über eigenen PXE Server, war bei ihr das gleiche Phänomen zu sehen. Es ließ sich dann aber irgendwann aus dem nichts nichts mehr nachvollziehen und das Problem war weg. Gestern habe ich dann meinen Laptop wieder neuinstalliert, über PXE, und ich hatte sofort das selbe Problem wieder. Erst nach stundenlanger Arbeit konnte ich das Problem beheben indem ich den DNS Server auf meiner Client NIC selbst gesetzt habe. Anfangs konnte ich noch nicht mal McAfee installieren.
Ich habe auf allen Servern und meinem Hyper-V ebenfalls Virenscanner laufen lassen, ich habe das PXE .iso file gescannt weil ich dachte, dass vielleicht dort irgendwas drauf ist aber alles ohne erfolg. Dann habe ich gestern mit meinem neuinstallierten Laptop eine Website aufgerufen wo dann ein PopUp kam ".....Bitte WIndows Support Anrufen...bla bla" also Spam, ich musste den Browser komplett per Taskmanager schliessen, VirenScan gemacht und da kam das:
"VirTool:Win32/DefenderTamperingRestore"
Ich habe danach gegoogelt, auf Raten den Virus mit dem MSERT gelöscht.
Was das eine mit dem anderen zu tun hat kann ich nicht sagen und ob ebenso wenig. Was ich weiss ist, dass dieses Phänomen auf 4 verschiedenen Rechnern aufgekommen ist, welche allesamt in meinem Netzwerk betrieben werden. Ich habe auch schon mit Wireshark versucht herauszufinden ob da irgendwelche Verbindungen seltsam sind aber als "semiprofi" fällt mir nichts auf, bzw sehe ich es nicht.
Bei deaktivieren des Internets fällt die CPU Auslastung des DNS Client DIenstes, logisch ich weiss. Wenn ich den Dienst schliesse übernimmt ein anderen Dienst die CPU Auslastung: "LSASS.exe"
Ich bin für jede Hilfe dankbar,
Goldfuchs
PS: Kann sowas mit einem falsch konfigurierten DNS Server/Heimserver zusammenhängen, quasi ein DNS loop of Death...wenn es sowas gibt.
ich habe aus unerfindlichen Gründen seit ca. einer Woche das Problem, dass der besagte Dienst diverse Pc`s so verlangsamt, dass ein arbeiten fast nicht mehr möglich ist.
Ich kann leider nicht sagen was der Auslöser ist, vermute dass es mit dem letzten Funktionsupdate zusammenhängt, sicher bin ich aber nicht.
Es fing erst auf meinem Laptop an, dass der DNS Client Dienst auf 100% ging, nach dem Neustart konnte ich mich nicht mehr einloggen. Gefolgt von meinem PC, selbes Problem. Nachdem ich einer Freundin einen Laptop bei mir daheim zurecht gemacht habe, Installation über eigenen PXE Server, war bei ihr das gleiche Phänomen zu sehen. Es ließ sich dann aber irgendwann aus dem nichts nichts mehr nachvollziehen und das Problem war weg. Gestern habe ich dann meinen Laptop wieder neuinstalliert, über PXE, und ich hatte sofort das selbe Problem wieder. Erst nach stundenlanger Arbeit konnte ich das Problem beheben indem ich den DNS Server auf meiner Client NIC selbst gesetzt habe. Anfangs konnte ich noch nicht mal McAfee installieren.
Ich habe auf allen Servern und meinem Hyper-V ebenfalls Virenscanner laufen lassen, ich habe das PXE .iso file gescannt weil ich dachte, dass vielleicht dort irgendwas drauf ist aber alles ohne erfolg. Dann habe ich gestern mit meinem neuinstallierten Laptop eine Website aufgerufen wo dann ein PopUp kam ".....Bitte WIndows Support Anrufen...bla bla" also Spam, ich musste den Browser komplett per Taskmanager schliessen, VirenScan gemacht und da kam das:
"VirTool:Win32/DefenderTamperingRestore"
Ich habe danach gegoogelt, auf Raten den Virus mit dem MSERT gelöscht.
Was das eine mit dem anderen zu tun hat kann ich nicht sagen und ob ebenso wenig. Was ich weiss ist, dass dieses Phänomen auf 4 verschiedenen Rechnern aufgekommen ist, welche allesamt in meinem Netzwerk betrieben werden. Ich habe auch schon mit Wireshark versucht herauszufinden ob da irgendwelche Verbindungen seltsam sind aber als "semiprofi" fällt mir nichts auf, bzw sehe ich es nicht.
Bei deaktivieren des Internets fällt die CPU Auslastung des DNS Client DIenstes, logisch ich weiss. Wenn ich den Dienst schliesse übernimmt ein anderen Dienst die CPU Auslastung: "LSASS.exe"
Ich bin für jede Hilfe dankbar,
Goldfuchs
PS: Kann sowas mit einem falsch konfigurierten DNS Server/Heimserver zusammenhängen, quasi ein DNS loop of Death...wenn es sowas gibt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 614755
Url: https://administrator.de/contentid/614755
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
9 Kommentare
Neuester Kommentar
Hi Goldfuchs,
du schreibst sehr viel aber nicht nötige daten.
Was hast du für eine DNS konfig. Welcher DNS Server? Pi-Hole oder sonstiges dazwischen.
Was passiert bei einer Clean install ohne PXE....
Verteilst du DNS mit DHCP? Was passiert wenn du hier die 8.8.8.8 einträgst.
du schreibst sehr viel aber nicht nötige daten.
Was hast du für eine DNS konfig. Welcher DNS Server? Pi-Hole oder sonstiges dazwischen.
Was passiert bei einer Clean install ohne PXE....
Verteilst du DNS mit DHCP? Was passiert wenn du hier die 8.8.8.8 einträgst.
Zitat von @Xerebus:
Hi Goldfuchs,
du schreibst sehr viel aber nicht nötige daten.
Was hast du für eine DNS konfig. Welcher DNS Server? Pi-Hole oder sonstiges dazwischen.
Was passiert bei einer Clean install ohne PXE....
Verteilst du DNS mit DHCP? Was passiert wenn du hier die 8.8.8.8 einträgst.
Hi Goldfuchs,
du schreibst sehr viel aber nicht nötige daten.
Was hast du für eine DNS konfig. Welcher DNS Server? Pi-Hole oder sonstiges dazwischen.
Was passiert bei einer Clean install ohne PXE....
Verteilst du DNS mit DHCP? Was passiert wenn du hier die 8.8.8.8 einträgst.
Interner DNS Server (10.73.55.xx) wird von eigenem DHCP Server (10.73.55.xx) verteilt. Der erste betroffene Rechner ist eine Installation ohne PXE. Ich werde das mit 9.9.9.9 testen und diesen als DNS eintragen, mag einfach den 8er DNS nicht.
Bisher ist die FritzBox mein Router und dahinter steht mein HomeHyper-V Server samt DHCP, DNS, AD, FS + ADCS.
Alle anfragen werden an den internen weitergeleitet und bei unbekannter IP wird an die Fritze weitergeleitet welche den 9er DNS eingetragen hat.
NACHTRAG:
Wenn ich web.de eingebe kommt da bei euch https://web.de oder https://www.web.de? Ich macht seit einer Woche weder Online Banking noch andere dinge aus meinem Heimnetz raus weil ich bedenken habe, dass irgendwas nicht stimmt...
Moin,
ich habe aus unerfindlichen Gründen seit ca. einer Woche das Problem, dass der besagte Dienst diverse Pc`s so verlangsamt, dass ein arbeiten fast nicht mehr möglich ist.
Das ist schlecht.
Ich kann leider nicht sagen was der Auslöser ist, vermute dass es mit dem letzten Funktionsupdate zusammenhängt, sicher bin ich aber nicht.
Das glaube ich eher nicht.
Es fing erst auf meinem Laptop an, dass der DNS Client Dienst auf 100% ging, nach dem Neustart konnte ich mich nicht mehr einloggen. Gefolgt von meinem PC, selbes Problem. Nachdem ich einer Freundin einen Laptop bei mir daheim zurecht gemacht habe, Installation über eigenen PXE Server, war bei ihr das gleiche Phänomen zu sehen. Es ließ sich dann aber irgendwann aus dem nichts nichts mehr nachvollziehen und das Problem war weg. Gestern habe ich dann meinen Laptop wieder neuinstalliert, über PXE, und ich hatte sofort das selbe Problem wieder.
Du hast also drei Rechner, die alle drei in Deinem Netz waren und alle drei hatten unerklärliche Symptome? Hmmmm, sind die noch am Netz? Wenn ja, würde ich die als erstes einmal davon trennen. Sowas darf nicht ans Netz.
BTW: Was für einen Server nutzt Du für das PXE boot and install? Ich will sowas haben.
Erst nach stundenlanger Arbeit konnte ich das Problem beheben indem ich den DNS Server auf meiner Client NIC selbst gesetzt habe. Anfangs konnte ich noch nicht mal McAfee installieren.
Na dann hatte das ja auch sein Gutes. *eg*
Ich habe auf allen Servern und meinem Hyper-V ebenfalls Virenscanner laufen lassen, ich habe das PXE .iso file gescannt weil ich dachte, dass vielleicht dort irgendwas drauf ist aber alles ohne erfolg.
Wie kommst Du darauf, dass das Erfolg haben könnte. Seit in den Neunzigern die Stealth-Viren erfunden wurden, ist das vorbei, dass man auf Systemen, auf denen Schadsoftware läuft, nach der verantwortlichen Software scannen konnte. Heute weiß jedes 14jährige Skript Kid, wie man das macht und wie man Software aus dem Netz nachlädt, hat man den Rechner einmal gekapert.
Dann habe ich gestern mit meinem neuinstallierten Laptop eine Website aufgerufen wo dann ein PopUp kam ".....Bitte WIndows Support Anrufen...bla bla" also Spam, ich musste den Browser komplett per Taskmanager schliessen, VirenScan gemacht und da kam das:
"VirTool:Win32/DefenderTamperingRestore"
"VirTool:Win32/DefenderTamperingRestore"
Und Du fragst Dich ernsthaft immer noch, woran dieses komische Verhalten der Rechner liegen könnte?
Ich habe danach gegoogelt, auf Raten den Virus mit dem MSERT gelöscht.
Falsch. Ein infiziertes System wird nicht "bereinigt". Wenn dieses Virus wirklich aktiv war, was ich eher bezweifle, dann ist das auch nicht weg. Vor allem dann, wenn weil ich das weiß:
VirTool:Win32/DefenderTamperingRestore is a type of malware which is programmed to stop your security software from working correctly
(zweiter Treffer bei Tante Google: https://www.2-spyware.com/remove-virtoolwin32defendertamperingrestore.ht ... )Was das eine mit dem anderen zu tun hat kann ich nicht sagen und ob ebenso wenig.
Das brauchst Du auch nicht. Die einzig richtige Reaktion ist: Alles neu installieren oder dem letzten bekannten funktionierenden Backup wiederherstellen inkl. aller Server und der Images für's PXE install. Nicht darüber nachdenken! Machen!
Was ich weiss ist, dass dieses Phänomen auf 4 verschiedenen Rechnern aufgekommen ist,
Oh, es sind sogar vier.
Bei deaktivieren des Internets fällt die CPU Auslastung des DNS Client DIenstes, logisch ich weiss.
Wieso sollte das logisch sein? Wenn sich so ein Dienst weghängt, weil er in eine Dauerschleife gerät, die nach und nach die CPU auslastet, dann hört das eher nicht auf, wenn man die Netzverbindung kappt. Es ist eher logisch, dass das, was da werkelt, merkt, dass sie gekappt wurde, und deshalb nicht weiterwerkelt.
Wenn ich den Dienst schliesse übernimmt ein anderen Dienst die CPU Auslastung: "LSASS.exe"
Spätestens jetzt: Nicht nachdenken, neu machen.
Ich bin für jede Hilfe dankbar,
Dann hoffe ich mal, dass das hilft, auch wenn es nicht das ist, was Du hören wolltest.
Liebe Grüße
Erik
1Du hast also drei Rechner, die alle drei in Deinem Netz waren und alle drei hatten unerklärliche Symptome? Hmmmm, sind die noch am Netz? Wenn ja, würde ich die als erstes einmal davon trennen. Sowas darf nicht ans Netz.
Sind alle vom Netz
BTW: Was für einen Server nutzt Du für das PXE boot and install? Ich will sowas haben.
Ist Windows Server2019 Essentials mit Windows Deployment Services. Macht richtig spaß und mit einem selbst erstellten .iso und der unatttended Installation muss man nichts mehr machen. Wollte da auch mal ein Tutorial hier schreiben um der Community was zurück zu geben aber das muss nun leider warten...
Wie kommst Du darauf, dass das Erfolg haben könnte. Seit in den Neunzigern die Stealth-Viren erfunden wurden, ist das vorbei, dass man auf Systemen, auf denen Schadsoftware läuft, nach der verantwortlichen Software scannen konnte. Heute weiß jedes 14jährige Skript Kid, wie man das macht und wie man Software aus dem Netz nachlädt, hat man den Rechner einmal gekapert.
Ich hatte seit 15 Jahren keinen Virus mehr von daher weiß ich sowas nicht. Ich habe auch den Laptop meiner bekannten zurück geordert. Auch diesen muss ich neu installieren, denn ich weiß nicht ob er bei ihr auch "noch" drauf ist.
Und Du fragst Dich ernsthaft immer noch, woran dieses komische Verhalten der Rechner liegen könnte?
Ich habe den Virus nur auf einem meiner Systeme gefunden.
Falsch. Ein infiziertes System wird nicht "bereinigt". Wenn dieses Virus wirklich aktiv war, was ich eher bezweifle, dann ist das auch nicht weg. Vor allem dann, wenn weil ich das weiß:
Ich hatte auch gegoggelt und eine ähnliche Seite gefunden.
Das brauchst Du auch nicht. Die einzig richtige Reaktion ist: Alles neu installieren oder dem letzten bekannten funktionierenden Backup wiederherstellen inkl. aller Server und der Images für's PXE install. Nicht darüber nachdenken! Machen!
Ja mache ich, ich habe gestern mein Lenovo Laptop gestartet und schon im UEFI hat er mir gesagt, dass Tamper Detection deaktiviert wurde. In Windows konnte ich dann auch die Tamper Detection Seite nicht mehr öffnen. Begründung: Diese eite ist von Ihrem Administrator deaktivert worden. Unter rsop.msc konnte ich aber keine entsprechende GPO finden die das veranlasst haben könnte.
Wieso sollte das logisch sein? Wenn sich so ein Dienst weghängt, weil er in eine Dauerschleife gerät, die nach und nach die CPU auslastet, dann hört das eher nicht auf, wenn man die Netzverbindung kappt. Es ist eher logisch, dass das, was da werkelt, merkt, dass sie gekappt wurde, und deshalb nicht weiterwerkelt.
Ich habe mittlerweile mehrere bekannte die ähnliche Symptomatik vorweisen und nicht mit meinem System in Berührung kamen.
Spätestens jetzt: Nicht nachdenken, neu machen.
Ist in Bearbeitung, ich hole mir einen USB Stick eines bekannten und setze alles neu auf. Ich muss mir überlegen was ich mit den Servern mache. Zum Glück habe ich ein tägliches Backup erstellt aber die Frage ist jetzt auf welches ich ihn zurückspiele und ob der Virus, wenn er denn auf dem Blech existent ist, dort schon vorhanden ist.
Dann hoffe ich mal, dass das hilft, auch wenn es nicht das ist, was Du hören wolltest.
Genau sowas möchte ich hören, denn deswegen bin ich hier. Aber ich werde mir in Zukunft abgewöhnen hier spezifische Fragen zur Netzwerkstruktur zu stellen denn es ist schon seltsam , dass ich über ein Jahrzehnt Virenfrei war und dann plötzlich mein gesamtes Netzwerk befallen ist.
Liebe Grüße
Grüße zurück
Erik
Goldfuchs
Nachtrag:
Das Beispiel hat mir aber gezeigt, dass eben der Defender NICHT ausreichend Schutz bietet. Ich hoffe mal, dass McAfee ein guter Kauf war.
McAfee stand heute:
Die ### wird immer kurioser:
OOB ist als Administrator angelegt und löschen kann ich nicht, er ist in der Gruppe Admins.
Windows ist am 13.09 installiert und am 18.09 der OOB Benutzer angelegt.
OOB ist als Administrator angelegt und löschen kann ich nicht, er ist in der Gruppe Admins.
Windows ist am 13.09 installiert und am 18.09 der OOB Benutzer angelegt.
So ich kann die Sache nachverfolgen:
Einer meiner Laptops war vom 17.9 eine Woche bei einer Freundin. Am 18.9 ist der User OOB angelegt worden. Sie sagt dass sie nur Mails gecheckt hat.
Einer meiner Laptops war vom 17.9 eine Woche bei einer Freundin. Am 18.9 ist der User OOB angelegt worden. Sie sagt dass sie nur Mails gecheckt hat.
Moin,
Gute Maßnahme.
Ist Windows Server2019 Essentials mit Windows Deployment Services. Macht richtig spaß und mit einem selbst erstellten .iso und der unatttended Installation muss man nichts mehr machen. Wollte da auch mal ein Tutorial hier schreiben um der Community was zurück zu geben aber das muss nun leider warten...
Das wäre ganz großartig. Ich habe gerade sowas mit FAI unter Linux zusammen mit einem Kollegen gebastelt. Ja, Spaß macht das. Aber leider gehen da nur Unixoide und kein Windows. Ich träume von sowas: Rechner beim Kollegen hinstellen, anschließen, hochfahren und sagen: "So, in zwei Stunden können Sie sich anmelden." Und dann beruhigt wegfahren und wichtigeren Dingen nachgehen.
Ich hatte seit 15 Jahren keinen Virus mehr von daher weiß ich sowas nicht. Ich habe auch den Laptop meiner bekannten zurück geordert. Auch diesen muss ich neu installieren, denn ich weiß nicht ob er bei ihr auch "noch" drauf ist.
Hmmmm, was steht da: "Seit in den Neunzigern ..." Lass mich kurz rechnen 2020-15=2005. Das war nach den Neunzigern. Da war das schon lange so. Mein Schlüsselerlebnis war, dass ich bei einem Verdacht des Befalls den Rechner von außen gescannt habe und einen Virus, der sich über mehrere Verzeichnisse verbreitet hatte unter verschiedensten Namen, gefunden habe. Also habe ich den Rechner versucht mit den damals üblichen Mitteln zu desinfizieren. Das Schlangenöl meldete, dass alles ok wäre. Dann habe ich den Rechner wieder von außen gescannt und siehe da: Er fand mehr Dateien, die infiziert waren als vorher. Seitdem wird ein Client neu installiert und beim Server und speziellen Clients das Backup gesucht, das noch clean ist. Ich habe nie wieder versucht, einen Rechner zu desinfizieren.
Das ist wie bei einer Hydra. Einen Kopf schlägt man ab und zwei wachsen nach. Wenn ich es dann noch ganz geschickt mache, dann habe ich mich auf Prozessebene getarnt und beobachte von dort aus den Scanner. Ich sehe voraus, wo er als nächstes scannt und sorge dafür, dass dort nichts zu finden ist, während ich mir es in Bereichen, die gerade nicht gescannt wird, gemütlich mache. Dagegen ist jedes Schlangenöl machtlos. Er wird nie etwas finden. Du musst bei einem vermuteten Befall immer von außen scannen und, wenn da was ist, alles neu machen. Der Patient ist nicht krank. Der Patient ist tot.
Ich habe den Virus nur auf einem meiner Systeme gefunden.
Hast Du denn alle von außen gescannt?
In den Bootmeldungen? Im UEFI-Interface? Oder wie meinst Du das?
Ja, so ist das. Die Schadsoftware ist die neue Administratorin auf Deinem System. Und sie ist die einzige. Und diese Administratorin hört nur noch auf einen, auf den, der sie programmiert hat. Du musst davon ausgehen, dass Du über das System vollkommen die Kontrolle verloren hast.
Du hast vollkomme die Kontrolle verloren, falls da eine Schadsoftware virulent ist. Selbst wenn sie es nötig hätte, sich mittels GPO durchzusetzen, kann sie dann immer noch dafür sorgen, dass Du das nicht siehst. Ich würde das gerne noch weiter illustrieren. Aber dann verstoße ich gegen die Forumsregeln. Die Aussage, dass sie die einzige Administratorin ist auf Deinem System und dass sie mit Dir macht, was sie will, muss reichen. Den Rest phantasiere Dir selbst. Glaube mir: Alles, was Dir an perfiden Ideen einfällte, wurde mit ziemlicher Sicherheit auch schon umgesetzt.
Ich habe mittlerweile mehrere bekannte die ähnliche Symptomatik vorweisen und nicht mit meinem System in Berührung kamen.
Tja, Schadsoftware hat die unangenehme Eigenschaft, sich zu verbreiten.
Und wieso lädst Du Dir das nicht bei Microsoft direkt runter? Oder, wenn es Linux-Systeme sind, aus dem entsprechenden Repos?
Na entweder hast Du gute Backups oder ein Problem.
Na auf das jüngste saubere.
Du meinst jetzt im BIOS/UEFI?
Genau sowas möchte ich hören, denn deswegen bin ich hier.
Das freut mich.
Das verstehe ich nicht wirklich. Die Netzwerkstruktur hat allenfalls was damit zu tun, wie groß der Schaden ist, der angerichtet werden kann. Aus Deiner Beschreibung lese ist, dass das eher ein kleines SOHO-Netz ist. Da muss man nicht unbedingt mit VLANs & Co.-Kanonen auf kleine Spatzen schießen.
Der hat imho die besten Zeiten weit hinter sich. Aber es ist eigentlich egal. Du wirst nie einen 100%igen Schutz erreichen.
Das macht mein Hirn jeden Tag. Der beste Schutz ist immer noch das Hirn zu nutzen und die User in die Lage zu versetzen, das zu tun. Ein kleines Beispiel: Mich rief mal ein User aus der Leitungsebene mit ziemlich vielen Rechten an und sagte, er habe wohl etwas sehr Dummes getan. Die Email habe so echt gewirkt. Er hat darufgeklickt und es ging los. Ich fragte, was er denn gemacht habe. Er antwortete, er habe erst das Netzwerkkabel gezogen und das WLAN ausgeschaltet und dann den Rechner kalt heruntergefahren. Ich war sehr stolz auf unsere Abteilung und unseren Datenschützer. Wir haben es offenbar geschafft, dass die User richtig reagieren. Sein Rechner war tot. Im Netz war Emotet noch nicht angekommen.
Und ganz ehrlich. Als Emotet umging, hatte ich gerade in meiner jetzigen Firma angefangen. Da kam eine Email im Namen meines neuen Teamleiters:
Hallo,
kannst Du das mal bitte prüfen.
Grüße
Dein neuer Teamleiter
Im Anhang war eine *.doc. Da fuhr dann die Maus unwillkürlich auf den Anhang. Glücklicherweise setzte der Verstand rechtzeitig ein und unterband das unsinnige Handeln des Imperativs "Du darfst Dich nicht vor Deinem neuen Teamleiter blamieren!" Aber selbst das wäre keine Katastrophe gewesen (wenn auch kein guter Einstand ). Der User, mit dem ich Mails lese, hat recht wenig Rechte. Und das ist manchmal lästig aber ansonsten gut so.
Liebe Grüße
Erik
Zitat von @Goldfuchs:
Sind alle vom Netz
Du hast also drei Rechner, die alle drei in Deinem Netz waren und alle drei hatten unerklärliche Symptome? Hmmmm, sind die noch am Netz? Wenn ja, würde ich die als erstes einmal davon trennen. Sowas darf nicht ans Netz.
Sind alle vom Netz
Gute Maßnahme.
BTW: Was für einen Server nutzt Du für das PXE boot and install? Ich will sowas haben.
Ist Windows Server2019 Essentials mit Windows Deployment Services. Macht richtig spaß und mit einem selbst erstellten .iso und der unatttended Installation muss man nichts mehr machen. Wollte da auch mal ein Tutorial hier schreiben um der Community was zurück zu geben aber das muss nun leider warten...
Das wäre ganz großartig. Ich habe gerade sowas mit FAI unter Linux zusammen mit einem Kollegen gebastelt. Ja, Spaß macht das. Aber leider gehen da nur Unixoide und kein Windows. Ich träume von sowas: Rechner beim Kollegen hinstellen, anschließen, hochfahren und sagen: "So, in zwei Stunden können Sie sich anmelden." Und dann beruhigt wegfahren und wichtigeren Dingen nachgehen.
Wie kommst Du darauf, dass das Erfolg haben könnte. Seit in den Neunzigern die Stealth-Viren erfunden wurden, ist das vorbei, dass man auf Systemen, auf denen Schadsoftware läuft, nach der verantwortlichen Software scannen konnte. Heute weiß jedes 14jährige Skript Kid, wie man das macht und wie man Software aus dem Netz nachlädt, hat man den Rechner einmal gekapert.
Ich hatte seit 15 Jahren keinen Virus mehr von daher weiß ich sowas nicht. Ich habe auch den Laptop meiner bekannten zurück geordert. Auch diesen muss ich neu installieren, denn ich weiß nicht ob er bei ihr auch "noch" drauf ist.
Hmmmm, was steht da: "Seit in den Neunzigern ..." Lass mich kurz rechnen 2020-15=2005. Das war nach den Neunzigern.
Da war das schon lange so. Mein Schlüsselerlebnis war, dass ich bei einem Verdacht des Befalls den Rechner von außen gescannt habe und einen Virus, der sich über mehrere Verzeichnisse verbreitet hatte unter verschiedensten Namen, gefunden habe. Also habe ich den Rechner versucht mit den damals üblichen Mitteln zu desinfizieren. Das Schlangenöl meldete, dass alles ok wäre. Dann habe ich den Rechner wieder von außen gescannt und siehe da: Er fand mehr Dateien, die infiziert waren als vorher. Seitdem wird ein Client neu installiert und beim Server und speziellen Clients das Backup gesucht, das noch clean ist. Ich habe nie wieder versucht, einen Rechner zu desinfizieren.Das ist wie bei einer Hydra. Einen Kopf schlägt man ab und zwei wachsen nach. Wenn ich es dann noch ganz geschickt mache, dann habe ich mich auf Prozessebene getarnt und beobachte von dort aus den Scanner. Ich sehe voraus, wo er als nächstes scannt und sorge dafür, dass dort nichts zu finden ist, während ich mir es in Bereichen, die gerade nicht gescannt wird, gemütlich mache. Dagegen ist jedes Schlangenöl machtlos. Er wird nie etwas finden. Du musst bei einem vermuteten Befall immer von außen scannen und, wenn da was ist, alles neu machen. Der Patient ist nicht krank. Der Patient ist tot.
Und Du fragst Dich ernsthaft immer noch, woran dieses komische Verhalten der Rechner liegen könnte?
Ich habe den Virus nur auf einem meiner Systeme gefunden.
Hast Du denn alle von außen gescannt?
Ja mache ich, ich habe gestern mein Lenovo Laptop gestartet und schon im UEFI hat er mir gesagt, dass Tamper Detection deaktiviert wurde.
In den Bootmeldungen? Im UEFI-Interface? Oder wie meinst Du das?
In Windows konnte ich dann auch die Tamper Detection Seite nicht mehr öffnen. Begründung: Diese eite ist von Ihrem Administrator deaktivert worden.
Ja, so ist das. Die Schadsoftware ist die neue Administratorin auf Deinem System. Und sie ist die einzige. Und diese Administratorin hört nur noch auf einen, auf den, der sie programmiert hat. Du musst davon ausgehen, dass Du über das System vollkommen die Kontrolle verloren hast.
Unter rsop.msc konnte ich aber keine entsprechende GPO finden die das veranlasst haben könnte.
Du hast vollkomme die Kontrolle verloren, falls da eine Schadsoftware virulent ist. Selbst wenn sie es nötig hätte, sich mittels GPO durchzusetzen, kann sie dann immer noch dafür sorgen, dass Du das nicht siehst. Ich würde das gerne noch weiter illustrieren. Aber dann verstoße ich gegen die Forumsregeln.
Die Aussage, dass sie die einzige Administratorin ist auf Deinem System und dass sie mit Dir macht, was sie will, muss reichen. Den Rest phantasiere Dir selbst. Glaube mir: Alles, was Dir an perfiden Ideen einfällte, wurde mit ziemlicher Sicherheit auch schon umgesetzt. Wieso sollte das logisch sein? Wenn sich so ein Dienst weghängt, weil er in eine Dauerschleife gerät, die nach und nach die CPU auslastet, dann hört das eher nicht auf, wenn man die Netzverbindung kappt. Es ist eher logisch, dass das, was da werkelt, merkt, dass sie gekappt wurde, und deshalb nicht weiterwerkelt.
Ich habe mittlerweile mehrere bekannte die ähnliche Symptomatik vorweisen und nicht mit meinem System in Berührung kamen.
Tja, Schadsoftware hat die unangenehme Eigenschaft, sich zu verbreiten.
Ist in Bearbeitung, ich hole mir einen USB Stick eines bekannten und setze alles neu auf.
Und wieso lädst Du Dir das nicht bei Microsoft direkt runter? Oder, wenn es Linux-Systeme sind, aus dem entsprechenden Repos?
Ich muss mir überlegen was ich mit den Servern mache.
Na entweder hast Du gute Backups oder ein Problem.
Zum Glück habe ich ein tägliches Backup erstellt aber die Frage ist jetzt auf welches ich ihn zurückspiele
Na auf das jüngste saubere.
und ob der Virus, wenn er denn auf dem Blech existent ist, dort schon vorhanden ist.
Du meinst jetzt im BIOS/UEFI?
Dann hoffe ich mal, dass das hilft, auch wenn es nicht das ist, was Du hören wolltest.
Genau sowas möchte ich hören, denn deswegen bin ich hier.
Das freut mich.
Aber ich werde mir in Zukunft abgewöhnen hier spezifische Fragen zur Netzwerkstruktur zu stellen denn es ist schon seltsam , dass ich über ein Jahrzehnt Virenfrei war und dann plötzlich mein gesamtes Netzwerk befallen ist.
Das verstehe ich nicht wirklich. Die Netzwerkstruktur hat allenfalls was damit zu tun, wie groß der Schaden ist, der angerichtet werden kann. Aus Deiner Beschreibung lese ist, dass das eher ein kleines SOHO-Netz ist. Da muss man nicht unbedingt mit VLANs & Co.-Kanonen auf kleine Spatzen schießen.
Das Beispiel hat mir aber gezeigt, dass eben der Defender NICHT ausreichend Schutz bietet. Ich hoffe mal, dass McAfee ein guter Kauf war.
Der hat imho die besten Zeiten weit hinter sich. Aber es ist eigentlich egal. Du wirst nie einen 100%igen Schutz erreichen.
McAfee stand heute: [...]
Das macht mein Hirn jeden Tag.
Der beste Schutz ist immer noch das Hirn zu nutzen und die User in die Lage zu versetzen, das zu tun. Ein kleines Beispiel: Mich rief mal ein User aus der Leitungsebene mit ziemlich vielen Rechten an und sagte, er habe wohl etwas sehr Dummes getan. Die Email habe so echt gewirkt. Er hat darufgeklickt und es ging los. Ich fragte, was er denn gemacht habe. Er antwortete, er habe erst das Netzwerkkabel gezogen und das WLAN ausgeschaltet und dann den Rechner kalt heruntergefahren. Ich war sehr stolz auf unsere Abteilung und unseren Datenschützer. Wir haben es offenbar geschafft, dass die User richtig reagieren. Sein Rechner war tot. Im Netz war Emotet noch nicht angekommen.Und ganz ehrlich. Als Emotet umging, hatte ich gerade in meiner jetzigen Firma angefangen. Da kam eine Email im Namen meines neuen Teamleiters:
Hallo,
kannst Du das mal bitte prüfen.
Grüße
Dein neuer Teamleiter
Im Anhang war eine *.doc. Da fuhr dann die Maus unwillkürlich auf den Anhang.
Glücklicherweise setzte der Verstand rechtzeitig ein und unterband das unsinnige Handeln des Imperativs "Du darfst Dich nicht vor Deinem neuen Teamleiter blamieren!" Aber selbst das wäre keine Katastrophe gewesen (wenn auch kein guter Einstand ). Der User, mit dem ich Mails lese, hat recht wenig Rechte. Und das ist manchmal lästig aber ansonsten gut so.Liebe Grüße
Erik
1Das wäre ganz großartig. Ich habe gerade sowas mit FAI unter Linux zusammen mit einem Kollegen gebastelt. Ja, Spaß macht das. Aber leider gehen da nur Unixoide und kein Windows. Ich träume von sowas: Rechner beim Kollegen hinstellen, anschließen, hochfahren und sagen: "So, in zwei Stunden können Sie sich anmelden." Und dann beruhigt wegfahren und wichtigeren Dingen nachgehen.
Ist ganz easy:- Einfach die Rolle WDS oder WBD (en oder de) installieren
- vorher legst du dir auf einer Festplatte einen Ordner an (pxe, RemoteInstall what ever)
- dann öffnest du WDS, konfigurierst den Server schnell. Wichtig ist, dass wenn der Server gleichzeitig DHCP ist, dass du unter DHCP die beiden Haken reinnimmst ansonsten lädt der Client das iso nicht.
- unter den Punkten Installationsmedium /Bootmedium musst du aus einer .iso File die boot.wim /install.wim laden. WIchtig ist dabei zu wissen, dass das Mediacreation Tool keine boot.wim anlegt, bedeutet du musst dir eine .iso selber erstellen oder runterladen (MS-Seite)
- wenn du das gemacht hast, kannst du quasi schon einen Client an das RJ45 anschliessen und loslegen.
- wenn du unattended möchtest wirds komplizierter und würde den Post hier sprengen aber dazu gibts von MS ein Tool mit welchem du die Installation ziemlich punktuell anpassen kannst.
- die .iso selber kannst du mit wimwitch anpassen (Welche Tools sind installiert, welches Update 1909, 2004 usw, cortana drauf oder nicht...and so on)
i love itHast Du denn alle von außen gescannt?
Nein habe ich nicht. Werde aber einfach nochmal alles platt machen und dann bin ich safe In den Bootmeldungen? Im UEFI-Interface? Oder wie meinst Du das?
DIe Lenovo Business Reihe hat diverse FUnktionen in Bios: TPM Chip, Tamper protection usw. Wenn eines dieser Funktionen gekapert wird bekomme ich schon während des Starts eine Warnmeldung, also bevor das WIndows Logo kommt. Und das war da der Fall 
Du hast vollkomme die Kontrolle verloren, falls da eine Schadsoftware virulent ist. Selbst wenn sie es nötig hätte, sich mittels GPO durchzusetzen, kann sie dann immer noch dafür sorgen, dass Du das nicht siehst. Ich würde das gerne noch weiter illustrieren. Aber dann verstoße ich gegen die Forumsregeln. Die Aussage, dass sie die einzige Administratorin ist auf Deinem System und dass sie mit Dir macht, was sie will, muss reichen. Den Rest phantasiere Dir selbst. Glaube mir: Alles, was Dir an perfiden Ideen einfällte, wurde mit ziemlicher Sicherheit auch schon umgesetzt.
Ja ich will das glaube garnicht wissen was man alles machen kann. Die Aussage, dass sie die einzige Administratorin ist auf Deinem System und dass sie mit Dir macht, was sie will, muss reichen. Den Rest phantasiere Dir selbst. Glaube mir: Alles, was Dir an perfiden Ideen einfällte, wurde mit ziemlicher Sicherheit auch schon umgesetzt. Ich muss mir überlegen was ich mit den Servern mache.
Na entweder hast Du gute Backups oder ein Problem.
und ob der Virus, wenn er denn auf dem Blech existent ist, dort schon vorhanden ist.
Du meinst jetzt im BIOS/UEFI?
Das verstehe ich nicht wirklich. Die Netzwerkstruktur hat allenfalls was damit zu tun, wie groß der Schaden ist, der angerichtet werden kann. Aus Deiner Beschreibung lese ist, dass das eher ein kleines SOHO-Netz ist. Da muss man nicht unbedingt mit VLANs & Co.-Kanonen auf kleine Spatzen schießen.
Naja wenn man in einem öffentlichen Forum sein Netzwerk preis gibt ist das sicherlich nicht so helleLiebe Grüße
Grüße zurück und vielen dank für deine Zeit!Erik
Goldfuchs
