weeng99
Goto Top

über 1000 geöffnete Dateien in den Freigaben eines Benutzers

Hallo Leute,

bin neu hier und wende mich mit einem Problem an euch.
Google hat mich nicht weitergebracht, ich weiß auch nicht recht wie ich das Problem suchen soll...

Folgende Situation:
Ein Kunde hat das Problem, dass pro User plötzlich irre viele Dateien geöffnet scheinen (Computerkonfiguration, Freigegebene Ordner, Sitzungen);
Der ein oder andere User schafft es dabei in der Ansicht auf weit über 1000 Dateien, obwohl auf seinem Rechner grad mal ne Excel Tabelle offen ist und ein Browser;

Mein erster Gedanke war, ob in den Excel Dateien Verschachtelungen drinne sind, was aber nicht der Fall ist.
Also Virenscan gemacht...
Keine Viren gefunden, außer einigen Cookies und PUP´s (Scan mit Hitman Pro und ADWCleaner, sowie leeren der Browser Caches...)
Kunde nutzt die aktuelle TrendMicro Edition.

Witzigerweise verschwinden schlagartig alle geöffneten Dateien, wenn ich den Virenscan anschmeiße, nachdem der aber fertig ist fängt es wieder an, dass die Zahl der geöffneten Dateien steigt.

Kunde nutzt einen ESXi mit Server 2012 R2 Maschinen.
Er hält die Maschinen recht aktuell, weil die vor ca 2 Jahren einen Verschlüsselungstrojaner hatten und nun verständlicherweise sehr sensibel sind.

Habt ihr Ideen, wo ich noch suchen kann oder wie man das Problem lösen kann?

Ich habe mal bei anderen Kunden geschaut, die z.T. auch viele Dateien offen haben, aber längst nicht in dem Ausmaß.

Schon mal besten Dank für eure Antworten

Content-ID: 368671

Url: https://administrator.de/forum/ueber-1000-geoeffnete-dateien-in-den-freigaben-eines-benutzers-368671.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

MOS6581
MOS6581 20.03.2018 um 12:23:48 Uhr
Goto Top
Moin,

vielleicht mal mit dem ProcMon gucken, welcher Prozess da die ganzen Dateien öffnet.

lG MOS
aqui
aqui 20.03.2018 um 12:36:36 Uhr
Goto Top
Witzigerweise verschwinden schlagartig alle geöffneten Dateien, wenn ich den Virenscan anschmeiße
Ein Schelm wer Böses dabei denkt....
anteNope
anteNope 20.03.2018 um 12:58:18 Uhr
Goto Top
Zitat von @aqui:

Witzigerweise verschwinden schlagartig alle geöffneten Dateien, wenn ich den Virenscan anschmeiße
Ein Schelm wer Böses dabei denkt....

Der Virenscanner scannt die Netzlaufwerke, wurde wohl vergessen zu unterbinden. Sobald du den Scan anwirfst, wird der Hintergrundscan von Laufwerken gestoppt. Hurr Durr ;)
weeng99
weeng99 20.03.2018 um 14:06:49 Uhr
Goto Top
Besten Dank für den Hinweis @anteNope.
Der Virenscanner scannt lediglich den lokalen Rechner, KEINE Netzlaufwerke;
Habe ich in meinem Anfangspost leider nicht erwähnt.

... Hurr Durr...? Bezieht sich das auf mich?
anteNope
anteNope 20.03.2018 um 14:11:23 Uhr
Goto Top
Nein, das Hurr Durr bezieht sich auf die Machenschaften der Virenscanner. Die fummeln immer da wo die nicht sollen. SSL-Verbindungen, Netzlaufwerke ...
nEmEsIs
nEmEsIs 20.03.2018 aktualisiert um 22:22:47 Uhr
Goto Top
Hi

Erläutere vll mal ob wirklich alle User an die 1000 Dateien offen haben.
Gibt es auch welche wo es passt ?

Weiter zur Softwarekonfiguration der Clients
Sind alle Clients gleich bzw ähnlich installiert ?
Ist da was installiert was indexiert ???
Z.B. Für schnelle Suche ???

Wie hast du ausgeschlossen das der Trend Micro keine Netzlaufwerke scannt ?
Mal den Virenschutz komplett deinstalliert und dann schauen.

Sind Ordnerumleitungen konfiguriert im Profilmanagment und diese liegen auch auf dem Server ?
Weil hier werden alle Daten offen gehalten welche der Anwender in den Ordnerumleitungen hat.

Wie wurde damals der verschlüsselungstrojaner bereinigt ?
Können dies Reste sein die nur nicht mehr verschlüsseln da command & Control Server nicht mehr erreichbar sind ?
Z.B auch durch Einführung eines Proxy

Mit freundlichen Grüßen
Nemesis
anteNope
Lösung anteNope 21.03.2018 um 12:33:54 Uhr
Goto Top
Oh da fällt mir gerade noch etwas ein. Hast du bei der Freigabe die Offline-Dateispeicherung deaktiviert? Sonst versuchen Windows 10 Clients diese automatisch offline verfügbar zu machen. Der Sync öffnet dann natürlich einen Haufen Dateien ;)
clipboard01
weeng99
weeng99 21.03.2018 um 22:37:27 Uhr
Goto Top
@nEmEsIs

Danke für deine Hinweise.

Von angemeldeten 12 Mitarbeitern haben 3-4 so viele offene (scheinbar) Dateien.
Alle Clients sind vor 2 Jahren identisch mit Win 10 Pro x64 installiert worden; Sie unterscheiden sich nur in einigen Software Anwendungen.
In der TrendMicro Worry Free Konsole ist bei Netzwerkscan der Haken raus.
Der Kunde nutzt keine Ordner Umleitung.

Der Kunde hat sich damals aufgrund des Trojaners radikal zu einer KOMPLETT neuen Installation aller Server und Clients entschlossen, hätte er auch sonst gemacht weil veraltete Software (XP) genutzt wurde und SBS2003 usw.; Alle Daten, Freigaben usw wurden aus dem Backup wiederhergestellt und mehrfach durchgescannt.

@anteNope
werde ich gleich morgen früh kontrollieren, habe ich gar nicht bedacht;
Es gibt mittlerweile die Feststellung, dass es immer die gleichen User betrifft, die aber unterschiedliche Positionen in der Firma besetzten.
Bei den anderen ist alles top...

Danke für eure Hilfe face-smile
MOS6581
MOS6581 21.03.2018 um 22:55:32 Uhr
Goto Top
Moin,

hast du mal den Process Monitor benutzt? Der zeigt Dateizugriffe auch von/zu gemappten Netzlaufwerken, ist also m.E. ein recht brauchbares Werkzeug für deinen Fall. Freigabesession im Idealfall schließen, ProcMon anwerfen und beobachten, was da genau vor sich geht.

lG MOS
weeng99
weeng99 27.03.2018 um 13:29:48 Uhr
Goto Top
Mahlzeit,

wir haben mit dem Gesuche aufgehört.
Im ProcMon war jede Menge svhost offen, was wir z.T. nicht zuordnen konnten.
Außerdem stieg die Anzahl der geöffneten Dateien bereits beim Anmelden des Users, sobald er sich das Profil zog.
So konnten wir nicht erkennen, wann die Menge der geöffneten Dateien stieg.

Alle betroffenen Clients wurden auf links gekrempelt und von oben bis unten durchgescannt, ob nicht doch eine Schadsoftware dafür verantwortlich wäre, haben aber nichts gefunden.

Wir lassen das jetzt mal so weiterlaufen...

Allen Kommentatoren ein dickes Danke für eure Hilfe
aqui
aqui 27.03.2018 um 18:49:45 Uhr
Goto Top
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
MOS6581
Lösung MOS6581 27.03.2018 um 19:08:43 Uhr
Goto Top
Moin,

noch eine Idee: findet irgend eine Art von Indizierung (womöglich durch das System) statt?

lG MOS
anteNope
anteNope 27.03.2018 aktualisiert um 19:24:42 Uhr
Goto Top
Naja, ist ja nicht wirklich gelöst ;)
Ist ja hier kein Ticketsystem mit dem ABC-Syndrom (always be closing) ;)