13
über 1000 geöffnete Dateien in den Freigaben eines Benutzers
Hallo Leute,
bin neu hier und wende mich mit einem Problem an euch.
Google hat mich nicht weitergebracht, ich weiß auch nicht recht wie ich das Problem suchen soll...
Folgende Situation:
Ein Kunde hat das Problem, dass pro User plötzlich irre viele Dateien geöffnet scheinen (Computerkonfiguration, Freigegebene Ordner, Sitzungen);
Der ein oder andere User schafft es dabei in der Ansicht auf weit über 1000 Dateien, obwohl auf seinem Rechner grad mal ne Excel Tabelle offen ist und ein Browser;
Mein erster Gedanke war, ob in den Excel Dateien Verschachtelungen drinne sind, was aber nicht der Fall ist.
Also Virenscan gemacht...
Keine Viren gefunden, außer einigen Cookies und PUP´s (Scan mit Hitman Pro und ADWCleaner, sowie leeren der Browser Caches...)
Kunde nutzt die aktuelle TrendMicro Edition.
Witzigerweise verschwinden schlagartig alle geöffneten Dateien, wenn ich den Virenscan anschmeiße, nachdem der aber fertig ist fängt es wieder an, dass die Zahl der geöffneten Dateien steigt.
Kunde nutzt einen ESXi mit Server 2012 R2 Maschinen.
Er hält die Maschinen recht aktuell, weil die vor ca 2 Jahren einen Verschlüsselungstrojaner hatten und nun verständlicherweise sehr sensibel sind.
Habt ihr Ideen, wo ich noch suchen kann oder wie man das Problem lösen kann?
Ich habe mal bei anderen Kunden geschaut, die z.T. auch viele Dateien offen haben, aber längst nicht in dem Ausmaß.
Schon mal besten Dank für eure Antworten
bin neu hier und wende mich mit einem Problem an euch.
Google hat mich nicht weitergebracht, ich weiß auch nicht recht wie ich das Problem suchen soll...
Folgende Situation:
Ein Kunde hat das Problem, dass pro User plötzlich irre viele Dateien geöffnet scheinen (Computerkonfiguration, Freigegebene Ordner, Sitzungen);
Der ein oder andere User schafft es dabei in der Ansicht auf weit über 1000 Dateien, obwohl auf seinem Rechner grad mal ne Excel Tabelle offen ist und ein Browser;
Mein erster Gedanke war, ob in den Excel Dateien Verschachtelungen drinne sind, was aber nicht der Fall ist.
Also Virenscan gemacht...
Keine Viren gefunden, außer einigen Cookies und PUP´s (Scan mit Hitman Pro und ADWCleaner, sowie leeren der Browser Caches...)
Kunde nutzt die aktuelle TrendMicro Edition.
Witzigerweise verschwinden schlagartig alle geöffneten Dateien, wenn ich den Virenscan anschmeiße, nachdem der aber fertig ist fängt es wieder an, dass die Zahl der geöffneten Dateien steigt.
Kunde nutzt einen ESXi mit Server 2012 R2 Maschinen.
Er hält die Maschinen recht aktuell, weil die vor ca 2 Jahren einen Verschlüsselungstrojaner hatten und nun verständlicherweise sehr sensibel sind.
Habt ihr Ideen, wo ich noch suchen kann oder wie man das Problem lösen kann?
Ich habe mal bei anderen Kunden geschaut, die z.T. auch viele Dateien offen haben, aber längst nicht in dem Ausmaß.
Schon mal besten Dank für eure Antworten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 368671
Url: https://administrator.de/contentid/368671
Ausgedruckt am: 19.11.2024 um 23:11 Uhr
13 Kommentare
Neuester Kommentar
Witzigerweise verschwinden schlagartig alle geöffneten Dateien, wenn ich den Virenscan anschmeiße
Ein Schelm wer Böses dabei denkt....
1
Zitat von @aqui:
Witzigerweise verschwinden schlagartig alle geöffneten Dateien, wenn ich den Virenscan anschmeiße
Ein Schelm wer Böses dabei denkt....Der Virenscanner scannt die Netzlaufwerke, wurde wohl vergessen zu unterbinden. Sobald du den Scan anwirfst, wird der Hintergrundscan von Laufwerken gestoppt. Hurr Durr ;)
2
Besten Dank für den Hinweis @anteNope.
Der Virenscanner scannt lediglich den lokalen Rechner, KEINE Netzlaufwerke;
Habe ich in meinem Anfangspost leider nicht erwähnt.
... Hurr Durr...? Bezieht sich das auf mich?
Der Virenscanner scannt lediglich den lokalen Rechner, KEINE Netzlaufwerke;
Habe ich in meinem Anfangspost leider nicht erwähnt.
... Hurr Durr...? Bezieht sich das auf mich?
Nein, das Hurr Durr bezieht sich auf die Machenschaften der Virenscanner. Die fummeln immer da wo die nicht sollen. SSL-Verbindungen, Netzlaufwerke ...
Hi
Erläutere vll mal ob wirklich alle User an die 1000 Dateien offen haben.
Gibt es auch welche wo es passt ?
Weiter zur Softwarekonfiguration der Clients
Sind alle Clients gleich bzw ähnlich installiert ?
Ist da was installiert was indexiert ???
Z.B. Für schnelle Suche ???
Wie hast du ausgeschlossen das der Trend Micro keine Netzlaufwerke scannt ?
Mal den Virenschutz komplett deinstalliert und dann schauen.
Sind Ordnerumleitungen konfiguriert im Profilmanagment und diese liegen auch auf dem Server ?
Weil hier werden alle Daten offen gehalten welche der Anwender in den Ordnerumleitungen hat.
Wie wurde damals der verschlüsselungstrojaner bereinigt ?
Können dies Reste sein die nur nicht mehr verschlüsseln da command & Control Server nicht mehr erreichbar sind ?
Z.B auch durch Einführung eines Proxy
Mit freundlichen Grüßen
Nemesis
Erläutere vll mal ob wirklich alle User an die 1000 Dateien offen haben.
Gibt es auch welche wo es passt ?
Weiter zur Softwarekonfiguration der Clients
Sind alle Clients gleich bzw ähnlich installiert ?
Ist da was installiert was indexiert ???
Z.B. Für schnelle Suche ???
Wie hast du ausgeschlossen das der Trend Micro keine Netzlaufwerke scannt ?
Mal den Virenschutz komplett deinstalliert und dann schauen.
Sind Ordnerumleitungen konfiguriert im Profilmanagment und diese liegen auch auf dem Server ?
Weil hier werden alle Daten offen gehalten welche der Anwender in den Ordnerumleitungen hat.
Wie wurde damals der verschlüsselungstrojaner bereinigt ?
Können dies Reste sein die nur nicht mehr verschlüsseln da command & Control Server nicht mehr erreichbar sind ?
Z.B auch durch Einführung eines Proxy
Mit freundlichen Grüßen
Nemesis
Oh da fällt mir gerade noch etwas ein. Hast du bei der Freigabe die Offline-Dateispeicherung deaktiviert? Sonst versuchen Windows 10 Clients diese automatisch offline verfügbar zu machen. Der Sync öffnet dann natürlich einen Haufen Dateien ;)
@nEmEsIs
Danke für deine Hinweise.
Von angemeldeten 12 Mitarbeitern haben 3-4 so viele offene (scheinbar) Dateien.
Alle Clients sind vor 2 Jahren identisch mit Win 10 Pro x64 installiert worden; Sie unterscheiden sich nur in einigen Software Anwendungen.
In der TrendMicro Worry Free Konsole ist bei Netzwerkscan der Haken raus.
Der Kunde nutzt keine Ordner Umleitung.
Der Kunde hat sich damals aufgrund des Trojaners radikal zu einer KOMPLETT neuen Installation aller Server und Clients entschlossen, hätte er auch sonst gemacht weil veraltete Software (XP) genutzt wurde und SBS2003 usw.; Alle Daten, Freigaben usw wurden aus dem Backup wiederhergestellt und mehrfach durchgescannt.
@anteNope
werde ich gleich morgen früh kontrollieren, habe ich gar nicht bedacht;
Es gibt mittlerweile die Feststellung, dass es immer die gleichen User betrifft, die aber unterschiedliche Positionen in der Firma besetzten.
Bei den anderen ist alles top...
Danke für eure Hilfe
Danke für deine Hinweise.
Von angemeldeten 12 Mitarbeitern haben 3-4 so viele offene (scheinbar) Dateien.
Alle Clients sind vor 2 Jahren identisch mit Win 10 Pro x64 installiert worden; Sie unterscheiden sich nur in einigen Software Anwendungen.
In der TrendMicro Worry Free Konsole ist bei Netzwerkscan der Haken raus.
Der Kunde nutzt keine Ordner Umleitung.
Der Kunde hat sich damals aufgrund des Trojaners radikal zu einer KOMPLETT neuen Installation aller Server und Clients entschlossen, hätte er auch sonst gemacht weil veraltete Software (XP) genutzt wurde und SBS2003 usw.; Alle Daten, Freigaben usw wurden aus dem Backup wiederhergestellt und mehrfach durchgescannt.
@anteNope
werde ich gleich morgen früh kontrollieren, habe ich gar nicht bedacht;
Es gibt mittlerweile die Feststellung, dass es immer die gleichen User betrifft, die aber unterschiedliche Positionen in der Firma besetzten.
Bei den anderen ist alles top...
Danke für eure Hilfe
Moin,
hast du mal den Process Monitor benutzt? Der zeigt Dateizugriffe auch von/zu gemappten Netzlaufwerken, ist also m.E. ein recht brauchbares Werkzeug für deinen Fall. Freigabesession im Idealfall schließen, ProcMon anwerfen und beobachten, was da genau vor sich geht.
lG MOS
hast du mal den Process Monitor benutzt? Der zeigt Dateizugriffe auch von/zu gemappten Netzlaufwerken, ist also m.E. ein recht brauchbares Werkzeug für deinen Fall. Freigabesession im Idealfall schließen, ProcMon anwerfen und beobachten, was da genau vor sich geht.
lG MOS
Mahlzeit,
wir haben mit dem Gesuche aufgehört.
Im ProcMon war jede Menge svhost offen, was wir z.T. nicht zuordnen konnten.
Außerdem stieg die Anzahl der geöffneten Dateien bereits beim Anmelden des Users, sobald er sich das Profil zog.
So konnten wir nicht erkennen, wann die Menge der geöffneten Dateien stieg.
Alle betroffenen Clients wurden auf links gekrempelt und von oben bis unten durchgescannt, ob nicht doch eine Schadsoftware dafür verantwortlich wäre, haben aber nichts gefunden.
Wir lassen das jetzt mal so weiterlaufen...
Allen Kommentatoren ein dickes Danke für eure Hilfe
wir haben mit dem Gesuche aufgehört.
Im ProcMon war jede Menge svhost offen, was wir z.T. nicht zuordnen konnten.
Außerdem stieg die Anzahl der geöffneten Dateien bereits beim Anmelden des Users, sobald er sich das Profil zog.
So konnten wir nicht erkennen, wann die Menge der geöffneten Dateien stieg.
Alle betroffenen Clients wurden auf links gekrempelt und von oben bis unten durchgescannt, ob nicht doch eine Schadsoftware dafür verantwortlich wäre, haben aber nichts gefunden.
Wir lassen das jetzt mal so weiterlaufen...
Allen Kommentatoren ein dickes Danke für eure Hilfe
Moin,
noch eine Idee: findet irgend eine Art von Indizierung (womöglich durch das System) statt?
lG MOS
noch eine Idee: findet irgend eine Art von Indizierung (womöglich durch das System) statt?
lG MOS
Naja, ist ja nicht wirklich gelöst ;)
Ist ja hier kein Ticketsystem mit dem ABC-Syndrom (always be closing) ;)
Ist ja hier kein Ticketsystem mit dem ABC-Syndrom (always be closing) ;)
