PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Software Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=17)
-- Windows 9x, NT, 2000, XP: (https://www.pc-experience.de/wbb2/board.php?boardid=18)
--- Hilfe Server online hat Virus oder ähnliches (https://www.pc-experience.de/wbb2/thread.php?threadid=12163)
Geschrieben von Playbox am 23.11.2004 um 16:57:
Hilfe Server online hat Virus oder ähnliches
Hi,
Problem ist wir haben einen Server mit Win2000 Server laufen,
haben anscheinend einen Blaster wurm drauf,
Shutdown-a geht nicht, dieser Befehl ist nicht in der Bibliotek vorhanden. Removaltool arbeitet sich über 5 Partitionen a 200 gb.
und kommt nicht zum abschluss weil die Fehlermeldung kommt und der Server runtergefahren wird.
Da Windows 2000 Server keine MSconfig hat, habe ich ein MSconfigtool für 2000 geladen, welcher aber in dem Autostart kein Virus oder ähnliches anzeigt.
Was soll ich nun tun, ich gehe per RAdmin auf den Server.
letztes Winsecurity update ist 2 Monate her.
Vielen Dank
Geschrieben von Worf am 23.11.2004 um 18:46:
was genau passiert denn?
welches Servicepack ist installiert?
den folgenden Artikel kennst du?
zum Blaster Artikel
Geschrieben von Playbox am 23.11.2004 um 19:51:
hi
also Server startet, nach unbestimmter Zeit taucht ein Fenster auf, vergleichbar mit dem Shutdownfenster bei einem Wurm "Sasser2 oder dergleichen, welches man eigendlich mit "Ausführen" "shutdown-a" beenden kann.
Dies ist hier nicht der Fall, oben beschriebene Warnmeldung kommt irgendwann einmal wärend des Betriebes und enthält, (Sorry hab ich nicht mehr genau im Kopf : Fehler NT /system32/service.exe.
ich habe einmal ein screen gemacht welchen den Taskmanager zeigt im Berreich der Service.exe
Bild
um hilfe wäre ich extrem dankbar.
Geschrieben von Worf am 23.11.2004 um 20:06:
jetzt weiß ich noch immer nicht welches Servicepack du installiert hast und ob du den von mir verlinkten Artikel kennst oder gelesen hast
wir brauchen die exakte Fehlermeldung, dazu kannst du auch die Ereignisanzeige verwenden, wie man das macht steht hier:
klick
, also reinschauen und anhand des Artikels auswerten.
Geschrieben von Playbox am 23.11.2004 um 20:33:
hi ja ich hab den gelesen und keinerlei zusammenhänge mit meinem jetzigen problem gefunden.
ich habe atm 2 screens gemacht, bevor sich der server diesmal nach knapp 20 min verabschiedet hat, vermutlich durch meine arbeit in den
Ergebnisslisten.
Bild1
Bild2
weiter hab ich noch ein eventlog vom System, Anwendungen und DNS Server gemacht.
]
3 *.txt Datein als *.zip
Es ist Servicepack 4 installiert
grml pls hüülfeee
Geschrieben von Worf am 23.11.2004 um 20:55:
| Zitat: |
| ja ich hab den gelesen und keinerlei zusammenhänge mit meinem jetzigen problem gefunden |
|
mag sein, trotzdem solltest du mal Stinger über den Server laufen lassen, denn wie du ja auch schon selbst geschrieben hast, die Blaster Symptome sind sehr ählich:
Stinger
ach und noch was,
was hat denn der Pfad F:\Warez zu bedeuten?
Geschrieben von Playbox am 23.11.2004 um 21:26:
Hi Worf,
erstmal vielen Dank das du dich meiner angenommen hast.
was der Ordner zu bedeuten hat ?? frag mich nicht ist aber nichts wichtiges drin. Ist ja nicht mein Server, der hat mich nur um Hilfe gebeten. Und ich stehe auch vor einem Rätsel.
Stinger hat mir folgenden Log gegeben :
McAfee AVERT Stinger Version 2.4.5.1 built on Nov 19 2004
Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.
Virus data file v1000 created on Nov 19 2004.
Ready to scan for 45 viruses, trojans and variants.
Scan initiated on Tue Nov 23 21:06:51 2004
Number of clean files: 39334
thx :D
Geschrieben von Cerberus am 23.11.2004 um 21:34:
Eingangs schreibst du "unser Server", jetzt auf einmal nicht mehr?
zum Thema Stinger haben wir ein Workaround:
klick
ansonsten verweise ich auf unsere Forenregel § VIII:
klick
und darum
closed
Cerberus
Forensoftware: Burning Board , entwickelt von WoltLab GmbH