Herby70

Lest den 1. Artikel!!! - Alle Hardware neu gestartet, inkl Firewall, Router und Switch's Juniper Firewall SSG 140 und ISA im Datacenter, SSG 5 VPN in den Niederlassungen etc.. Bitte wenn, denn erst alles von Anfang an lesen, ab erstem Eintrag! Wobei ich dachte dass man hier Hilfe erhält und nicht dummes gemecker.. :suspect: So, ich bin dann hier raus Herby

Jo folks.. Lest mal den ersten Eintrag hier im tread.. Da steht: Auf allen Servern sind die aktuellen Service Pack's und Updates installiert. Virenschutz ist Norman ab einem (1) Verteilserver. Die Clients erhalten die Patch's per WSUS und die Virensignaturen ab dem Verteilserver, und sonst von niergends. Virensignaturen werden sogar 4x täglich angefordert.. Und da soll unser System nicht geschützt sein? Das mit dem Passwörterwechsel ist auf jeden Fall eine gute Idee, soviel ist klar. Auch wird das Sicherheitssystem überdacht, neues Viren- Mailware konzept mit neuer Software etc.. und wie gehabt, wir werden bald möglichst mit der virtualisierung beginnen, somit fallen die alten Server raus. Aber lassen wir das, das gehört sonst OT.. Danke allen für die Hilfe! Greetz @ all Herby

@Djmaker & Gulp Wo Ihr recht habt, habt Ihr recht.... ABER: 50 Server mit Exchange 2003 / 2007 und Teil- wie Vollreplikaten mit ca 850GB Public Datenbank und alles in allem gegen 700 user mit entprechenden Userhomes und Postfächer etc einfach so mal neu installieren?! :suspect: Da wir aber sowieso vor haben dieses Jahr die ganze Serverfarm zu virtualisieren, wir sich das neu aufsetzten so zum Glück "von alleine" erledigen :cool: Was mich nun noch interessieren würde ist; - Warum war des Root Kit "nur" auf den Servern und nicht auch auf allen Arbeitstationen?? - Wer oder was hat mir das Root Kit "eingeschleppt" Jo, greetz @ all Herby

Wir haben auf der Vista Kiste den Dienst mit GMER gelöscht.. Das war ein Fehler!! - Wenn Du GMER startest macht er gleich einen short Test. - Wenn er motzt dass ein Root Kit gefunden wurde und ein voller Scan von nöten sei - machs nicht! - Klick dann den Root Kit an und sag ausschalten! - Danach machst Du n reboot.. - Nach dem reboot noch ma GMER ausführen und nun einen vollen Scan laufen lassen. - Dann machst Du regedit auf und gehst zu den Key's die Root Kit angibt. Normalerweise HKLM - System - CurrentControlSet - Services - Root Kit Name (fpgvi oder so, je nach dem) - Auf diesem "Verzeichnis" musst Du Dir dann das Recht als Administrator geben und danach noch den Besitz übernehmen - inkl aller unterverzeichnisse - Dann kannst Du den "Ordner" löschen - Das selbe dann noch mal im HKLM - System - ControlSet002 - Services - Root Kit Name Somit ist das Root Kit ein für alle mal wech... ;o) Hoffe das Hilft! Bei Fragen steh ich Euch gerne zur Verfügung Auch danke ich allen die mit hier mit Rat und Tat zur Seite standen! Danke Euch allen!! Herby

Hallo Alveran Hab da n Tool das des Root Kit entfernt. GMER - Download - COMPUTER BILD ABER VORSICHT!! Es handelt sich hierbei um einen Svchost.exe Eintrag! NICHT löschen sondern nur Ausschalten!! Auf der Vista Maschine haben wir das Ding gelöscht - ja, nun fährt Vista nicht mehr hoch.. Auf einem Exchange Server hab ich das Ding "nur" ausgeschalten, der Server funktioniert nun einwandfrei! Das wars! Mann ist das ein hartnäckiges Dingens!! Grüsse an alle Herby

Hallo Alveran Okay! So wie es aussieht hab ich ihn auch "gefunden" - W32/Downadup nennt sich das Teil, hmm, wie der Scanner halt.. ;o) Bin nun auf der Suche nach einem Removaltool, da ja leider das f-downadup keinerlei informationen darüber herausgibt wo sich den nun der Wurm versteckt. Sobald ich mehr weiss, gebe ich bescheid. Greetings Herby

Hallo Djmaker Sowas dachte ich auch schon, is aber "leider" auch nicht.. C:\>ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : unserexchange01 Primres DNS-Suffix. . . . . . . . : int.unserefirma.com Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : int.unserefirma.com unserefirma.com Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : HP NC7782 Gigabit Server Adapter Physikalische Adresse . . . . . . : 00-11-85-E8-46-B1 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.22.13 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.22.2 DNS-Server . . . . . . . . . . . : 192.168.22.10 192.168.22.11 ABER!!! Schau mal hier, vorallem das Fett gedruckte! C:\>ipconfig /displaydns Windows-IP-Konfiguration srvsutemp.int.unserefirma.com ---------------------------------------- Eintragsname . . . . . : srvsutemp.int.unserefirma.com Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 1167 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag . . . : 192.168.22.11 srvsutemp ---------------------------------------- Eintragsname . . . . . : srvsutemp.int.unserefirma.com Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 1167 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag . . . : 192.168.22.11 chdc01.int.unserefirma.com ---------------------------------------- Eintragsname . . . . . : chdc01.int.unserefirma.com Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 2155 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag . . . : 192.168.88.10 izevzscbjr.ws ---------------------------------------- Eintragsname . . . . . : izevzscbjr.ws Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 1384 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Antwort (Host-)A-Eintrag . . . : 64.70.19.33 Eintragsname . . . . . : ns2.dns.ws Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 1384 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Weiteres (Host-)A-Eintrag . . . : 64.70.19.80 Eintragsname . . . . . : ns3.dns.ws Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 1384 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Weiteres (Host-)A-Eintrag . . . : 63.251.201.210 Eintragsname . . . . . : ns4.dns.ws Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 1384 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Weiteres (Host-)A-Eintrag . . . : 66.150.187.90 Eintragsname . . . . . : ns5.dns.ws Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 1384 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Weiteres (Host-)A-Eintrag . . . : 64.70.19.70 Eintragsname . . . . . : ns6.dns.ws Eintragstyp . . . . . : 1 Gltigkeitsdauer . . . : 1384 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Weiteres (Host-)A-Eintrag . . . : 77.92.65.172 1.0.0.127.in-addr.arpa ---------------------------------------- Eintragsname . . . . . : 1.0.0.127.in-addr.arpa. Eintragstyp . . . . . : 12 Gltigkeitsdauer . . . : 0 Datenlnge . . . . . . : 4 Abschnitt . . . . . . : Antwort PTR-Eintrag . . . . . : localhost Da sind sie wieder, die komischen DNS Einträge die ich aber auf keinem DNS Server in unserer Firma finden kann.... THX for Help to all! Herby

Hallo Djmaker Is nicht... Hab bei F-Secure das removtool runtergeladen und ausgeführt - ohne Erfolg.. Also Russisch Roulett is nicht.. ;o( Nachtrag: Geb ich in der Host Datei di IP Adresse zu www.norman.ch ein, so kann ich diese Adresse auch anpingen - Hurra! Allerdings im IE oder FF surfen auf www.norman.ch ist erfolglos - Diese Seite kann nicht angezeigt werden... Unsere 2 Linux DNS Server sind von dem Problem NICHT betroffen, dafür aber der uralte 2000er Server welcher in vergessenheit geraten ist hat das Problem. Und immer noch über jeden Strohalm glücklich den man mir geben will! Danke für Hilfe Herby

Zwischenstand meiner Seits.. - McAfee Root Kit Beta hat NICHTS gefunden! - McAfee Stinger hat NICHTS gefunden! - Die Vista Maschine die nicht tut, direkt am Glasrouter angeschlossen, externe IP Adresse des Providers vergeben, flushdns ausgeführt - hat NICHTS gebracht! - Netzwerkkarten Treiber auf einer betroffenen Maschine durch älteren ersetzt (Könnte ja sein, durch einen update ein falscher Treiber installiert..) - hat NICHTS gebracht - Weitere "rumspielereien" mit dem MTU Wert (langsam mit Ping an den richtigen MTU antasten) - Bringt NICHTS @LukasB Wireshark hab ich natürlich auch schon installiert. Grundsätzlich kommunizieren die Server ja! Exchange Replikation funktioniert, Internet und Mail zugang funktioniert, eben nur die microsoft und Virenscanner anbieter Webseiten gehen NICHT! Langsam gehen mir aber nun wirklich die Ideeen aus, was soll das?? Für konstruktive Hilfe bin ich dankbar!! Herby

Olla Folks Hab nun den McAfee RootKit Beta am laufen.. Eigentlich schliesse ich einen Virus ja aus. WEIL: - Es betrifft nur die 2003 Server und 1 Vista Client - 120 XP und Vista Client's im Netzwerk haben keinerlei Probleme, ob Notebook oder PC, is egal, alle Tip Top - Die 3 2008 Server habe das Problem auch nicht! - Habe auf einem betroffenen Server Norman, AntiVir, a-squared antispy 4, SpyBot Search & Destroy und nun im Augenblick McAfee RootKit Beta am laufen - alle ohne Fund! allerdings funktionieren,- war ja anzunehmen - die Webseiten von Djmaker nicht. Auf den Servern! Auf den Arbeitstationen funktionieren sie!! Für weiter Hilfe bedank ich mich! Herby

Hallo Zahni Hab ich doch gemacht... Hatte testeshalber den DNS Server von Sunrise (bin aus der Schweiz) verwendet - ohne Erfolg.. Habe sogar die DNS Einträge auf der Firewall / Router auf externe DNS Server umgestellt - ohne Erfolg.. Unser Provider.. Hmm, da haben wir ja eigentlich zwei. Es ist tatsächlich so dass der Internetzugang bei uns Zentral geregelt wird, also nur ein Povider diesbezüglich in Frage kommt. ABER: Habe einen kollegen der beim selben Provider ist, der hat keine Probleme.. Was mir allerdings nun aufgefallen ist. Habe auf einem betroffenen Server ipconfig /displaydns gemacht. Der hat nun jenste Fehler gemeldet, z.B: qwderftg.info swederf.org wsdfrtg.ws usw.. bei einigen von diesen Einträgen hatte er sogar eine IP Adresse hinterher welche laut nslookup zu mailrelay.website.ws gehört. Interessanterweise habe ich auf unserem DNS Server selber keinerlei dieser Einträge gefunden. Der vervollständigkeits halber habe ich natürlich noch einmal die Host und LmHost Datei angekuckt. Die sind aber immer noch so wie sie sein müssen.. Serversniff probiere ich morgen aus (Bin nicht mehr im Büro) - Danke für den Link! Besten Dank für Eure Ansätze, auch wenn ich das schon alles durchprobiert habe.. Sollte noch jemand eine gute Idee haben; Nur zu, schreibt sie mir! Besten Dank für Eure Mithilfe! Herby – @Alveran Das mit dem Virus dachte ich auch schon, aber beachte den Eintrag #5 von mir.. http://www.mcseboard.de/post5-895748.html Ich werde heute Abend wenn niemand mehr am arbeiten ist noch einen Anti Spam / Malware scan durchführen; Vielleicht findet das ja was.. Nochmal Danke für alle die versuchen zu Helfen! Herby

Hallo Djmaker Hab ich gemacht. Aber wie bereits beschrieben: - nslookup auf www.microsoft.com - gibt mir u.A die IP 65.55.12.249 raus. - gebe ich dann diese IP im IE ein, so erscheint die Webseite von Microsoft, aber OHNE Bilder! - Host und LmHost dateien geprüft - sind wie sie müssen Der Unterschied nun aber zu microsoft.com (65.55.12.249) wo ich doch die Webseite ohne Bilder erhalten habe ist, dass bei microsoft.de also 207.46.197.32 die Meldung erscheint: Diese Webseite kann nicht angezeigt werden. Mach ich ein nslookup auf die 207.46.197.32, so bekomme ich microsoft.de als Antwort. Ping und tracert auf die IP Adresse gehen NICHT, nslookup mit meinem internen DNS Server hingegen funktioniert! Besten Dank für Hilfe Herby

Hallo Leute Hier noch ein kleiner Nachtrag. Ich habe natürlich auf einem betroffenen Server Norman deinstalliert und lass den auch weg. Habe dafür auf einer anderen Station die nicht betroffen ist, AntiVir Server mit einer 30 Tage Lizenz heruntergeladen und dann auf den Server installiert und rattern lassen - mit den Definitionen vom 6.1.2009. "Leider" aber hat der nichts gefunden.. Besten Dank für Eure Hilfe! Herby – Hallo tpk Nope, 3 Niederlassungen sind bei Translumina und 2 bei Cablecom. Von den 3 Translumina Leitungen sind 2 Glasanbindungen und eine Kupfer. Bei den 2 Cablecom Leitungen ist eine Glas und die andere auch Kupfer. Danke für Hilfe Herby

Hallo Jim di Griz ipconfig /flushdns hab ich selbstverständlich auch probiert nach dem ich den DNS neu konfiguriert hatte sowie beim Versuch einen externen DNS zu verwenden. Unser DNS Server (intern) löst die Namen selber auf. Was er nicht findet geht an eine der Stamm DNS Server weiter. Ein DNS Problem schliesse ich aus, das alle anderen Clients das Problem NICHT haben, diese aber über DHCP unter anderem die IP des internen DNS Servers erhalten. Besten Dank für den Ansatz! Noch eine weiter Idee? Big THX fpr Help! Herby

Hallo Leute Ich hoffe ich habe meine Anfrage im richtigen Forum gemacht.. ;o) Habe da ein ganz komisches Problem... Unsere Firma hat ca. 50 Server an 5 Niederlassungen im Einstatz. Alle Niederlassungen sind mit mindestens 4 MBit Leitungen verbunden. Auf den Servern ist Win2003 Standart und z.T. Exchange 2003 Enterprise installiert. Auf allen Servern sind die aktuellen Service Pack's und Updates installiert. Virenschutz ist Norman ab einem (1) Verteilserver. Seit dem 28. Dez. 2008 kann ich mit keinem Server mehr auf z.B. www.microsoft.com oder www.norman.ch / www.norman.no oder www.mcafee.com / www.norton.de surfen. Alle anderen Webseiten scheinen zu funktionieren, also google, blick, 20min, etc. Macht den Eindruck als seien die Virenscanner Seiten und Microsoft geblockt. Ebenso funktioniert logischerweise seit diesem Datum der Update von Norman nicht mehr, da dieser zu niuone.norman.no bis niueight.norman.no verbinden will was ja aber nicht geht. Erstaunlicher weise besteht das Problem auch auf einer (1) Vista Maschine, alle 120 anderen XP und Vista Clients in unserem Netzwerk haben das Problem NICHT! Bereits versuchte Massnahmen ohne Erfolg: - Norman deinstalliert (Ist unterdessen wieder installiert ab CD, in einer etwas älteren Version welche sich nun logischerweise auch nicht mehr updaten lässt) - Internet Explorer zurückgesetzt sowie Cache und gegebenenfalls Plugins gelöscht (Kann aber nicht am IE liegen, da auf der Vista Maschine auch Firefox installier ist und sich der genau gleich verhält) - In der Registry unter HKLM tcpip interfaces den MTU Wert 1450 und versuchsweise 1452 gesetzt - unterdessen wieder entfernt da keine besserung - Eigene DNS Server neu konfiguriert - Fremden DNS Server verwendet - Alle Hardware neu gestartet, inkl Firewall, Router und Switch's - Alternative Namen im IE verwendet, also anstelle http://www.microsoft.com nur microsoft.com etc. - Ping auf www.microsoft.com geht nicht - Ping Anforderung konnte Host www.microsoft.com nicht finden...... - tracert auf www.microsoft.com - Der Zielname www.microsoft.com konnte nicht aufgelöst werden. - nslookup auf www.microsoft.com - gibt mir u.A die IP 65.55.12.249 raus. - gebe ich dann diese IP im IE ein, so erscheint die Webseite von Microsoft, aber OHNE Bilder! - NetChek auf Site Analysis auf die URL www.microsoft.com - URLDownloadToFile returned Unknown error (0x800c0005) - Der angeforderte Namen ist ungültig - Artikel ID 926431 http://support.microsoft.com/kb/926431/de durchgespielt - ohne Erfolg - Wie bereits erwähnt kann das Problem eigentlich gar nicht am IE liegen da Firefox auch nicht funktioniert. - Host und LmHost dateien geprüft - sind wie sie müssen An unserem System wurden seit dem 22. Dez. 2008 keinerlei Updates eingespielt und das komische Verhalten trat erstmalig am 28. Dez. 2008 auf. Dafür aber auf allen Servern gleichzeitig sowie einer (1) Vista Maschine! Alle anderen Arbeitstationen sind davon NICHT betroffen.... Erstaunlich ist ja, dass wenn ich im IE eingebe www.microsoft.com "rädelt" er kurz rum und bringt dann die Seite Live Search in welcher steht; Meinten Sie www.microsoft.com? Klickt man dann auf den Link von www.microsoft.com erscheint die Meldung; Diese Seite kann nicht angezeigt werden. Noch irgendjemand da der eine Idee hat an was das liegen kann? Besten Dank für Eure Hilfe und ein gutes neues Jahr! Herby