Alveran

Hallo,

Konfiguration:

Es handelt sich um ein Windows Terminal Server 2008, 1xQuadcore Xeon, 10GB Arbeitsspeicher, 20 User und jeder User hat vier Programme auf. (Excel, Mail und 2x Andwendungssoftware)

habe folgendes Problem:

Es kommt immer mal zu Wartepause bei den einzelen User. Soll heißen Fenster(Programme) hängen. In diesem Moment ist die CPU Auslastung aller vier Kerne auf 100%.

Meine Idee wäre die einzelnen Programme auf die Prozessorkerne zu verteilen.

Weil wenn Exel beispielsweise 40% Last verursacht tut es das auf allen vier Kernen.

Ich kann das im Taskmanager einstellen dann kommt es auch nicht mehr zu den hängern aber immer wenn die Progrmme geschlossen werden ist die Einstellung dahin.

Hab es schon mit dem THG Programm probiert, da kann ich aber nur die Einstellung für mich(als Admin eingelogt) vornehmen und nicht für die User

Dafür muß es doch eine Saubere Lösung für Terminalserver geben?

mfg

Alveran

Hallo,

habe genau das selbe Problem, benutze auch die selben Versionen.

Konntest du das Problem lösen?

mfg

Alveran

Hallo,

habe auf einem SBS2003 das Routing und Ras konfiguriert.

Wenn ich mich jetzt von außen per VPN einwähle funktioniert das soweit einwandfrei.

Ich kann per Remotedesktop auch auf den Server verbinden.

Was nicht geht:

-Remotedesktop zu einen XP Client in dieser Domaine

-ping auf andere Rechner und Gerät in der Domaine

Wenn ich per Remotedesktop auf dem Server bin kann ich auf alles Pingen und micht auch vom Server aus per RemoteDeskop auf die Clients verbinden.

Woran kann das liegen?

Würde gern direkt auf die Clients per Remotedesktop zugreifen können.

An einem anderen Standort von mir funktioniert es auch einwandfrei.

Sorry konnte mich die letzten drei Tage nicht kümmern. Hatte selber die Grippe.

Werd es heut abend gleich mal ausprobieren.

Hallo,

ja nach den diensten hab ich schon geschaut, Läuft nur einer unter Administrator und der hat auch das richtige Passwort. Hab den dienst mal deaktiviert, fehler ist weiterhin aufgetreten.

Account Lockout Tools hab ich jetzt mal drauf gemacht. Was muß ich da jetzt einstellen um was zu erkennen?

mfg

Hallo,

1.in control keymgr.dll ist nichts hinterlegt. (komplett lehr)

2.hatte ich in dem vorherigen post geschrieben, egal

3.richtig

4.sehe ich auch so

5.Process Tracking, was muß ich dazu machen?

mfg

Alveran

Kann man erstmal irgendwie rausfinden welcher dienst sich da überhaupt einloggen will. Außer das es von 127.0.0.1 kommt?

Hallo,

der Tip scheint gut. Ich habe das Passwort des Administrators geändert. Was ist der Credential Manager?

Und nochmal ja ich hatte den Wurm. Ist aber zum Glück runter und die Sicherheitslücke geschlossen.

Also der Wurm führt die Atacken nicht aus. Das sah anders aus, und war permanent und die accounts wurden gesperrt.

Jetzt bekomme ich nur die 675 Meldung genau aller Stunde ab Serverstart.

Accounts bleiben offen.

Sorry,

es handelt sich um ein SBS2003, alle updates und patches auf dem neuesten stand. Es läuft Exchange, AD.

Ja, aber leider nichts auf meinen fall bezogenes gefunden.

Seit ein paar Tagen habe ich das Problem das ich genau aller Stunde ca 10 mal folgenden eintrag unter Ereignisanzeige/Sicherheit finde.

Fehlgeschlagene Vorbestätigung:

Benutzername: Administrator

Benutzerkennung: xxxx\Administrator

Dienstname: krbtgt/xxxx

Vorauthentifizierungstyp: 0x2

Fehlercode: 0x18

Clientadresse: 127.0.0.1

Habe den Server schon mehrmals neugestartet. Ohne Erfolg. Es muß irgendein Dienst sein der sich versucht zu starten. Habe irgendwie die Vermutung das das Kerberosticket hin ist.

Wenn sich ander nutzer Anmelden kommt diese Meldung auch. Ansonsten läuft der Server normal.

Hallo,

zur aufklärung. Es sind zwei verschiedene Systeme von ein und dem selben Virus betroffen. Und mittlerweile so wie gehört habe hat es noch andere erwischt.

Und nochmal zum Thema Sicherheit. Wir verwenden WSUS. Unsere Systeme sind nachweißlich auf neuestem Stand und der GDATA Virenscanner holt sich stündlich seine Updates.

Es handelt sich bei dem Virus um eine neue Version die von allen Antivieren Scanner auser F-Secure nicht erkannt wird und auch selbst mit dem F-Secure Scanner nicht gelöscht werden kann.

(seit 6.Januar2009bekannt)

Ich hoffe ich habe mich verständlich ausgedrückt.

Trotzdem Besten Dank an euch für die Angboten links.

Der Patch für XP den du mir gelinkt hast war bei uns schon eigespielt. Daran lags also nicht.

Gibts da noch andere Patches. Was ist mit den Vista maschienen? Dafür gibts nix soweit ich sehen kann.

mfg

Alveran

Bitte keine Diskusionen über wer hat die Beste Firewall oder den besten Virenscanner. Danach ist man immer schlauer.

Nochmal zur Lösung des Problems. Ich kann ihn ja Mit dem Programm deaktivieren und danach aus der Registry entfernen. Das behebt aber nicht das Grundsatzproblem das ich ihn nach einer halben Stunde wieder habe.

Und nun?

Betroffen sind vorallem Windows XP SP3, dafür gibt es von Microsoft keinen Patch.

Momentan ist er nicht wieder auf Windows 2003 Server und Vista aufgetaucht.

Top läuft.

Besten Dank

Hi,

habe gerade mit GData telefoniert. Die schicken mir jetzt was zu.

Bin mal gespannt.

Bei mir ist der relavante Patch vom Microsoft installiert und ich bekomm das ding trotzdem.

****

also der scanner f-downadup findet den wurm kann ihn aber nicht löschen

im abgesicherten modus findet er ihn nicht

der scanner fsmrt findet ihn gar nicht

und jetzt?

Laß bitte mal den Scanner f-downadup bei dir durchlaufen.

Gibt es noch andere Programme die das ding entfernen können?

Hi,

also bei mir findet er was, kann es aber nicht entfernen.

Bin noch dabei.

Sobald ich was habe gebe ich bescheid.

Habe mal einen betroffen Rechner an einen anderen Internetanschluß gehangen und versucht die microsoft seite zu öffnen.

Ergebniss wie nicht anders erwartet, geht nicht.

google usw öffnen normal.

Alle anderen Rechner an diesem anschluß können die microsoft seite öffnen. Es ist also absolut auszuschließen das das problem am provider hängt.

Ich glaube auch nicht dran das es am dns cache, gruppenrichtlinien oder sonstigen windows einstellungen oder mtu werten liegt.

Ich denk es es ist ein Virus oder einen abwandlung dessen der die betroffenen seiten zielgerichtet umleitet.

Nur wie dieses kleine mistkerlchen ausfindig machen wenn es kein Scanner findet.

//edit

computer aus der domäne genommen, microsoft geht nicht

computer wieder in die domäne genommen, microsoft geht nicht

wie nicht anders erwartet

Hallo,

kurzer zwischenstand, noch keinen Schritt weiter.

Werde jetzt gleich mal hijackthis durchlaufen lassen, mal sehen was dabei rauskommt.

Bei Mir sind alle Maschienen betroffen die über das Wochenende vom 2.1.2009 zum 5.1.2009 an waren. Darunter die Windows 2003 Server, ein Vista rechner und ca 12 XP Rechner.

Ist noch jemand anderes davon betroffen?

mfg

Alveran

//edit

Hijackthis hat auch nichts gefunden ;-[

Hallo,

bin gerade auf diesen Thread gestoßen und habe mich auch gleich hier im Forum angemeldet.

Kurz zur Sache.

Bei mir tritt das selbe Problem seit Montag den 5 Januar 2009 auf. Habe auch schon mehr als sechs stunden nach dem Problem gegoogelt, ohne Erfolg.

Unabhängig von diesem Thead habe ich die selben Ansätze wie oben beschrieben probiert, ohne Erfolg.

Ich gehe mitlerweile stark davon aus das es sich um einen neuen Virus handelt.

Ich hoffe es kann bald jemand helfen.

mfg

Alveran