Jump to content

Rootkits - oder was?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich habe hier einen Windows 2000 Server Standard der keine SMB - Verbindungen (Laufwerke) mehr annimmt und auch nicht mehr aufbauen kann.

 

Die Clients können sich nicht mehr zu dem Server verbinden und der Server kann auch keinen Laufwerksbuchstaben und/oder UNC - Pfad mehr verbinden.

(Systemfehler 1231).

 

MIt TCP-View habe ich gesehen, daß "Milllionen" Vebindungsversuche gemacht werden, das geht so schnell, daß die Prozessorlast auf 100% ist und damit der Server kaum mehr sonst was macht.

Die Dienste laufen aber wie sie sollten und an der Maschine kann man (fast) normal arbeiten. Nur eben, daß auch keine UNC-Verbindungen auf sich selbst mehr möglich sind und daher diverse Programme (Auftrag, Telebanking) nicht mehr funktionieren.

 

Es ist leider der einzige DC und ich versuche, diesen nicht zu verlieren.

Ich habe den kompletten Datenbestand mit NTBackup auf eine zweite Festplatte gesichert, die Daten auf eine saubere Maschine übertagen, dort "restored" (Alternatives Verzeichnis) und dann mit diversen Antivirenprogramme gescannt. Alle sagen mir, daß da kein Virus ist.

 

Das kann so nicht sein und vermutlich ist ein oder mehrere Rootkits vorhanden und diese wurden mit NTBackup nicht "gesichert".

Kann das sein?

 

Ich habe jetzt eine zweite Instanz vom Server 2000 installiert (die ist sicher sauber) und scanne noch mal mit diversen Antivirenprogrammen.

 

Was kann ich sonst tun damit ich den DC nicht verliere?

 

tks!

Herbert

Link zu diesem Kommentar
Was kann ich sonst tun damit ich den DC nicht verliere?

 

Sorry Herbert, aber du bist jetzt schon so lange bei uns und hast so wenig gelernt dabei.

 

Was du noch tun kannst ist dir jemanden zu suchen der etwas von Windows Servern versteht und ihn das DIng anschauen lassen.

 

Mir ist immer noch schleierhaft wie du Kunden findest die dich auch noch dafür bezahlen dass du ihre Systeme ruinierst...

Link zu diesem Kommentar
@Herbert,

Da steht dann bestimmt, dass Dienst xyz nicht gestartet werden konnte...

-Zahni

 

Ich hatte doch erwähnt, daß die Dienste laufen (diejenigen die das auch tun sollten).

 

Der Hinweis auf ein Schulungszentrum ist sicher OK.

Jeder von uns sollte das tun.

und ... wer von Euch ohne Sünde ist, der werfe den ersten Stein ...

 

Dank Dir!

Herbert

Link zu diesem Kommentar
...Die Clients können sich nicht mehr zu dem Server verbinden und der Server kann auch keinen Laufwerksbuchstaben und/oder UNC - Pfad mehr verbinden.

(Systemfehler 1231)...

 

Gehen UNC-Pfade grundsäzlich nicht? Also in allen Variationen?

- \\server\freigabe

- \\server.dom.de\freigabe

- \\ip-adresse\freigabe

 

Evtl. am NetBT rumgeschraubt?

Laufen wirklich alle benötigten Dienste noch?

Link zu diesem Kommentar

Hallo!

 

Dank Dir für die Ansätze, hier die nötigen Informatoinen:

 

Gehen UNC-Pfade grundsäzlich nicht? Also in allen Variationen?

- \\server\freigabe

- \\server.dom.de\freigabe

- \\ip-adresse\freigabe

Ja, genau so:

Kein Client kann über die (noch vorhandenen) Laufwerke zugeifen und UNC-Pfade zum Server laufen auch in ein TimeOut.

(Der Server antwortet nicht oder so ähnlich)

Seltsam finde ich, daß auch die andere Richtung nicht geht.

Auch der Server kann keine SMB-Verbindung zu den Clients mehr aufbauen.

Andere Sachen (FTP, Telnet, DNS, HTTP, ...) (vom Server weg) funktioineren aber. Daher kann auch die Porttable nicht überlaufen (war nur ein Ansatz).

 

Evtl. am NetBT rumgeschraubt?

Nö, da war keiner drann.

 

Laufen wirklich alle benötigten Dienste noch?

Ja, die laufen alle wie sie sollten und lassen sich auch steuern (starten, stoppen, anhalten) (nicht alle, aber alle die sollten bzw. wo der Starttype entsprechend gesetzt ist und die sich auch auf anderen Servern steuern lassen.)

 

Ich habe jetzt eine zweite Instanz von Windows auf das gleiche RAID installiert, um mit einer sauberen "Version" zu scannen. Ich habe schon zig Programme drüber laufen lassen, alle sagen mir, daß da nichts is.

 

Sollte ich wirklich nichts finden, dann werde ich eine Reparaturinstallation versuchen. Sollte das auch scheitern (davon gehe ich aus, Gruß an Dr. Melzer), dann installiere ich neu. MIr graut aber davor, ich weiß ja nicht (genau) was auf dem Server alles läuft und mir läuft ;-) die Zeit davon.

 

Anmerkung: die zweite Instanz von Windows (gleiches OS, gleiches SP) läuft prima, allerdings ist diese noch nackig - also ohne irgendwas.

 

Gruß und Dank!

Herbert

Link zu diesem Kommentar
Hab ich dir aber auch schon öfters gesagt...

 

Na im Prinzip wurde Herbert schon alles was Sinn macht schonmal erklärt oder gesagt, aber wahrscheinlich hat er einfach keien Zeit sich das zu merken oder etwas dazuzulernen, vor all den Problemen die er hat.

 

Da ist es schon einfacher immer wieder hier zu fragen und sich das Händchen halten zu lassen...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...