diverse Dienste beenden auf den DCs

[bm2004 10]

Hallo,

 

habe hier das Problem, das sich diverse dienste automatisch nach ca. 30 min. beenden, dadurch kein Anmelden mehr möglich. Das passietr auf beiden DC´s, folgende Dienste werden gestoppt!

 

Computerbrowser

Arbeitsstationsdienst

Server

sek. Anmeldung

 

Danach hat er ins Ereignisprotokoll, dass er nciht mehr auf die GPo.ini zugreifen kann.

 

Hat jemand ne Idee???

[dormi98 15]

kannst du die Dienste dann noch manuell wieder starten? Wenn ja laufen Sie dann ordentlich, oder werden sie wieder nach 30 Minuten beendet?

[bm2004 10]

Auf dem DC, der die FSMO trägt kann ich den Serverdienst und die anderen nachstarten.

Dann laufen Sie wieder 30min. Auf anderen DC nicht, erst nachdem neustart!!

[Necron 71]

Hi,

 

hast du die DC's schon mal einem Viren-, Trojaner usw. Scan unterzogen?

[bm2004 10]

hab ich gerade am laufen...aber sonst verhält sich die Maschine normal

–

mmmh.... er hat eine gefunden:

 

FakeRecycle.B

 

kann nicht genau sagen, was dieser macht?? Hat einer von Euch ne Ahnung!!

 

werde mal die Virenenzys durchsuchen!

[srkonus 10]

Habe schnell mal nach dem Trojaner gegoogelt:

 

Common name: FakeRecycle.B

Technical name: Trj/FakeRecycle.B

Threat level: Medium

Type: Trojan

Effects: It allows to get into the affected computer. It does not spread automatically using its own means.

Affected platforms:

 

Windows 2003/XP/2000/NT/ME/98/95

First detected on: May 31, 2007

Detection updated on: May 31, 2007

Statistics No

Proactive protection:Yes, using TruPrevent Technologies

 

Brief Description

 

FakeRecycle.B is a Trojan, which although seemingly inoffensive, can actually carry out attacks and intrusions: screenlogging, stealing personal data, etc.

 

 

FakeRecycle.B does not spread automatically using its own means. It needs an attacking user's intervention in order to reach the affected computer. The means of transmission used include, among others, floppy disks, CD-ROMs, email messages with attached files, Internet downloads, FTP, IRC channels, peer-to-peer (P2P) file sharing networks, etc.

 

Ich habe diese Info bei Panda gefunden, allerdings nocht nicht durchgelesen.

[bm2004 10]

ja ich habe ja auch panda drauf, der hat ihn jetzt geputzt!

 

Jetzt hatte ich eben das Problem wieder nach ca. 2Std... flackert kurz der Bildschirm und 11 automatisch gestartete Dienste sind gestoppt!

 

Das kann doch nicht sein!!!!!

[Sunny61 773]

ja ich habe ja auch panda drauf, der hat ihn jetzt geputzt!

 

Jetzt hatte ich eben das Problem wieder nach ca. 2Std... flackert kurz der Bildschirm und 11 automatisch gestartete Dienste sind gestoppt!

 

Daten sichern und formatieren. Neuinstallation ist hier wohl angesagt. Du kannst dem Systm einfach nicht mehr vertrauen.

[srkonus 10]

Ja, die Möglichkeit klingt einfach am Besten. Wobei er ja einen zweiten DC hat, also ist das AD gesichert.

[Sunny61 773]

Ja, die Möglichkeit klingt einfach am Besten. Wobei er ja einen zweiten DC hat, also ist das AD gesichert.

 

Ja, trotzdem können ja noch andere Dienste auf dem DC laufen. Ein WSUS zum Beispiel, oder er ist der FSMO-Rollen Inhaber, die werden zwar automatisch auf den anderen bei DCPROMO übertragen, sollte man aber lieber manuell machen, wenn es denn noch geht.

[bm2004 10]

ja alles schön und gut....Das ist ein 30 USER NETZ mit 2 DC´s.

Ich habe noch einen Memberserver 2003 der auch von dem Problem betroffen habe ichgerade gemerkt. Wenn das Problem auftritt, dann gleichzeitig bei allen und bei allen die gleichen Dienste!!!

folgende Dienste beenden sich...

 

Arbeitsstationsdienst

automatische updates

Computerbrowser

Drahtloskonfiguration

Kryptografiedienste

verwaltung logischer Laufwerke

Server

Shellhardwareerkennung

sekundäre Anmeldung

 

ich verzweifel noch, habe keinen Bock alles neu zumachen

[srkonus 10]

Ich wurde es ja machen. Die Gefahr, das irgendwo ein Schädling ist, scheint zu groß. Einen DC neumachen, komplett patchen und erst dann ins Netz. Am Besten noch nen guten Virenscanner drauf, bevor er ins Netz gehängt wird.

[Necron 71]

Ich habe noch einen Memberserver 2003 der auch von dem Problem betroffen habe ichgerade gemerkt. Wenn das Problem auftritt, dann gleichzeitig bei allen und bei allen die gleichen Dienste!!!

folgende Dienste beenden sich...

Da scheint echt der Wurm drin zu sein, im wahrsten Sinne des Wortes.

 

Lass über die anderen auch nochmal den Scan drüberlaufen, wenn du dort den selben Schädling findest oder auch einen anderen, ist wirklich der einzige Ausweg eine Neuinstallation, um die Server 100% sauber zu bekommen.

[bm2004 10]

hab ich,, alle Systeme sind sauber.... das komsiche ist ja auch, es wird nichts protokolliert in den Ereignisprotokollen, erst nachdem die Dienste weg sind und die anderen Dienste nichts mehr können.

 

Ich habe auf einem DC noch den WSUS laufen, den habe ich jetzt komplett deaktiviert, damit er mir nicht dazwischen funkt!!

 

Am Montag wurden am WSUS diverse EInstellungen und konfigurationen gemacht, was genau weis ich jedoch nciht!!

[Sunny61 773]

hab ich,, alle Systeme sind sauber.... das komsiche ist ja auch, es wird nichts protokolliert in den Ereignisprotokollen, erst nachdem die Dienste weg sind und die anderen Dienste nichts mehr können.

 

Dann greift der Trojaner wohl so um sich, was ja auch sein kann.

 

Ich habe auf einem DC noch den WSUS laufen, den habe ich jetzt komplett deaktiviert, damit er mir nicht dazwischen funkt!!

 

Am Montag wurden am WSUS diverse EInstellungen und konfigurationen gemacht, was genau weis ich jedoch nciht!!

 

Der WSUS kann am allerwenigsten dafür. Der bietet nur die Updates an, sonst macht der nichts.