Jump to content
Sign in to follow this  
oddysee

wbla oder normale shutdown?

Recommended Posts

Hallo. Habe folgendes Problem. Ich vermute das jemand meinen Reicher im Netzwerk runter Fährt (echt mutig Admins Rechner runter zu fahren) . Ich wollte wissen wer das macht. Weist einer wie ich das machen kann????

Das kann sein das ich den Virus abgefangen haben (wbla*) Aber bevor ich ihn neu installiere wollte ich sicher sein, dass dies in der Firma keine macht.

 

Ereignislog:

Quelle: LSASRV

Kategorie: SPNEGO (Vermittlung)

Ereigniskennung: 40961 (die nächste 40960

Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/ILANYSRV herstellen. Es war kein Authentifizierungsprotokoll verfügbar.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Share this post


Link to post

scan doch einfach mal nach dem blaster...

 

dann hast du gewissheit wenigstens gewissheit.

 

Hat doch jede namenhafe Anti-Viren butze ein eigenen scanner dafür -.-

 

 

mfg

raiko

Share this post


Link to post

Habe ich schon, aber was ist wenn Nortenantivirus ihn nicht erkennt??? Ich will wissen wie ich rauskriegen kann von welchem PC aus der Befehl ausgeführt wird wenn das nicht der Virus ist. :confused:

Share this post


Link to post

Hi!

 

Denke mal nach, wer kann sich auf Deinen Rechner einloggen!

 

Wer hat die Rechte.

 

Bist Du per DSL ständig in INET und kommt die Att. von dort?

 

Gibt es in der Firma überhaupt jemanden, dem Du zutraust Deinen PC zu hacken?

 

Günter

Share this post


Link to post

Ja 2 Miterbeiter. Wir haben Standleitung und auch DSL durch Proxy und Hardwarerouter geschützt. Ich will nicht rätseln wer das sein kann, sondern ich will wissen wer das ist, ich weis auch das es eine Möglichkeit gibt es rauszubekommen wer dieses Befehl ausführt. Ich habe das leider vergessen. :cry:

Share this post


Link to post

Hallo grizzly999, auf deine Antwort habe ich gewartet. Meldung kommt. Das steht „Ihre System wird in 30 sek herunter gefahren, bitte speichern Sie allen Anwendung ab. Bla bla bla…“ Ich kenne diese Progrämchen von der Schule. Das Problem ist, der Blastervirus verhält sich auch so. (NT Autoritätsfehler ) . Auf dem Server selbst ist kein Antivirus, weil darauf der Terminalserver läuft und Norten Antivirus läst sich auf Terminalserver nicht Installieren. Ist aber nicht gedacht, dass jemand von dem Server ins Internet geht oder sonstiges. Alle Arbeitsplatzrechner haben Antivirus (Corporate Edition) und ein Grient fungiert als Server.

 

grizzly nun was tun?????????? :confused:

 

Danke blub ich werde das unter VMware testen.

Share this post


Link to post

Bei dem Bild mit der Warnung und dem timer steht nichts, nehme ich an, sonst hättest du es gelesen. Dann dürfte essich nicht um das shutdown.exe aus dem Resource Kit handeln.

Ich denke, egal welches Tool es ist (wenn es überhaupt mit einem Tool remote gemacht wird), es kann in dem Fall nur ein Mitglied der lokalen Administratorengruppe tun, also z.B. auch eine Domänen-Admin. Ich tippe aber eher auf einen Wurm.

Ich würde in der lokalen Sicherheitsrichtlinie die erfolgreiche Überwachung folgender Ereignisse aktivieren: Systemeireignisse und auch Rechteverwendung.

 

Dann solltest du auf jeden Fall sehen, wer oder was es war.

 

grizzly999

Share this post


Link to post

Danke grizzly999, Du tippst also auch auf den Wurm, ich leider auch... (bitte nicht)..

 

shutdown kamm heute zweimal hintereinander. Danach habe ich die LAN Verbindung getrennt. 30min später aktiviert danach kamm nichts mehr. Ich aktiviere die logs wie Du sagst und warte noch bis Dienstag. Oder meinst Du ich soll lieber den Rechner sofort neu installieren???? Besser von Mitarbeiter ausgelacht zu sein als der Wurm sich verbreitet, oder??? Ich bin schließlich die, die Verantwortung trägt.

Share this post


Link to post

Ist schwierig zu entscheiden, aber du sagst, du hast überall Virenscanner drauf. Wenn sie aktuell sind, hätten sie Alarm geben müssen, sofern es ein Virus ist, der sich über das Netz ausbreitet. Würden sie ihn nicht erkennen (weil neuer Wurm) und er hätte sich ausgebreitet, dann wäre doch bestimmt schon ein anderer Rechner runtergefahren.

Ich persönlich sehe daher die Wurmgefahr nicht soo groß an, will sie aber nicht wegreden. Entscheiden musst du selber, das kann dir niemand abnehmen, aber ich würde mit einer Neuinstallation warten, zumindest bis es noch einmal vorkommt, dann das Log auswerten, um es genauer zu wissen.

 

Auf jeden Fall kann es nicht schaden , sich bei der Gelegenheit nochmals zu vergewissern, dass die Datensicherung fehlerfrei läuft ;)

 

Viel Glück

 

grizzly999

Share this post


Link to post

Hab schon *puch*, die lief zum glück. Achso Du meinst es wäre gut Gelegenheit Sicherungsbänder zu testen *grrrrrrrrr* :o) ... Ich warte bis

Dienstag.

 

Danke Dir. Du bist wie immer klasse. Und deine Antwort wie immer sehr hilfsreich.

 

Guten Nach grizzly

Share this post


Link to post

Ähm... shutdown.exe aus dem Resource Kit auf der Warnmeldung steht welche Rechner das Befehl ausführt??????? Bist Du sicher???? Ich dachte da steht das nicht. Ich führe unter VMware morgen shutdown.exe aus dem Resource Kit aus. *neugir*...

 

Aber jetzt gehe ich schlafen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...