Jump to content

wbla oder normale shutdown?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo. Habe folgendes Problem. Ich vermute das jemand meinen Reicher im Netzwerk runter Fährt (echt mutig Admins Rechner runter zu fahren) . Ich wollte wissen wer das macht. Weist einer wie ich das machen kann????

Das kann sein das ich den Virus abgefangen haben (wbla*) Aber bevor ich ihn neu installiere wollte ich sicher sein, dass dies in der Firma keine macht.

 

Ereignislog:

Quelle: LSASRV

Kategorie: SPNEGO (Vermittlung)

Ereigniskennung: 40961 (die nächste 40960

Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/ILANYSRV herstellen. Es war kein Authentifizierungsprotokoll verfügbar.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Link zu diesem Kommentar

Hallo grizzly999, auf deine Antwort habe ich gewartet. Meldung kommt. Das steht „Ihre System wird in 30 sek herunter gefahren, bitte speichern Sie allen Anwendung ab. Bla bla bla…“ Ich kenne diese Progrämchen von der Schule. Das Problem ist, der Blastervirus verhält sich auch so. (NT Autoritätsfehler ) . Auf dem Server selbst ist kein Antivirus, weil darauf der Terminalserver läuft und Norten Antivirus läst sich auf Terminalserver nicht Installieren. Ist aber nicht gedacht, dass jemand von dem Server ins Internet geht oder sonstiges. Alle Arbeitsplatzrechner haben Antivirus (Corporate Edition) und ein Grient fungiert als Server.

 

grizzly nun was tun?????????? :confused:

 

Danke blub ich werde das unter VMware testen.

Link zu diesem Kommentar

Bei dem Bild mit der Warnung und dem timer steht nichts, nehme ich an, sonst hättest du es gelesen. Dann dürfte essich nicht um das shutdown.exe aus dem Resource Kit handeln.

Ich denke, egal welches Tool es ist (wenn es überhaupt mit einem Tool remote gemacht wird), es kann in dem Fall nur ein Mitglied der lokalen Administratorengruppe tun, also z.B. auch eine Domänen-Admin. Ich tippe aber eher auf einen Wurm.

Ich würde in der lokalen Sicherheitsrichtlinie die erfolgreiche Überwachung folgender Ereignisse aktivieren: Systemeireignisse und auch Rechteverwendung.

 

Dann solltest du auf jeden Fall sehen, wer oder was es war.

 

grizzly999

Link zu diesem Kommentar

Danke grizzly999, Du tippst also auch auf den Wurm, ich leider auch... (bitte nicht)..

 

shutdown kamm heute zweimal hintereinander. Danach habe ich die LAN Verbindung getrennt. 30min später aktiviert danach kamm nichts mehr. Ich aktiviere die logs wie Du sagst und warte noch bis Dienstag. Oder meinst Du ich soll lieber den Rechner sofort neu installieren???? Besser von Mitarbeiter ausgelacht zu sein als der Wurm sich verbreitet, oder??? Ich bin schließlich die, die Verantwortung trägt.

Link zu diesem Kommentar

Ist schwierig zu entscheiden, aber du sagst, du hast überall Virenscanner drauf. Wenn sie aktuell sind, hätten sie Alarm geben müssen, sofern es ein Virus ist, der sich über das Netz ausbreitet. Würden sie ihn nicht erkennen (weil neuer Wurm) und er hätte sich ausgebreitet, dann wäre doch bestimmt schon ein anderer Rechner runtergefahren.

Ich persönlich sehe daher die Wurmgefahr nicht soo groß an, will sie aber nicht wegreden. Entscheiden musst du selber, das kann dir niemand abnehmen, aber ich würde mit einer Neuinstallation warten, zumindest bis es noch einmal vorkommt, dann das Log auswerten, um es genauer zu wissen.

 

Auf jeden Fall kann es nicht schaden , sich bei der Gelegenheit nochmals zu vergewissern, dass die Datensicherung fehlerfrei läuft ;)

 

Viel Glück

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...