Edelmann 10 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Hi alle zusammen, ich habe ein furchtbares Problem auf einem unserer Server: Wenn man ,logischerweise speziell in der Mittagspause, eine bestimmte Leerlaufzeit sind die betroffenen Sitzungen nicht mehr für den Benutzer zugänglich und ich muss dieses per Administration abmelden. Symptome: Schwarzer Bildschirm und keinerlei Reaktion in der Sitzung! In der Ereignisliste kam folgendes Ereignis: Typ: Fehler Quelle: Service Control Manager Kategorie: Keine Ereigniskennung: 7011 Benutzer: Nicht zutreffend Computer: "Die Bezeichnung des betroffenen Servers" Beschreibung: Zeitüberschreitung (60000 ms) beim Warten auf eine Tansaktionsrückmeldung von Dienst comman. Meine Frage: Wie behebe ich das? Angaben: Win Server 2003R2 SP2 Terminal Server HP pro liant Dl380G4 Ich kann am wenigsten mit dem genannten Dienst anfangen... Bitte um Hilfe Danke
zahni 587 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Schau mal in der Registry nach, wozu die Dienst "comman" gehört: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Ich kann mir darauf keinen Reim machen. -Zahni
Edelmann 10 Geschrieben 4. Februar 2009 Autor Melden Geschrieben 4. Februar 2009 Hi, danke für die schnelle Antwort! Ich habe folgende Pfade gefunden: ...\CurrentControlSet\Services\comman ...\CurrentControlSet\Enum\Root\LEGACY_COMMAN\0000\Control ...\CurrentControlSet\Enum\Root\LEGACY_COMMAN\0000 ...\CurrentControlSet003\Services\comman ...\CurrentControlSet003\Enum\Root\LEGACY_COMMAN\0000 ...\CurrentControlSet001\Services\comman ...\CurrentControlSet001\Enum\Root\LEGACY_COMMAN\0000\Control ...\CurrentControlSet\Enum\Root\LEGACY_COMMAN\0000 UND ein außenseiter^^: ...\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\comman Zusätzlich: Wir haben das Problem jetzt auch auf einem anderen Server mit folgendem Dienst "ipreg80" Aufgefallen ist mir, dass dieses Ereignis erst 5-6 Minuten nachdem es sich aufhängt angibt...
zahni 587 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Ok, ich stelle die Frage mal anders. Was steht denn da in der Registry unter "ImagePath" ? Vermutlich gehört beides zu iener mir unbekannten Software, die nicht richtig funktioniert.
olc 18 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Hi Edelmann, sind die Systeme auf einem aktuellen Hotfix Level und ist ein (aktueller) Virenscanner installiert? Klingt mir ein wenig nach zufällig erzeugtem Dienstnamen, so wie es auch einige Malware tut... Viele Grüße olc
Edelmann 10 Geschrieben 4. Februar 2009 Autor Melden Geschrieben 4. Februar 2009 Das läuft ja wie geschmiert hier^^ @olc: aktueller hotfix (WSUS) ist installiert. aktuelle Virensoftware ist McAffee aktuelle version Dieses schließe ich mal grob aus. @zahni: ich bin gerade am suchen... antwort wird ungefähr in 5-10 minuten kommen. Nebenbei: Der Physikalische Speicher auf den Servern geht zurzeit dermaßen in die Knie, dass Mitarbeiter anrufen und klagen. kann dies eine Rolle spielen? – Da gibts verdammt viel "imagepath"... können wir das nicht irgendwie beschränken?
zahni 587 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Ok genauer: CurrentControlSet\Services\comman und da (rechts) ImagePath -Zahni
Edelmann 10 Geschrieben 4. Februar 2009 Autor Melden Geschrieben 4. Februar 2009 Ah ok! Da steht: C:\WINDOWS\system32\comman.exe
zahni 587 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Hm, der Verdacht liegt wirklich nahe, dass es sich um ein Virus oder Trojaner handelt. Es sei denn Du kannst Sie irgendeiner Software zuordnen, die Su auf den Servern installiert hast. Lade die Datei die Datei (comman.exe) doch mal hier zum Tets hoch: Submit your sample Wennn es so sein sollte, ist fürchte ic, eine Neuinstallation angesagt. Mal davon abgesehen, dass die User nicht unbedingt auf einem normalen Server arbeiten sollten, dürfen die auch keine Adminrechte haben. PS: Welcher Acrobat-Reader ist installiert (exakte Version). Alles vor der Version 8.1.3 enthält einen Exploit, der z.Z. aktiv ausgenutzt wird. -Zahni
Edelmann 10 Geschrieben 4. Februar 2009 Autor Melden Geschrieben 4. Februar 2009 Es ist die Version 9.0.0 vom acrobat installiert. Die User haben glücklicherweise ;) keine adminrechte... UND die datei prüfe ich jetzt mal – Der Test sagt mir das Ergebnis "UNDER ANALYSIS" was zum ...??? Edit: Achso... Ich war etwas verwirrt, da die das schon als "Ergebnis" bezeichnet haben... Ich bekam eben ne mail und warte jetzt mal melde mich dann
Edelmann 10 Geschrieben 6. Februar 2009 Autor Melden Geschrieben 6. Februar 2009 Damn it!!! Das war ein neuer Trojaner... Ich werde jetzt mal diese ipreg80 einschicken...
zahni 587 Geschrieben 6. Februar 2009 Melden Geschrieben 6. Februar 2009 Na, dann wünsche ich Dir viel Erfolg bei der Neuinstallation. Bei der Gelegenheit solltest Du Dein Sicherheitskonzept überdenken und Die überlegen, über welchen Weg der Trojaner den Weg in die Syseme gefunden hat. Eine Idee, wenn auch nicht zuverlässig: Der Zeitstempel der EXE'en nehmen und schauen, welche Dateien einen ähnlichen Zeitstempel haben. Z.B. im Browser-Cache, oder so. -Zahni
Edelmann 10 Geschrieben 6. Februar 2009 Autor Melden Geschrieben 6. Februar 2009 Diese ipreg80: Gleiches Resultat: "Malware"...
Edelmann 10 Geschrieben 6. Februar 2009 Autor Melden Geschrieben 6. Februar 2009 Wir haben mit aktuellem Virenscanner durchsucht und gelöscht... Passt Vielen Dank für die Mühe Zahni & Co Ich werde euch weiterempfehelen =)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden