Noch ein Ereignislogeintrag...

[cblnf 10]

Folgender Eintrag macht mir (auch) Sorgen:

Ereignistyp: Fehler

Ereignisquelle: Service Control Manager

Ereigniskategorie: Keine

Ereigniskennung: 7023

Datum: 18.01.2011

Zeit: 10:27:46

Benutzer: Nicht zutreffend

Computer: Servername

Beschreibung:

Der Dienst "Boot Security" wurde mit folgendem Fehler beendet:

Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

 

Wenn ich den Dienst manuell starten möchte, erhalte ich folgende Meldung:

Der Dienst "Boot Security" auf "Lokaler Computer" konnte nicht gestartet werden.

Fehler 32: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

 

Habe mal die Parameter des Dienstes angeschaut. Dort steht als Pfad zur ausführbaren Datei:

C:\WINDOWS\system32\svchost.exe -k netsvcs

Das schaut nicht gut aus...

 

Kennt jemand von Euch das Problem oder kann mir einen Tipp geben?

Bin für jeden Wink dankbar...

 

Viele Grüße

cblnf

[NilsK 2.781]

Moin,

 

was soll denn "Boot Security" für ein Dienst sein? Sagt mir grad nix.

 

Gruß, Nils

[cblnf 10]

Hallo Nils,

danke für Deine schnelle Antwort.

 

Bin nun etwas schlauer:

Du kannst den Dienst nicht unbedingt kennen, da es sich nicht um einen Microsoft Serverdienst, sondern um einen von einem Schädling eingerichteten Dienst handelt.

 

Irgend jemand (wer weiß, wer...) hat temporär unseren Virenschutz auf dem Server ausgeschaltet.

Somit konnte sich Confic*er (bei Kaspersky "Kido.h") auf dem Server aktivieren. Ich habe nun mit einem guten Tool (KAV Kido remover) den Confic*er entfernt und unseren Virenschutz neu gestartet. Nun läuft alles wieder sauber.

[NilsK 2.781]

Moin,

 

wenn ein Computer einen Virenbefall hatte, wird er komplett platt gemacht und neu installiert. Punkt.

 

Du kannst der Maschine sonst nicht trauen.

 

Gruß, Nils

... der sich sowas schon gedacht hat

[marka 584]

Full ACK!

[cblnf 10]

Sehe ich genauso.

 

Es handelt sich bei dem befallenen System um einen Fileserver.

Bin gerade dabei, eine neue virtuelle Maschine zu erstellen.

Ich werde die Berechtigungsstrukturen und Freigaben auf dem neuen Server dann entsprechend nachbauen (gut, dass alles sauber dokumentiert ist!) und die Daten nach einem Scan dann via Robocopy migrieren.

[NilsK 2.781]

Moin,

 

mit robocopy kannst du die Berechtigungen auch einfach mitkopieren, wenn du direkt kopierst.

 

Stelle sicher, dass die Dateien vor der Migration sauber sind! Noch besser wäre es, wenn du die Dateien von einem separaten Datenträger kopierst, denn dann ist das nicht-verrauenswürdige System nicht mehr beteiligt.

 

Gruß, Nils

[cblnf 10]

Danke für den Hinweis, Nils, genau deswegen möchte ich ja Robocopy verwenden.

 

Das System wurde nun bereinigt.

Dazu haben wir mehrere Virenscanner verwendet, die von CD starten:

Kaspersky Rescue CD (unser Standard Virenschutzsystem), Desinfec't von der c't sowie ein Windows 7 PE (auch aus der c't) mit GData und Avira.

 

Alle Virenscans haben keine Infektion mehr feststellen können.

Nichtsdestotrotz werden wir morgen die Daten auf das neue, saubere virtuelle System migrieren.

Das hat nebenbei den charmanten Nebeneffekt, dass wir dort mehr Platz haben.

Das war daher eh geplant, nur nicht sooo schnell ;)

 

Schönen Feierabend! Und Danke!