morpheus 10 Geschrieben 24. Mai 2004 Melden Teilen Geschrieben 24. Mai 2004 Hallo, seid Freitag habe ich auf mehreren System (W2k Prof. + W2k Srv) immer wieder die gleichen Fehler. Alle Systeme sind mit SP4 ausgestattet. Ich vermute das es sich um einen Virus handelt, jedoch haben alle Virusscanns die ich durchgeführt habe nichts gebracht. Vielleicht hat jemand von Euch die gleichen Symptome in seinem LAN. - Anmeldung dauert lange (ca. 1-2 Minuten) - Kopieren / Einfügen nicht möglich - Eventlogeintrag im Systemprotokoll mit ID 7031 (RPC-Dienst wurde beendet) - erst nach Reboot einsehbar - Eventlogeintrag im Anwendungsprotokoll mit ID 4097 (COM+Ereignissystem) - erst nach Reboot einsehbar - linksbündige, in einer Reihe untereinander aufgereihte Symbole in Systemsteuerung - nach erfolgtem Neustart wieder voll funktionsfähiges System Gruß Zitieren Link zu diesem Kommentar
menac 10 Geschrieben 24. Mai 2004 Melden Teilen Geschrieben 24. Mai 2004 schau mal mit dem taskmanager was sich alles startet und das was du nicht kjennst beende bzw schau mal in da regedit HKLM/software/microsoft/windows/currentversion/run Zitieren Link zu diesem Kommentar
morpheus 10 Geschrieben 24. Mai 2004 Autor Melden Teilen Geschrieben 24. Mai 2004 Hallo, sieht alles normal aus. Zitieren Link zu diesem Kommentar
Damian 1.402 Geschrieben 24. Mai 2004 Melden Teilen Geschrieben 24. Mai 2004 Hi morpheus. Schon Tools wie Spybot, Ad-Aware und dergl. über das System gescheucht? Virenscanner finden nicht jeden Müll. Damian Zitieren Link zu diesem Kommentar
bue 10 Geschrieben 24. Mai 2004 Melden Teilen Geschrieben 24. Mai 2004 Hallo morpheus. habe dasselbe Problem auf einem w2k-Cluster. Bei mir läuft immer der com+ dienst voll. Das erstaunliche ist, daß im eventlog der Hinweis kommt, daß man sich mit MS in Verbindung setzten sollo zwecks fehleranalyse. werde das eventlog an unsere haus und hof firma mailen. haben das system vor knapp 1 1/2 Jahren bei denen gekauft. fällt also meiner meinung nach unter die garantiebestimmungen. wenn ich etwas herausbekomme, melde ich mich auf diesem wege. Bue :wink2: Zitieren Link zu diesem Kommentar
morpheus 10 Geschrieben 24. Mai 2004 Autor Melden Teilen Geschrieben 24. Mai 2004 Hallo, ich habe folgende Tools drüber laufen lassen: - Stinger - SpyBot - BlastsFX - Fixblast - FXNovarg - Avprtool Leider, oder vielleicht zum Glück, alle ohne Erfolg. Gruß Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 24. Mai 2004 Melden Teilen Geschrieben 24. Mai 2004 hallo alle... denkt dran... gewisse virus kann man nur im abgesicherten modus zuverlässig erkennen ! der netsky.d ist zum beispiel so ein fall...... probier das mal zuerst.... abgesicherter modus aufstarten, virenscanner laufen lassen... ergebniss bitte wieder posten. gruss chris Zitieren Link zu diesem Kommentar
firehawk 10 Geschrieben 24. Mai 2004 Melden Teilen Geschrieben 24. Mai 2004 HAllo Leute haben hier dasselbe Problem. Haben ebenfalls Fehler 4097 und zusätzlich ein ständiges an und abschalten der lan-verbindung. Es konmt ständig die Meldung ... ein netzwerkkable wurde entfernt. Die anderen Anzeichen haben wir ebenfalls. Haben versucht in der registry den eintrag unter ...\run teekids.exe auszuschalten. Evtl hilft euch das weiter. Unser Problem ist leider noch nicht gelöst. Warten auf euer Antworten. Vielen Dank für eure Mühen MfG Firehawk Zitieren Link zu diesem Kommentar
laurasan 10 Geschrieben 24. Mai 2004 Melden Teilen Geschrieben 24. Mai 2004 Hallo, habt Ihr schon ne Bootfähige Antivirus CD probiert, also damit habe ich jedenfalls alles getötet, ich glaube in der letzten PC-Professionell son Teil gesehen zu haben, meine ist Marke eigenbau. MfG Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 24. Mai 2004 Melden Teilen Geschrieben 24. Mai 2004 hi, @firehawk teekids.exe ist der blaster wurm! [ironie]der patch dagegen ist brandneu[/ironie] man, patcht eure systeme... gruss, gr@mlin Zitieren Link zu diesem Kommentar
bue 10 Geschrieben 26. Mai 2004 Melden Teilen Geschrieben 26. Mai 2004 Hi @gr@mlin habe auf den Systemen gescannt und auch in der reg nachgesehen. Den Blaster habe ich (gottseidank) nicht drauf. Das Phänomen bleibt aber. :suspect: Zitieren Link zu diesem Kommentar
morpheus 10 Geschrieben 26. Mai 2004 Autor Melden Teilen Geschrieben 26. Mai 2004 Hallo, die scanns im "Abgesicherten Modus" haben bei mir auch nichts gefunden. Gruß Zitieren Link zu diesem Kommentar
lemeid 11 Geschrieben 26. Mai 2004 Melden Teilen Geschrieben 26. Mai 2004 Hallo, lass mich raten, Du bekommst auch die Meldung "svchost.exe hat blabla..." oder ? Jedenfalls sind das genau die Probleme die Auftreten wenn dieser : http://download.t-online.de/dl_zwischen.phtml?progid=21321&progname=Blaster+Worm%3A+Critical+Security+Patch+f%26uuml%3Br+Windows+2000+ Patch NICHT installiert ist.... Stefan Zitieren Link zu diesem Kommentar
morpheus 10 Geschrieben 27. Mai 2004 Autor Melden Teilen Geschrieben 27. Mai 2004 Hallo, svchost-Meldungen sind bei mir nicht vorhanden. Gruß Zitieren Link zu diesem Kommentar
assy 10 Geschrieben 27. Mai 2004 Melden Teilen Geschrieben 27. Mai 2004 Der Blaster ist kein Virus sondern ein Wurm, kann es sein das es irgendwo eine Manschine gibt die keinen Virenscanner hat? Denn der Wurm versucht von aussen Zugriffsverletzungen weshalb die Dienste beendet werden (wenn ich das jetzt alles richtig in erinnerung habe). Das heisst auf den Betroffenen Maschinen findest du keinen Virus oder Wurm. Alternativ aber sehr viel Arbeit, nimm einen Netzwerkmonitor (Sniffer) und beobachte mal den Netzwerkverkehr auf einenr betroffenen maschine, dann siehst du von wo die anfrage kommt. Erfordert aber ne menge TCP/IP kenntnisse und viel Zeit. Gruss Achim Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.