estebu 10 Posted September 15, 2004 Report Share Posted September 15, 2004 Hallo Kollegen, ich weiß zwar nicht, ob ich hier im Forum richtig bin, aber seit gestern haben wir in unserem Netzwerk folgendes Problem, was nur windows2000 clients und den windows2000-server betrifft: Die Rechner fahren in unregelmäßigen Abständen selbstständig herunter, sobald sie am Netz angeschlossen sind. Habe von Symantec den FixSober drüberlaufen lassen: keine Funde. Habe jetzt am Server den CW-Shredder laufen lassen, der fand eine Datei namens "psloglist.exe" und meinte, daß diese Datei ein Random-Namen von "CWS.Control.4" (Trojaner) sein könnte. Nun bin ich mir nicht sicher, ob sie es ist, oder ob sie zum System gehört. Was könnte denn noch das Problem mit den Rechnern sein? Ist ein neuer Wurm im Umlauf? Unser Mcafee (neueste DAT) findet beim scannen nichts! Vielleicht kann mir jemand Auskunft geben oder ein paar hilfreiche Tipps? Danke! E S T E B U Quote Link to comment
phoenixcp 10 Posted September 15, 2004 Report Share Posted September 15, 2004 Erstmal ganz ruhig bleiben. :) 1.Tipp: Such mal per Google nach der Stinger.exe. Das ist ein Stand-Alone-Virenscanner. Dann nimm dir eine der Kisten und scann die im abgesicherten Modus damit und schau was dabei rauskommt. Frage: Kommt vorm runterfahren ne Meldung? So in der Art das das System durch LSASS runtergefahren wird und das ganze in 60 Sekunden passiert? Gruss Carsten Quote Link to comment
GerhardG 10 Posted September 15, 2004 Report Share Posted September 15, 2004 alle aktuellen windows update patches installiert? insbesondere gegen msblaster und sasser? Quote Link to comment
estebu 10 Posted September 15, 2004 Author Report Share Posted September 15, 2004 Hallo Carsten, ja genau, diese meldung kommt (LSASS & 60 sekunden). Weißt DU was darüber? Quote Link to comment
phoenixcp 10 Posted September 15, 2004 Report Share Posted September 15, 2004 Dann hast du dir nen SASSER-Wurm eingefangen. Abhilfe: SP 4 für W2k einspielen und vorher die Kisten reinigen. Ansonsten findet du hier Hilfe: http://www.microsoft.com/security/incident/sasser.mspx Gruss und viel Erfolg Carsten Quote Link to comment
GerhardG 10 Posted September 15, 2004 Report Share Posted September 15, 2004 klingt nach sasser http://vil.nai.com/vil/content/v_125007.htm der virenscanner kann die verseuchung des pc's verhindern, aber nicht den neustart. hier hilft nur das einspielen des aktuellen patches von microsoft http://www.microsoft.com/downloads/details.aspx?FamilyID=0692c27e-f63a-414c-b3eb-d2342fbb6c00&displaylang=en Quote Link to comment
estebu 10 Posted September 15, 2004 Author Report Share Posted September 15, 2004 aber der virenscanner hat nichtmal eine warnung gebracht!! wie gegt DAS denn? Quote Link to comment
CaIvin 10 Posted September 15, 2004 Report Share Posted September 15, 2004 Das liegt daran, dass Du den Wurm nicht hast! Logisch, denn welcher Wurm (Würmer wollen sich verbreiten!) wird seinen Wirt runterfahren!? Das Problem liegt an den Routinen des Wurms. Er hat welche für XP und welche für 2k. Nimmt er die falsche Routine, stürzt der lsass beim Angriff durch den Wurm ab. Logische Konsequenz, der Wurm wollte drauf, falsche Routine genutzt, Dienst abgestürzt, Rechner runtergefahren -> kein Wurm drauf. Was dagegen nützt ist patchen, patchen und als drittes: patchen ;-) Gruß CaIvin Quote Link to comment
estebu 10 Posted September 15, 2004 Author Report Share Posted September 15, 2004 ich danke euch. werde alles patchen und dann weitersehen... Quote Link to comment
Hansi 10 Posted September 15, 2004 Report Share Posted September 15, 2004 Jetzt noch nen Saaser einfangen, :shock: :shock: # Wer issen bei euch der Admin? hihi! :D Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.