estebu 10 Geschrieben 15. September 2004 Melden Teilen Geschrieben 15. September 2004 Hallo Kollegen, ich weiß zwar nicht, ob ich hier im Forum richtig bin, aber seit gestern haben wir in unserem Netzwerk folgendes Problem, was nur windows2000 clients und den windows2000-server betrifft: Die Rechner fahren in unregelmäßigen Abständen selbstständig herunter, sobald sie am Netz angeschlossen sind. Habe von Symantec den FixSober drüberlaufen lassen: keine Funde. Habe jetzt am Server den CW-Shredder laufen lassen, der fand eine Datei namens "psloglist.exe" und meinte, daß diese Datei ein Random-Namen von "CWS.Control.4" (Trojaner) sein könnte. Nun bin ich mir nicht sicher, ob sie es ist, oder ob sie zum System gehört. Was könnte denn noch das Problem mit den Rechnern sein? Ist ein neuer Wurm im Umlauf? Unser Mcafee (neueste DAT) findet beim scannen nichts! Vielleicht kann mir jemand Auskunft geben oder ein paar hilfreiche Tipps? Danke! E S T E B U Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 15. September 2004 Melden Teilen Geschrieben 15. September 2004 Erstmal ganz ruhig bleiben. :) 1.Tipp: Such mal per Google nach der Stinger.exe. Das ist ein Stand-Alone-Virenscanner. Dann nimm dir eine der Kisten und scann die im abgesicherten Modus damit und schau was dabei rauskommt. Frage: Kommt vorm runterfahren ne Meldung? So in der Art das das System durch LSASS runtergefahren wird und das ganze in 60 Sekunden passiert? Gruss Carsten Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 15. September 2004 Melden Teilen Geschrieben 15. September 2004 alle aktuellen windows update patches installiert? insbesondere gegen msblaster und sasser? Zitieren Link zu diesem Kommentar
estebu 10 Geschrieben 15. September 2004 Autor Melden Teilen Geschrieben 15. September 2004 Hallo Carsten, ja genau, diese meldung kommt (LSASS & 60 sekunden). Weißt DU was darüber? Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 15. September 2004 Melden Teilen Geschrieben 15. September 2004 Dann hast du dir nen SASSER-Wurm eingefangen. Abhilfe: SP 4 für W2k einspielen und vorher die Kisten reinigen. Ansonsten findet du hier Hilfe: http://www.microsoft.com/security/incident/sasser.mspx Gruss und viel Erfolg Carsten Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 15. September 2004 Melden Teilen Geschrieben 15. September 2004 klingt nach sasser http://vil.nai.com/vil/content/v_125007.htm der virenscanner kann die verseuchung des pc's verhindern, aber nicht den neustart. hier hilft nur das einspielen des aktuellen patches von microsoft http://www.microsoft.com/downloads/details.aspx?FamilyID=0692c27e-f63a-414c-b3eb-d2342fbb6c00&displaylang=en Zitieren Link zu diesem Kommentar
estebu 10 Geschrieben 15. September 2004 Autor Melden Teilen Geschrieben 15. September 2004 aber der virenscanner hat nichtmal eine warnung gebracht!! wie gegt DAS denn? Zitieren Link zu diesem Kommentar
CaIvin 10 Geschrieben 15. September 2004 Melden Teilen Geschrieben 15. September 2004 Das liegt daran, dass Du den Wurm nicht hast! Logisch, denn welcher Wurm (Würmer wollen sich verbreiten!) wird seinen Wirt runterfahren!? Das Problem liegt an den Routinen des Wurms. Er hat welche für XP und welche für 2k. Nimmt er die falsche Routine, stürzt der lsass beim Angriff durch den Wurm ab. Logische Konsequenz, der Wurm wollte drauf, falsche Routine genutzt, Dienst abgestürzt, Rechner runtergefahren -> kein Wurm drauf. Was dagegen nützt ist patchen, patchen und als drittes: patchen ;-) Gruß CaIvin Zitieren Link zu diesem Kommentar
estebu 10 Geschrieben 15. September 2004 Autor Melden Teilen Geschrieben 15. September 2004 ich danke euch. werde alles patchen und dann weitersehen... Zitieren Link zu diesem Kommentar
Hansi 10 Geschrieben 15. September 2004 Melden Teilen Geschrieben 15. September 2004 Jetzt noch nen Saaser einfangen, :shock: :shock: # Wer issen bei euch der Admin? hihi! :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.