buegi 10 Geschrieben 28. November 2005 Autor Melden Teilen Geschrieben 28. November 2005 [...] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTools\daemon.exe" -lang 1031 O4 - HKLM\..\Run: [Dimension4] C:\Programme\Dimension4\D4.exe O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://192.168.10.1:4343/officescan/console/ClientInstall/WinNTChk.cab O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://192.168.10.1:4343/officescan/console/ClientInstall/setupini.cab O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://192.168.10.1:4343/officescan/console/ClientInstall/setup.cab O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://192.168.10.1:4343/officescan/console/html/AtxEnc.cab O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://192.168.10.1:4343/officescan/console/ClientInstall/RemoveCtrl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128535529295 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128535721748 O16 - DPF: {8990AFAD-D352-42AC-A72F-A660BBF6E209} (OfficeScan Management-Konsole) - https://192.168.10.1:4343/officescan/console/html/AtxConsole.cab O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - https://192.168.10.1:4343/officescan/console/html/AtxPie.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.local O17 - HKLM\Software\..\Telephony: DomainName = xxx.local O17 - HKLM\System\CCS\Services\Tcpip\..\{953BCBAD-BBD3-4DA2-982D-644456F45C94}: NameServer = 192.168.10.1,192.168.10.254 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.local O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe [...] Zitieren Link zu diesem Kommentar
buegi 10 Geschrieben 28. November 2005 Autor Melden Teilen Geschrieben 28. November 2005 [...] O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe O23 - Service: Backup Exec Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: OfficeScan Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan\PCCSRV\web\service\ofcservice.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe Vielleicht kann mir da jemand weiter helfen. Zitieren Link zu diesem Kommentar
buegi 10 Geschrieben 28. November 2005 Autor Melden Teilen Geschrieben 28. November 2005 Also ich kapier das ned, wenns an irgendeinem Virus, Spywareprogramm oder Trojaner liegen würde, dann müßten ja die Rechner aus der anderen Domäne, bzw. mein Notebook zumindest genaus betroffen sein. Immerhin werkle ich da die ganze Zeit herum. Es sind aber definitiv NUR die Clients dieses DC betroffen und das auch definitiv seit ich die GPOs gefixt habe, ich bekam ja kurz vorher von einem der Clients noch die Update Meldungen. Probleme, die auf Malware zurückzuführen sind schließe ich mittlerweile aus. Ich komm nur ned dahinter, wo die Blockade der Microsoft Seiten liegt. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Hi buegi, da der ganze Thread ein bisserl unübersichtlich geworden ist habe ich mir nicht alles im Detail durchgelesen, also falls meine Fragen schon gestellt worden sind ... einfach überlesen. ;) Ist denn ein Proxy im Einsatz? Firewall? Content Filter? Wie schauts mit den Sicherheitszonen aus? Wie wurde der Internet-Explorer in der Domäne konfiguriert: Per Policy, Script, IEAK oder manuell? LG Gadget Zitieren Link zu diesem Kommentar
buegi 10 Geschrieben 28. November 2005 Autor Melden Teilen Geschrieben 28. November 2005 Hi buegi, da der ganze Thread ein bisserl unübersichtlich geworden ist habe ich mir nicht alles im Detail durchgelesen, also falls meine Fragen schon gestellt worden sind ... einfach überlesen. ;) Ist denn ein Proxy im Einsatz? Firewall? Content Filter? Wie schauts mit den Sicherheitszonen aus? Wie wurde der Internet-Explorer in der Domäne konfiguriert: Per Policy, Script, IEAK oder manuell? LG Gadget - kein Proxy im Einsatz - Firewall (Cisco PIX), aber dahinter sind etwa 170 Clients in 5 verschiedenen Filialen (IP-Pools), dieser DC läuft "nebenbei" in unserer Hauptfiliale mit, da einige User aufgrund Ihrer Tätigkeit erweiterte Rechte brauchen und wir diese nicht in die Hauptdomain nehmen wollen, da hats schon gröbere Probleme gegeben. Aber zurück zur PIX, da gelten diesselben Bestimmungen für alle - Content Filter in diesem Fall auch nicht - Sicherheitszonen sind in diesem Fall denke ich nicht Relevant, da IE, Mozilla und Firefox betroffen sind. - In diesem Fall wirken auch keine Policies, Scripts usw. Die Domäne ist eigentlich fast zur "Narrenfreiheit" der User konfiguriert. Dummerweise funktionieren nur die microsoft Seiten seit kutzem nicht mehr. Angefangen hats mit dem Server, mein Kollege hat unabsichtlich den policies Ordner gelöscht, ich hab die dann mit dcgpofix wieder erstellt. Seit dem funktionieren aber keine microsoft Seiten mehr, weeder update, noch sonst was. Wären die Updates nicht notwendig, wär mir das egal. Wie gesagt, unsere Hauptdomain mit 4 DCs, Exchange usw. funzt einwandfrei, nur in dieser Domäne für unsere "Techniker", die Softwareinstallationsrechte usw., usw. brauchen, werden keine MS Seiten mehr geöffnet, alles andere funzt einwandfrei. Sämtliche Spyware und Virenscanner melden auch keine Probleme. Ich kann das ganze echt nur mit der Reparatur der GPOs in Verbindung bringen, da genau zu dem Zeitpunkt das Problem aufgetreten ist! Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Was sagt denn der Syslog vom PIX, siehst du dort irgendwelchen Traffic von den betroffenen Clients wenn sie MS Seiten aufrufen wollen? EDIT: Sehe gerade, dass du OfficeScanNT im Einsatz hast, hast du die Enterprise Client Firewall installiert? LG Gadget Zitieren Link zu diesem Kommentar
buegi 10 Geschrieben 28. November 2005 Autor Melden Teilen Geschrieben 28. November 2005 Was sagt denn der Syslog vom PIX, siehst du dort irgendwelchen Traffic von den betroffenen Clients wenn sie MS Seiten aufrufen wollen? EDIT: Sehe gerade, dass du OfficeScanNT im Einsatz hast, hast du die Enterprise Client Firewall installiert? LG Gadget Nein, Desktop Virenschutz und Damage Cleanup sind installiert. Auf dem Laptop hier hab ich die Firewall auch drauf, sehe aber keigentlich keinen Unterschied. Lt. PIX ruft keiner Microsoft Seiten auf, d.h. keine Infos auf irgendwelche Versuche dahin zu kommen zu sehen. Wie gesagt, es geht auch viel zu schnell, dass der IE anzeigt, er könne die Seiten nicht anzeigen. Normalerweise dauerts ja 120s bis er meint, er kann die Seite nicht anzeigen. In diesem Fall zeigt ers nach 5s in etwa an. Alle anderen Seiten funktionieren aber. Is echt sehr komisch die Sache, Virus is auch keiner drauf, das hätt ich spätestens nach dem 2 Virenscanner und dem 4 Spyware/Malware Scanner bemerkt. Außerdem müßte sich das wie eine Epidemie ausbreiten, wenns schon mal im Netz drin is. Tuts aber nicht, betrifft nur die eine Domäne und zum Glück nur MS Seiten! Dennoch brauch ich die Updates, die kommen werden... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.