wbla oder normale shutdown?

[oddysee 10]

Hallo. Habe folgendes Problem. Ich vermute das jemand meinen Reicher im Netzwerk runter Fährt (echt mutig Admins Rechner runter zu fahren) . Ich wollte wissen wer das macht. Weist einer wie ich das machen kann????

Das kann sein das ich den Virus abgefangen haben (wbla*) Aber bevor ich ihn neu installiere wollte ich sicher sein, dass dies in der Firma keine macht.

 

Ereignislog:

Quelle: LSASRV

Kategorie: SPNEGO (Vermittlung)

Ereigniskennung: 40961 (die nächste 40960

Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server cifs/ILANYSRV herstellen. Es war kein Authentifizierungsprotokoll verfügbar.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

[raiko 10]

scan doch einfach mal nach dem blaster...

 

dann hast du gewissheit wenigstens gewissheit.

 

Hat doch jede namenhafe Anti-Viren butze ein eigenen scanner dafür -.-

 

 

mfg

raiko

[oddysee 10]

Habe ich schon, aber was ist wenn Nortenantivirus ihn nicht erkennt??? Ich will wissen wie ich rauskriegen kann von welchem PC aus der Befehl ausgeführt wird wenn das nicht der Virus ist.

[günterf 45]

Hi!

 

Denke mal nach, wer kann sich auf Deinen Rechner einloggen!

 

Wer hat die Rechte.

 

Bist Du per DSL ständig in INET und kommt die Att. von dort?

 

Gibt es in der Firma überhaupt jemanden, dem Du zutraust Deinen PC zu hacken?

 

Günter

[oddysee 10]

Ja 2 Miterbeiter. Wir haben Standleitung und auch DSL durch Proxy und Hardwarerouter geschützt. Ich will nicht rätseln wer das sein kann, sondern ich will wissen wer das ist, ich weis auch das es eine Möglichkeit gibt es rauszubekommen wer dieses Befehl ausführt. Ich habe das leider vergessen.

[grizzly999 11]

Kommt denn irgendeine Meldung oder ein Fenster, wenn der Rechner herunterfährt, oder fährt er einfach so runter?

 

grizzly999

[blub 115]

Hi,

Hol dir die kerio Personal firewall http://www.kerio.com . Die ist Free und einfach zu bedienen. Dann kannst du jeden Zugriff auf deinen Rechner mitloggen und/oder blockieren

cu

blub

[oddysee 10]

Hallo grizzly999, auf deine Antwort habe ich gewartet. Meldung kommt. Das steht „Ihre System wird in 30 sek herunter gefahren, bitte speichern Sie allen Anwendung ab. Bla bla bla…“ Ich kenne diese Progrämchen von der Schule. Das Problem ist, der Blastervirus verhält sich auch so. (NT Autoritätsfehler ) . Auf dem Server selbst ist kein Antivirus, weil darauf der Terminalserver läuft und Norten Antivirus läst sich auf Terminalserver nicht Installieren. Ist aber nicht gedacht, dass jemand von dem Server ins Internet geht oder sonstiges. Alle Arbeitsplatzrechner haben Antivirus (Corporate Edition) und ein Grient fungiert als Server.

 

grizzly nun was tun??????????

 

Danke blub ich werde das unter VMware testen.

[grizzly999 11]

Bei dem Bild mit der Warnung und dem timer steht nichts, nehme ich an, sonst hättest du es gelesen. Dann dürfte essich nicht um das shutdown.exe aus dem Resource Kit handeln.

Ich denke, egal welches Tool es ist (wenn es überhaupt mit einem Tool remote gemacht wird), es kann in dem Fall nur ein Mitglied der lokalen Administratorengruppe tun, also z.B. auch eine Domänen-Admin. Ich tippe aber eher auf einen Wurm.

Ich würde in der lokalen Sicherheitsrichtlinie die erfolgreiche Überwachung folgender Ereignisse aktivieren: Systemeireignisse und auch Rechteverwendung.

 

Dann solltest du auf jeden Fall sehen, wer oder was es war.

 

grizzly999

[grizzly999 11]

Ach ja: kommt der shutdown regelmäßig oder hin und wieder?

 

grizzly999

[oddysee 10]

Danke grizzly999, Du tippst also auch auf den Wurm, ich leider auch... (bitte nicht)..

 

shutdown kamm heute zweimal hintereinander. Danach habe ich die LAN Verbindung getrennt. 30min später aktiviert danach kamm nichts mehr. Ich aktiviere die logs wie Du sagst und warte noch bis Dienstag. Oder meinst Du ich soll lieber den Rechner sofort neu installieren???? Besser von Mitarbeiter ausgelacht zu sein als der Wurm sich verbreitet, oder??? Ich bin schließlich die, die Verantwortung trägt.

[grizzly999 11]

Ist schwierig zu entscheiden, aber du sagst, du hast überall Virenscanner drauf. Wenn sie aktuell sind, hätten sie Alarm geben müssen, sofern es ein Virus ist, der sich über das Netz ausbreitet. Würden sie ihn nicht erkennen (weil neuer Wurm) und er hätte sich ausgebreitet, dann wäre doch bestimmt schon ein anderer Rechner runtergefahren.

Ich persönlich sehe daher die Wurmgefahr nicht soo groß an, will sie aber nicht wegreden. Entscheiden musst du selber, das kann dir niemand abnehmen, aber ich würde mit einer Neuinstallation warten, zumindest bis es noch einmal vorkommt, dann das Log auswerten, um es genauer zu wissen.

 

Auf jeden Fall kann es nicht schaden , sich bei der Gelegenheit nochmals zu vergewissern, dass die Datensicherung fehlerfrei läuft ;)

 

Viel Glück

 

grizzly999

[oddysee 10]

Hab schon *puch*, die lief zum glück. Achso Du meinst es wäre gut Gelegenheit Sicherungsbänder zu testen *grrrrrrrrr* :o) ... Ich warte bis

Dienstag.

 

Danke Dir. Du bist wie immer klasse. Und deine Antwort wie immer sehr hilfsreich.

 

Guten Nach grizzly

[oddysee 10]

Ähm... shutdown.exe aus dem Resource Kit auf der Warnmeldung steht welche Rechner das Befehl ausführt??????? Bist Du sicher???? Ich dachte da steht das nicht. Ich führe unter VMware morgen shutdown.exe aus dem Resource Kit aus. *neugir*...

 

Aber jetzt gehe ich schlafen.

[grizzly999 11]

Dann schlaf gut.... :)

 

grizzly999