Edelmann 10 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Hi alle zusammen, ich habe ein furchtbares Problem auf einem unserer Server: Wenn man ,logischerweise speziell in der Mittagspause, eine bestimmte Leerlaufzeit sind die betroffenen Sitzungen nicht mehr für den Benutzer zugänglich und ich muss dieses per Administration abmelden. Symptome: Schwarzer Bildschirm und keinerlei Reaktion in der Sitzung! In der Ereignisliste kam folgendes Ereignis: Typ: Fehler Quelle: Service Control Manager Kategorie: Keine Ereigniskennung: 7011 Benutzer: Nicht zutreffend Computer: "Die Bezeichnung des betroffenen Servers" Beschreibung: Zeitüberschreitung (60000 ms) beim Warten auf eine Tansaktionsrückmeldung von Dienst comman. Meine Frage: Wie behebe ich das? Angaben: Win Server 2003R2 SP2 Terminal Server HP pro liant Dl380G4 Ich kann am wenigsten mit dem genannten Dienst anfangen... Bitte um Hilfe Danke Zitieren
zahni 571 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Schau mal in der Registry nach, wozu die Dienst "comman" gehört: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Ich kann mir darauf keinen Reim machen. -Zahni Zitieren
Edelmann 10 Geschrieben 4. Februar 2009 Autor Melden Geschrieben 4. Februar 2009 Hi, danke für die schnelle Antwort! Ich habe folgende Pfade gefunden: ...\CurrentControlSet\Services\comman ...\CurrentControlSet\Enum\Root\LEGACY_COMMAN\0000\Control ...\CurrentControlSet\Enum\Root\LEGACY_COMMAN\0000 ...\CurrentControlSet003\Services\comman ...\CurrentControlSet003\Enum\Root\LEGACY_COMMAN\0000 ...\CurrentControlSet001\Services\comman ...\CurrentControlSet001\Enum\Root\LEGACY_COMMAN\0000\Control ...\CurrentControlSet\Enum\Root\LEGACY_COMMAN\0000 UND ein außenseiter^^: ...\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\comman Zusätzlich: Wir haben das Problem jetzt auch auf einem anderen Server mit folgendem Dienst "ipreg80" Aufgefallen ist mir, dass dieses Ereignis erst 5-6 Minuten nachdem es sich aufhängt angibt... Zitieren
zahni 571 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Ok, ich stelle die Frage mal anders. Was steht denn da in der Registry unter "ImagePath" ? Vermutlich gehört beides zu iener mir unbekannten Software, die nicht richtig funktioniert. Zitieren
olc 18 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Hi Edelmann, sind die Systeme auf einem aktuellen Hotfix Level und ist ein (aktueller) Virenscanner installiert? Klingt mir ein wenig nach zufällig erzeugtem Dienstnamen, so wie es auch einige Malware tut... Viele Grüße olc Zitieren
Edelmann 10 Geschrieben 4. Februar 2009 Autor Melden Geschrieben 4. Februar 2009 Das läuft ja wie geschmiert hier^^ @olc: aktueller hotfix (WSUS) ist installiert. aktuelle Virensoftware ist McAffee aktuelle version Dieses schließe ich mal grob aus. @zahni: ich bin gerade am suchen... antwort wird ungefähr in 5-10 minuten kommen. Nebenbei: Der Physikalische Speicher auf den Servern geht zurzeit dermaßen in die Knie, dass Mitarbeiter anrufen und klagen. kann dies eine Rolle spielen? – Da gibts verdammt viel "imagepath"... können wir das nicht irgendwie beschränken? Zitieren
zahni 571 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Ok genauer: CurrentControlSet\Services\comman und da (rechts) ImagePath -Zahni Zitieren
Edelmann 10 Geschrieben 4. Februar 2009 Autor Melden Geschrieben 4. Februar 2009 Ah ok! Da steht: C:\WINDOWS\system32\comman.exe Zitieren
zahni 571 Geschrieben 4. Februar 2009 Melden Geschrieben 4. Februar 2009 Hm, der Verdacht liegt wirklich nahe, dass es sich um ein Virus oder Trojaner handelt. Es sei denn Du kannst Sie irgendeiner Software zuordnen, die Su auf den Servern installiert hast. Lade die Datei die Datei (comman.exe) doch mal hier zum Tets hoch: Submit your sample Wennn es so sein sollte, ist fürchte ic, eine Neuinstallation angesagt. Mal davon abgesehen, dass die User nicht unbedingt auf einem normalen Server arbeiten sollten, dürfen die auch keine Adminrechte haben. PS: Welcher Acrobat-Reader ist installiert (exakte Version). Alles vor der Version 8.1.3 enthält einen Exploit, der z.Z. aktiv ausgenutzt wird. -Zahni Zitieren
Edelmann 10 Geschrieben 4. Februar 2009 Autor Melden Geschrieben 4. Februar 2009 Es ist die Version 9.0.0 vom acrobat installiert. Die User haben glücklicherweise ;) keine adminrechte... UND die datei prüfe ich jetzt mal – Der Test sagt mir das Ergebnis "UNDER ANALYSIS" was zum ...??? Edit: Achso... Ich war etwas verwirrt, da die das schon als "Ergebnis" bezeichnet haben... Ich bekam eben ne mail und warte jetzt mal melde mich dann Zitieren
Edelmann 10 Geschrieben 6. Februar 2009 Autor Melden Geschrieben 6. Februar 2009 Damn it!!! Das war ein neuer Trojaner... Ich werde jetzt mal diese ipreg80 einschicken... Zitieren
zahni 571 Geschrieben 6. Februar 2009 Melden Geschrieben 6. Februar 2009 Na, dann wünsche ich Dir viel Erfolg bei der Neuinstallation. Bei der Gelegenheit solltest Du Dein Sicherheitskonzept überdenken und Die überlegen, über welchen Weg der Trojaner den Weg in die Syseme gefunden hat. Eine Idee, wenn auch nicht zuverlässig: Der Zeitstempel der EXE'en nehmen und schauen, welche Dateien einen ähnlichen Zeitstempel haben. Z.B. im Browser-Cache, oder so. -Zahni Zitieren
Edelmann 10 Geschrieben 6. Februar 2009 Autor Melden Geschrieben 6. Februar 2009 Diese ipreg80: Gleiches Resultat: "Malware"... Zitieren
zahni 571 Geschrieben 6. Februar 2009 Melden Geschrieben 6. Februar 2009 BTW: Welche denn ? -Zahni Zitieren
Edelmann 10 Geschrieben 6. Februar 2009 Autor Melden Geschrieben 6. Februar 2009 Wir haben mit aktuellem Virenscanner durchsucht und gelöscht... Passt Vielen Dank für die Mühe Zahni & Co Ich werde euch weiterempfehelen =) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.