Kuriose Systemabstürze

[leg 10]

Hallo zusammen,

 

wir haben hier bei uns zwei User, die kuriose Phänomene zeigen.

Es handelt sich hier lustigerweise um unsere Fachinformatiker Azubis - bei unseren etwa 500 anderen Anwendern haben wir so etwas noch nicht gesehen.

 

Folgende Phänomene sind wiederholt aufgetaucht:

- Systemdateien verschwinden: ntldr, config, ntdetect, boot.ini

- PC bootet ohne erkennbaren Grund

- Treiber für verschiedene Komponenten werden gelöscht

- NTFS Rechte auf C:\ werden gewürfelt oder verschwinden

 

Viren haben wir nie gefunden, auch wenn sich der PC retten ließ.

Im Eventlog finden wir auch nichts aufschlussreiches.

 

Wir haben schon Accounts, Postfächer, Profile, neu angelegt und neue Hardware genommen.

 

Das ganze zieht sich schon über ein halbes Jahr hin und passiert ohne Vorwarnung - die Jungs können dann nicht arbeiten und müssen erstmal ihre PCs neu installieren. Dank Image zwar nicht so schlimm, aber Zeit und Nerven kostet es doch.

 

Habt ihr vielleicht noch Ansatzpunkte oder Ideen, was wir testen und worauf wir achten könnten?

 

Vielen Dank

stephan

[phoenixcp 10]

Also bei dieser Konstellation bleibt mir nur ein Verdacht: Die FI-Azubis ;)

[djmaker 95]

Schau mal in den Ausbildungsplan, vielleicht findest Du dort etwas mehr Aufschluss. :)

[MangaLore 10]

Hmmm.... Und der Rechnername? Bleibt der immer gleich? Das klingt mir viel zu viel nach Scherzkeksen...

Habt ihr mal alle aus dem system ausgeschlossen? Inklusive admins? Die default freigaben C$ usw absperren! schau mal wie lang das geht... C$ wird nach reboot wieder "entsperrt", deswegen muss man diesen share jedesmal rausschmeissen...

 

Alternativ dazu könnt ihr auch ein Dummy C$ freigabe machen und schauen ob dort dateien plötzlich verschwinden...

[phoenixcp 10]

Weniger in den Ausbildungsplan. Evtl.würde es schon viel bringen den Jungs ihre lokalen Adminrechte zu nehmen, damit ist der Schaden dann schon nicht mehr ganz so groß. Und dazu einfach mal mit den beiden sprechen. Im Prinzip könnte man das ja auch nachvollziehen: - Wissensdrang, Selbsttest, der Reiz der Adminberechtigungen in Verbindung mit dem Wissen aus Computer Bild etc...

 

Ich glaube mit einem vernünftigen Gespräch mit deinen Azubis hast du das Problem schneller gelöst als technisch ;)

[MangaLore 10]

Ich glaube nicht mal das es die Jungs sind, sondern irgendwelche Admins mit nem schrägem Humor...

[leg 10]

Das Verhältnis hier ist soweit schon ganz locker, und Scherze treibt hier eigentlich auch keiner - zumindest nicht auf dem Niveau.

 

Die Adminrechte werden auf jeden Fall erstmal genommen - ich dachte das wäre bereits so.

Ich glaube PC Nummern haben wir nicht verändert.

Das kommt als nächstes. Und danach die Sache mit C$.

 

Danke für eure Anregungen!

[Christoph_A4 10]

Das klingt nach "Endlich mal ein Fall für die Überwachung der Objektzugriffsversuche per GPO" ;)

[MangaLore 10]

Das funktioniert aber nur wenn die Datei nicht weg ist

[Maximus1 10]

booten die rechner nur oder rebooten die?

sind die netzwerkkarten WOL tauglich und das bootrom eingeschaltet?

 

 

 

€dit:

 

wenn die rechner nur booten könnte ein fehler im netzwerk sein und ein aufwach packet fliegt durch die gegend das die dinger angehen lässt.

 

wenn die rebooten tippe ich mal auf shutdown.exe

[leg 10]

Die Rechner werden im normalen Betrieb neugestartet, wie bei einem "shutdown -r -t 00". WOL wäre mir nicht bekannt, dann hätten auch mehre Rechner im Unternehmen bzw am Standort das Problem.

Sie hängen auch an unterschiedlichen Switches, defekte Ports möchte ich auch ausschließen.

 

Gestern Nachmittag hatten wir übrigens wieder einen Fall von "Dokumente und Einstellungen" ohne Berechtigungen, es konnten also nicht mal temporäre Profile angelegt werden.

[MangaLore 10]

Klingt sehr interessant... Würde mich interessieren ob die Fehler immer noch auftritt wenn die Jung offline sind :D

[Sisum 10]

Ich bin einer der User die das Problem haben.

 

Ich habe mich noch nicht mal mit meinem AD-User angemeldet sondern nur als Lokaler Administrator gearbeitet.

Ein sehr nerviges Problem ist das auf einmal von jetzt auf gleich die ganze Berechtigungsstruktur der Ordner Programme und WINDOWS weg ist.

Zu dem kommt dann noch das der PC sich gerne mal einfach so neustartet und dabei auch mal gerne die NTDETECT und/oder die ntldr löscht.

 

Ich habe das System schon ein paar mal neu installiert.

Außerdem haben ich folgedes geändert.

- neuer Computername

- komplet neues AD-Profil

- neue Hardware

 

das Problem besteht weiter.

[Sanic 10]

Habt ihr schon nen Memtest durchlaufen lassen? (auch neue Hardware kann kaputt sein)

[kirschi68 10]

Klingt wie ein Rootkit..