Diverse Probleme - Unbekannter Virus?

[Crazystyle 10]

Hallo,

 

ich habe hier in meinem Windows 2000 Netzwerk mit einigen W2k SP3 Workstations sehr große Probleme. Die Rechner zeigen Symptome als ob sie vom Blaser-Worm befallen wäre. Aber kein Removal-tool oder AntiViren programm findet etwas.

 

Hier die Fehler:

 

1. SVCHOST - Fehler in Anwendung

Anweisung "0x30050ceb" verweist auf Speicher in "0x00000196". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.

Dieser Fehler kommt beim hochfahren, zwischendrin und beim runterfahren.

2. Im Verzeichnis C:\WinNT werden keine Dateien mehr angezeigt.

3. Auf Laufwerk C: ist "einfügen" nicht mehr möglich. (ausgegraut)

4. Unter Systemsteuerung Software sind keine einträge vorhanden

5. Die Ereignisanzeige läßt sich nicht öffnen

6. In der Netzwerkumgebung werden keine Verbindungen angezeigt.

 

Ich habe schon Stundenlang das Internet durchforstet leider nichts richtiges gefunden.

[Dr.Melzer 191]

Das sieht mir eher nach defektem Arbeitsspeicher aus.

[Crazystyle 10]

Danke für deine Antwort,

aber das ist es nicht.

es geht ja nicht an ca. 10 Rechnern gleichzeitig der Arbeitsspeicher kaputt.

3 davon sind sogar Fabrikneu.

[ralle123 10]

Gibts eine Serveranbindung?

Zeigen alle PC's das so ?

Haben die fehlerhaften gleichzeitig oder so nach und nach angefangen?

Wie ist denn das mit der Vernetzung?

Alle im Internet?

 

Ralf

 

Editiert: habe hier in der Hilfe (Suchbegriff :"svchost.exe") gerade Nebel vor den Augen gekriegt, will sagen mir die Augen über das Thema rot gelesen. :)

[zuschauer 10]

Hi !

Die Sympthome, die Du beschreibst, sind alles Dienste, die vom RPC abhängig sind (bis auf den Lesefehler im Speicher).

Kommst Du denn noch in die Diensteverwaltung - ist der RPC-Dienst gestartet ?

[Crazystyle 10]

@ralle123

ja, die WS sind an einem Windows 2000 ADS angeschlossen.

auf allen betroffen PCs sind die gleichen Fehler

die Probleme habe sich bei allen WS in einem Zeitraum von 2 Tagen bemerkbar gemacht.

Alle WS haben die Möglichkeit über über einen Proxy mit Firewall auf Internet zuzugreifen.

 

@zuschauer

ja du hast recht, der rpc dienst ist tatsächlich nicht gestartet. DANKE!

Es ist aber der einzige Dienst bei dem Autostarttyp auf "automatisch" steht und trotzdem nicht gestartet wird.

Wenn ich ihn per hand starte dann ist ein großer Teil der Fehler weg. Netzwerkverbindungen werden aber leider immer noch noch nicht angezeigt.

Nach einem Neustart ist der Dienst auch schon wieder beendet.

Die Ereignisanzeige kann ich jetzt auch wieder lesen. Dort ist die Folgende Meldung zu finden:

 

 

Kann jemand von euch was damit anfangen? Steht das vielleicht mit meinen Fehlern im Zusammenhang?

[Crazystyle 10]

Hier nochmal die Meldung in der Ereignisanzeige:

Der erste Link hat wohl nicht richtig geklappt!

 

[Haraldino 10]

Hi,

 

installiere doch mal SP4 und alle wichtigen updates.

 

mfg Haraldino

[gr@mlin 10]

vielleicht ist dein system aber doch mit einem virus infiziert und dein(e) scanner haben ihn nur nicht gefunden?

schau mal, was hierzu einige user auf eventid geschrieben haben:

http://www.eventid.net/display.asp?eventid=4097&source=EventSystem

[Haraldino 10]

Hi,

 

und hier noch eine Beschreibung zum Blaster-Wurm

 

http://www.bsi.de/av/vb/blaster.htm

 

mfg Haraldino

[Stani 10]

Sehr geehrte Damen und Herrn,

ich habe vor mehreren Tagen eine Anfrage zum Thema "SVCHOST" - verschiedene Probleme - w2k - unbekannter Virus gestellt.

Die abgegebenen Antworten brachten mich leider nicht weiter (zuletzt von Moderator Günterf), nun muß ich feststellen das sie gar nicht mehr sichtbar sind. Ebenso wie einige weitere Fragen meinerseits zum Thema.

 

Warum ???

 

Ich hoffe es sind dies nur technische Probleme.

 

Auf jeden Fall würde ich mir eine Antwort wünschen.

 

 

MFG

Stani

[Willi_wusel2002 10]

sieht in der Tat bedenklich nach einer Ferkelei aus.

was bietet denn MSCONFIG im Systemstart so an?

 

Wenn das nichts bringt:

http://vil.nai.com/vil/stinger/

 

Kickt dieses:

This version of Stinger includes detection for all known variants, as of December 21st, 2003:

BackDoor-AQJ Bat/Mumu.worm Exploit-DcomRpc

IPCScan IRC/Flood.ap IRC/Flood.bi

IRC/Flood.cd NTServiceLoader PWS-Narod

PWS-Sincom W32/Bugbear@MM W32/Deborm.worm.gen

W32/Dumaru@MM W32/Elkern.cav W32/Fizzer.gen@MM

W32/FunLove W32/Klez W32/Lirva

W32/Lovgate W32/Lovsan.worm W32/Mimail@MM

W32/MoFei.worm W32/Mumu.b.worm W32/Nachi.worm

W32/Nimda W32/Pate W32/Sdbot.worm.gen

W32/Sober@MM W32/SirCam@MM W32/Sobig

W32/SQLSlammer.worm W32/Swen@MM W32/Yaha@MM

[Stani 10]

Danke für den Hinweis auf Mcafee-Stinger, aber den Scanner hab ich auch schon mehrmals ausprobiert, leider ohne etwas zu finden. Den rest muß ich mir erst mahl anschauen. Kenn mich mit Systemeinträgen und -dateien nicht wirklich so gut aus.

 

mfg

Stani

[zuschauer 10]

Hi Stani !

Ich hab Deinen Beitrag abgetrennt von Crazystyle Beitrag und für Dich einen eigenen Thread eröffnet !

Overtakings führen nur zu Verwirrungen !

Dein Beitrag geht hier weiter:

http://www.mcseboard.de/showthread.php?s=&threadid=21444