Bluescreen Probleme! SBS 2011

[ms2306 0]

Hallo Leute, 

 

ich komme einfach mal direkt zum Thema!

 

Seitdem Wanacry angriff (von dem auch unser Server betroffen war) haben wir "dauernd" Bluescreens.

 

Ich werde euch mal die letzten 5 auflisten.

 

31.05.2017 - 09:50:42

 

A problem has been detected and Windows has been shut down to prevent damage

to your computer.

 

The problem seems to be caused by the following file: srv.sys

 

PAGE_FAULT_IN_NONPAGED_AREA

 

If this is the first time you've seen this stop error screen,

restart your computer. If this screen appears again, follow

these steps:

 

Check to make sure any new hardware or software is properly installed.

If this is a new installation, ask your hardware or software manufacturer

for any Windows updates you might need.

 

If problems continue, disable or remove any newly installed hardware

or software. Disable BIOS memory options such as caching or shadowing.

If you need to use safe mode to remove or disable components, restart

your computer, press F8 to select Advanced Startup Options, and then

select Safe Mode.

 

Technical Information:

 

*** STOP: 0x00000050 (0xfffff8a01ac713dc, 0x0000000000000000, 0xfffff88005d54610, 

0x0000000000000000)

 

*** srv.sys - Address 0xfffff88005d573ce base at 0xfffff88005d53000 DateStamp 

0x57349a15

 

 

05.06.2017 - 18:48:19

 

A problem has been detected and Windows has been shut down to prevent damage

to your computer.

 

The problem seems to be caused by the following file: tcpip.sys

 

PAGE_FAULT_IN_NONPAGED_AREA

 

If this is the first time you've seen this stop error screen,

restart your computer. If this screen appears again, follow

these steps:

 

Check to make sure any new hardware or software is properly installed.

If this is a new installation, ask your hardware or software manufacturer

for any Windows updates you might need.

 

If problems continue, disable or remove any newly installed hardware

or software. Disable BIOS memory options such as caching or shadowing.

If you need to use safe mode to remove or disable components, restart

your computer, press F8 to select Advanced Startup Options, and then

select Safe Mode.

 

Technical Information:

 

*** STOP: 0x00000050 (0xfffff8a01ae3d0d0, 0x0000000000000001, 0xfffff88016081443, 

0x0000000000000000)

 

*** tcpip.sys - Address 0xfffff88001c68450 base at 0xfffff88001c00000 DateStamp 

0x533f5bd4

 

 

06.06.2017 - 12:58:51

 

A problem has been detected and Windows has been shut down to prevent damage

to your computer.

 

The problem seems to be caused by the following file: srv.sys

 

PAGE_FAULT_IN_NONPAGED_AREA

 

If this is the first time you've seen this stop error screen,

restart your computer. If this screen appears again, follow

these steps:

 

Check to make sure any new hardware or software is properly installed.

If this is a new installation, ask your hardware or software manufacturer

for any Windows updates you might need.

 

If problems continue, disable or remove any newly installed hardware

or software. Disable BIOS memory options such as caching or shadowing.

If you need to use safe mode to remove or disable components, restart

your computer, press F8 to select Advanced Startup Options, and then

select Safe Mode.

 

Technical Information:

 

*** STOP: 0x00000050 (0xfffff8a01c5b73dc, 0x0000000000000000, 0xfffff88005a01610, 

0x0000000000000000)

 

*** srv.sys - Address 0xfffff88005a043ce base at 0xfffff88005a00000 DateStamp 

0x57349a15

 

 

09.06.2017 - 02:30:07

 

A problem has been detected and Windows has been shut down to prevent damage

to your computer.

 

The problem seems to be caused by the following file: tcpip.sys

 

PAGE_FAULT_IN_NONPAGED_AREA

 

If this is the first time you've seen this stop error screen,

restart your computer. If this screen appears again, follow

these steps:

 

Check to make sure any new hardware or software is properly installed.

If this is a new installation, ask your hardware or software manufacturer

for any Windows updates you might need.

 

If problems continue, disable or remove any newly installed hardware

or software. Disable BIOS memory options such as caching or shadowing.

If you need to use safe mode to remove or disable components, restart

your computer, press F8 to select Advanced Startup Options, and then

select Safe Mode.

 

Technical Information:

 

*** STOP: 0x00000050 (0xfffff8a01b6b10d0, 0x0000000000000001, 0xfffff88016516443, 

0x0000000000000000)

 

*** tcpip.sys - Address 0xfffff88001a69450 base at 0xfffff88001a01000 DateStamp 

0x533f5bd4

 

 

09:06:2017 - 09:33:11

 

A problem has been detected and Windows has been shut down to prevent damage

to your computer.

 

The problem seems to be caused by the following file: Ntfs.sys

 

PAGE_FAULT_IN_NONPAGED_AREA

 

If this is the first time you've seen this stop error screen,

restart your computer. If this screen appears again, follow

these steps:

 

Check to make sure any new hardware or software is properly installed.

If this is a new installation, ask your hardware or software manufacturer

for any Windows updates you might need.

 

If problems continue, disable or remove any newly installed hardware

or software. Disable BIOS memory options such as caching or shadowing.

If you need to use safe mode to remove or disable components, restart

your computer, press F8 to select Advanced Startup Options, and then

select Safe Mode.

 

Technical Information:

 

*** STOP: 0x00000050 (0xfffff80012522a30, 0x0000000000000001, 0xfffff880018e7e5f, 

0x0000000000000002)

 

*** Ntfs.sys - Address 0xfffff880018f1fb4 base at 0xfffff88001839000 DateStamp 

0x5693e8a9

 

 

Wir haben einen SBS 2011 mit Exchange, alles bis zum aktuellsten gepatcht.

Antivir Server Edition - welches immer wieder in der Echtzeit suche C:\Windows\mssecsvc.exe findet und den Zugriff verweigert. (Wie bekomme ich das weg? Bzw was erstellt denn die ganze zeit diese Datei, denn wenn ich in den Ordner gehe ist sie nicht da. D.h. das irgendein Prozess diese Datei immer mal wieder erstellt aber Antivir diese direkt wieder blockt. Kann es was mit der Quarantäne in Antivir zu tun haben? Sollte ich die Dateien die dort sind lieber löschen?)

 

 

Ich hoffe ihr könnt mir helfen!

 

Danke im Voraus!

 

Marsel

[testperson 1.728]

Hi,

 

vermutlich solltest du die Daten sichern, den Server (und die Clients) neu installieren und die Daten restoren.

Die Daten evtl. dann vor dem Restore mit verschiedenen Virenscannern und aktuellen Pattern scannen. Ob du dann aber virenfrei bist steht wohl in den Sternen ;)

 

Gruß

Jan

[Sanches 22]

Boote doch den Server mal mit einer BootCD auf welcher ein Virenscanner ist und lasse den Server mal checken.

Bitte lege aber vorher ein komplette Backup des Servers an.

 

Zeigt der Server ggf. Auffälligkeiten im Eventlog?

Hast du ggf. auch Minidumps?

 

Gruß Sebastian

 

Moment - kleiner Nachtrag:

 

Seitdem Wanacry angriff (von dem auch unser Server betroffen war)

Was habt ihr nach dem Angriff alles zur Bereinigung unternommen?

bearbeitet 9. Juni 2017 von Sanches

[ms2306 0]

Minidumps konnte ich leider nicht in den Anhang hochladen. Habe sie mal bei Zippyshare hochgeladen.

 

http://www60.zippyshare.com/v/O90bxFTu/file.html

http://www60.zippyshare.com/v/okifhBHU/file.html

http://www60.zippyshare.com/v/v5uDFbTv/file.html

http://www60.zippyshare.com/v/tmBOd7ko/file.html

http://www60.zippyshare.com/v/1GtLoueD/file.html

 

 

 

Ich setz mich gleich mal an den Eventlog.

 

Seitdem Angriff haben wir Antivir neu installiert und Windows Updates gemacht.

 

 

Danke für die schnellen Antworten!

 

Marsel

 

 

 

Nachtrag:

 

https://www.avira.com/de/download/product/avira-rescue-system

 

Taugt der? Dann würde ich die BootCD benutzen. 

bearbeitet 9. Juni 2017 von ms2306

[zahni 559]

Und was soll Antivir bringen?

Ein Virenscanner nützt bei Malware i.d.R. nichts. Die Signaturen kommen einfach zu langsam. Bei einem bereits infizierten System ist die nachträgliche Installation völlig sinnfrei.

 

Installiere das System neu.

[mwiederkehr 384]

Ich würde auch zu einer Neuinstallation raten. Nicht nur der Sicherheit wegen, sondern auch aus finanziellen Gründen. Der SBS ist schon etwas älter und die Hardware damit wohl auch. Statt jetzt noch viel Aufwand in die Reparatur zu investieren und dann in ein, zwei Jahren sowieso migrieren zu müssen, würde ich den Ersatz vorziehen. Neue Hardware, Server 2016, Exchange je nach Unternehmensgrösse bei Office 365, alles parallel installieren und dann die Daten kopieren. Beim neuen Backupkonzept darauf achten, dass die Lösung eine komplette Sicherung des Servers inkl. Betriebssystem erstellen kann, damit man nach so einem Vorfall einfach das Backup zurückspielen kann.

 

Kostet Geld und Zeit, aber dafür habt ihr danach gleich einen neuen Server.

[MurdocX 957]

Nach einen Befall, ob Viren oder Trojaner, sollten die System immer frisch aufgesetzt werden. Die Hersteller diverser Anti-Viren-Tools nehmen sich aus der Haftung und garantieren nie eine völlige 100% Säuberung der Systeme.

 

Bei einem SBS verstehe ich die Problematik, aber anscheinend wurde gewissermaßen an Patches gespart, denn die Lücke wurde schon mit dem März-Update geschlossen.  :rolleyes:  Da besteht bei euch sicher noch Handlungsbedarf. Jetzt rächt sich diese Verfahrensweise  <_<

[ms2306 0]

Ja, das stimmt wohl so. Leider leider leider war die Firma die sich zu diesem Zeitpunkt um unser Server gekümmert hat nicht mehr für uns zuständig. Kam halt b***d leider. Backups die eigentlich laufen sollten liefen zu diesem Zeitpunkt auch nicht. Das hieß für uns das es leider keine möglichkeit mehr gab wiederherzustellen.

 

Eine kleine frage noch: Wir haben Backups die 2-3 Monate alt sind. Macht es sinn, Postfächer und wichtige Daten zu exportieren, um danach das System wiederherzustellen (zu dem Stand 2-3 Monate vorher) und danach die Postfächer wieder zu Importieren?

 

Danke für die ganze Hilfe an alle!

[testperson 1.728]

Um wieviele User / Clients geht es denn?

[ms2306 0]

Es geht um 35 User.