morpheus 10 Geschrieben 24. Mai 2004 Melden Geschrieben 24. Mai 2004 Hallo, seid Freitag habe ich auf mehreren System (W2k Prof. + W2k Srv) immer wieder die gleichen Fehler. Alle Systeme sind mit SP4 ausgestattet. Ich vermute das es sich um einen Virus handelt, jedoch haben alle Virusscanns die ich durchgeführt habe nichts gebracht. Vielleicht hat jemand von Euch die gleichen Symptome in seinem LAN. - Anmeldung dauert lange (ca. 1-2 Minuten) - Kopieren / Einfügen nicht möglich - Eventlogeintrag im Systemprotokoll mit ID 7031 (RPC-Dienst wurde beendet) - erst nach Reboot einsehbar - Eventlogeintrag im Anwendungsprotokoll mit ID 4097 (COM+Ereignissystem) - erst nach Reboot einsehbar - linksbündige, in einer Reihe untereinander aufgereihte Symbole in Systemsteuerung - nach erfolgtem Neustart wieder voll funktionsfähiges System Gruß Zitieren
menac 10 Geschrieben 24. Mai 2004 Melden Geschrieben 24. Mai 2004 schau mal mit dem taskmanager was sich alles startet und das was du nicht kjennst beende bzw schau mal in da regedit HKLM/software/microsoft/windows/currentversion/run Zitieren
morpheus 10 Geschrieben 24. Mai 2004 Autor Melden Geschrieben 24. Mai 2004 Hallo, sieht alles normal aus. Zitieren
Damian 1.670 Geschrieben 24. Mai 2004 Melden Geschrieben 24. Mai 2004 Hi morpheus. Schon Tools wie Spybot, Ad-Aware und dergl. über das System gescheucht? Virenscanner finden nicht jeden Müll. Damian Zitieren
bue 10 Geschrieben 24. Mai 2004 Melden Geschrieben 24. Mai 2004 Hallo morpheus. habe dasselbe Problem auf einem w2k-Cluster. Bei mir läuft immer der com+ dienst voll. Das erstaunliche ist, daß im eventlog der Hinweis kommt, daß man sich mit MS in Verbindung setzten sollo zwecks fehleranalyse. werde das eventlog an unsere haus und hof firma mailen. haben das system vor knapp 1 1/2 Jahren bei denen gekauft. fällt also meiner meinung nach unter die garantiebestimmungen. wenn ich etwas herausbekomme, melde ich mich auf diesem wege. Bue :wink2: Zitieren
morpheus 10 Geschrieben 24. Mai 2004 Autor Melden Geschrieben 24. Mai 2004 Hallo, ich habe folgende Tools drüber laufen lassen: - Stinger - SpyBot - BlastsFX - Fixblast - FXNovarg - Avprtool Leider, oder vielleicht zum Glück, alle ohne Erfolg. Gruß Zitieren
big-lemon 10 Geschrieben 24. Mai 2004 Melden Geschrieben 24. Mai 2004 hallo alle... denkt dran... gewisse virus kann man nur im abgesicherten modus zuverlässig erkennen ! der netsky.d ist zum beispiel so ein fall...... probier das mal zuerst.... abgesicherter modus aufstarten, virenscanner laufen lassen... ergebniss bitte wieder posten. gruss chris Zitieren
firehawk 10 Geschrieben 24. Mai 2004 Melden Geschrieben 24. Mai 2004 HAllo Leute haben hier dasselbe Problem. Haben ebenfalls Fehler 4097 und zusätzlich ein ständiges an und abschalten der lan-verbindung. Es konmt ständig die Meldung ... ein netzwerkkable wurde entfernt. Die anderen Anzeichen haben wir ebenfalls. Haben versucht in der registry den eintrag unter ...\run teekids.exe auszuschalten. Evtl hilft euch das weiter. Unser Problem ist leider noch nicht gelöst. Warten auf euer Antworten. Vielen Dank für eure Mühen MfG Firehawk Zitieren
laurasan 10 Geschrieben 24. Mai 2004 Melden Geschrieben 24. Mai 2004 Hallo, habt Ihr schon ne Bootfähige Antivirus CD probiert, also damit habe ich jedenfalls alles getötet, ich glaube in der letzten PC-Professionell son Teil gesehen zu haben, meine ist Marke eigenbau. MfG Zitieren
gr@mlin 10 Geschrieben 24. Mai 2004 Melden Geschrieben 24. Mai 2004 hi, @firehawk teekids.exe ist der blaster wurm! [ironie]der patch dagegen ist brandneu[/ironie] man, patcht eure systeme... gruss, gr@mlin Zitieren
bue 10 Geschrieben 26. Mai 2004 Melden Geschrieben 26. Mai 2004 Hi @gr@mlin habe auf den Systemen gescannt und auch in der reg nachgesehen. Den Blaster habe ich (gottseidank) nicht drauf. Das Phänomen bleibt aber. :suspect: Zitieren
morpheus 10 Geschrieben 26. Mai 2004 Autor Melden Geschrieben 26. Mai 2004 Hallo, die scanns im "Abgesicherten Modus" haben bei mir auch nichts gefunden. Gruß Zitieren
lemeid 11 Geschrieben 26. Mai 2004 Melden Geschrieben 26. Mai 2004 Hallo, lass mich raten, Du bekommst auch die Meldung "svchost.exe hat blabla..." oder ? Jedenfalls sind das genau die Probleme die Auftreten wenn dieser : http://download.t-online.de/dl_zwischen.phtml?progid=21321&progname=Blaster+Worm%3A+Critical+Security+Patch+f%26uuml%3Br+Windows+2000+ Patch NICHT installiert ist.... Stefan Zitieren
morpheus 10 Geschrieben 27. Mai 2004 Autor Melden Geschrieben 27. Mai 2004 Hallo, svchost-Meldungen sind bei mir nicht vorhanden. Gruß Zitieren
assy 10 Geschrieben 27. Mai 2004 Melden Geschrieben 27. Mai 2004 Der Blaster ist kein Virus sondern ein Wurm, kann es sein das es irgendwo eine Manschine gibt die keinen Virenscanner hat? Denn der Wurm versucht von aussen Zugriffsverletzungen weshalb die Dienste beendet werden (wenn ich das jetzt alles richtig in erinnerung habe). Das heisst auf den Betroffenen Maschinen findest du keinen Virus oder Wurm. Alternativ aber sehr viel Arbeit, nimm einen Netzwerkmonitor (Sniffer) und beobachte mal den Netzwerkverkehr auf einenr betroffenen maschine, dann siehst du von wo die anfrage kommt. Erfordert aber ne menge TCP/IP kenntnisse und viel Zeit. Gruss Achim Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.