Windows 2003 Server wird Punkt 0.00 Uhr heruntergefahren

[Schneehase 10]

Hallo alle zusammen!

 

Ich stehe momentan auf dem Kriegsfuss mit einem unserer Windows 2003 Server.

Punkt 0.00 Uhr wird das System heruntergefahren.

 

Eventlog-System:
Ereignistyp:	Informationen
Ereignisquelle:	USER32
Ereigniskategorie:	Keine
Ereigniskennung:	1074
Datum:		29.01.2005
Zeit:		00:00:02
Benutzer:		RPT\Administrator
Computer:	SERVER
Beschreibung:
Der Prozess winlogon.exe hat den/das Ausschalten von Computer SERVER für Benutzer RPT\Administrator aus folgendem Grund initialisiert: Es wurde kein Titel für den Grund gefunden.
Begründungscode: 0x0
Herunterfahrungstyp: Ausschalten
Kommentar: 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter [url]http://go.microsoft.com/fwlink/events.asp[/url].
Daten:
0000: 00 00 00 00               ....    

 

Unter den geplanten Tasks ist nichts eingetragen was ein herunterfahren hervorrufen kann.

Windows-Update ist auf dem aktuellsten Stand.

 

Ich habe im Forum auch schon was zum Ereignis gefunden (W32.Blaster.Worm). Allerdings kein Befall!!!!!!

 

Kann mir jemand weiterhelfen?

 

MfG

René Albrecht

[Das Urmel 10]

Man kann den auch remote runterfahren.

Der AdminAccount wars auf jeden Fall und ein task kann auch auf einer anderen Machine

gestartet werden - dreh Eventlogging hoch, schauen was drinsteht.

[Dr.Melzer 191]

Kann es sein, dass du eine Evaluierungsversion installiert hast?

[Schneehase 10]

Also im gesamten Netzwerk waren zum Zeitpunkt des Herunterfahrens nur zwei weitere Rechner eingeschaltet. Ein zweiter W2K3 Server auf dem zu dieser Zeit nicht lief und auch kein Benutzer angemeldet war und ein Linux Debian System auf dem ebenfalls nicht lief und ausgeführt wurde.

 

Evaluierungsversion ----> NEIN!

 

Ich habe echt keine Ahnung was das ist!

 

MfG

[humpi 11]

hi,

führt ein Update einen Reboot auf dem Server aus?

[Schneehase 10]

Kurze Antwort: Nein

[zuschauer 10]

Hi Schneehase !

Du mußt zugeben, aus der Ferne kann da nur Rätsel raten kommen.

 

Änder mal das Paßwort für RPT\Administrator und schau, was danach passiert.

 

Bis jetzt ist ja noch nicht mal klar, ob Deine Domain RPT heißt oder der lokale Admin des Servers RPT "zufällig" das gleiche Paßwort hat, wie der domain\administrator ! :suspect:

[grizzly999 11]

Passiert das jede Nacht? Wenn ja, seit wann? Was wurde davor geändert? Andere Einträge im Log, die was ungewöhnliches zeigen, auch nicht auf den anderen Servern, die beteiligt sein könnten? Und: letztlich würde ich irgend einen Virus noch nicht ganz ausschließen.

 

grizzly999

[Schneehase 10]

huhu

 

heute habe ich mal gewartet was so um 0.00 uhr passiert!!!!

 

Hat mich bis jetzt noch nicht ganz weiter gebracht, allerding hat der Router Punkt 0.00 uhr die Internetverbindung getrennt und dann kam das seltsame!!!! Der Server hat sich nicht ausgeschaltet sondern neugestartet!!!

 

Hatte jetzt aber keine Lust der Sache auf den Grund zu gehen!

 

Werden morgen füh berichten ob ich was herausgefunden habe!

 

gääähhhhhnnnn

 

Gute nacht wünche ich!

 

Mfg René

[Schneehase 10]

Ich glaube langsam, ich spinne!

 

Das einzige was passiert ist, ist dass die Internetverbindung um 0.00 getrennt wurde und um 0.01 wiederhergestellt! Ansonsten lief nichts weiter im gesamten Netzwerk!

 

PW aller Admins habe ich gestern schon geändert!

 

Werde noch mal einige Virentests machen!

 

Falls jemand noch ne Idee hat bitte posten!!!!!!!

 

Mfg