4
Conficker nach installation von KB958644 auf 2003 Servern ist der WSUS down, loginsscript, wshell werden nicht mehr verarbeitet ASP.net,Police werden nicht verarbeitet!
nach Virus in der Domäne "Konten in AD werden gespeert"
Berechtigungen auf Freigaben im Netz auf .exe Dateien wie Word, Outlook, Excel, PDF werden entfernt! (für Citrix anmeldungen)
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeu ... <- Virus auf Clients gefunden und entfernt, danach update KB958644 wie empfohlen installiert!
Virus gefunden!
Gleiche auf Windwos 2003 Server durchgeführt!
Erfahrung:
Nach KB958644 Update (empfohlen wegen Conficker Virus) haben wir eine Flut von ASP.net fehler im Ereignisanzeige der Server gefunden.
Problem:
WSUS 3.0 Startet nicht mehr.
Polices werden nicht mehr verarbeitet
Loginscripts werden nicht mehr sauber verarbeitet (Drucker nein ; Laufwerke nein)
Auf Server Netzfreigaben werden berechtigungen entfernt!
gpupdate -force
dann netlogon/scripte funktioniert, nach neustart ist alles wieder weg! "Loginscripts werden über Police gestartet!"
Erste vermutung! Mircosoft greift mit dem Update zu tief in ASP.net ein?!
Microsoft support erstellt!! Warten..
jemand die gleichen Probleme? Erfahrungen?
Berechtigungen auf Freigaben im Netz auf .exe Dateien wie Word, Outlook, Excel, PDF werden entfernt! (für Citrix anmeldungen)
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeu ... <- Virus auf Clients gefunden und entfernt, danach update KB958644 wie empfohlen installiert!
Virus gefunden!
Gleiche auf Windwos 2003 Server durchgeführt!
Erfahrung:
Nach KB958644 Update (empfohlen wegen Conficker Virus) haben wir eine Flut von ASP.net fehler im Ereignisanzeige der Server gefunden.
Problem:
WSUS 3.0 Startet nicht mehr.
Polices werden nicht mehr verarbeitet
Loginscripts werden nicht mehr sauber verarbeitet (Drucker nein ; Laufwerke nein)
Auf Server Netzfreigaben werden berechtigungen entfernt!
gpupdate -force
dann netlogon/scripte funktioniert, nach neustart ist alles wieder weg! "Loginscripts werden über Police gestartet!"
Erste vermutung! Mircosoft greift mit dem Update zu tief in ASP.net ein?!
Microsoft support erstellt!! Warten..
jemand die gleichen Probleme? Erfahrungen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 106557
Url: https://administrator.de/contentid/106557
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
üblicherweise begrüßen wir uns mit offenbar unüblichen? Höflichkeitsfloskeln.
Erfahrung:
Wer ohne zu Grüßen und dann auch noch zu Spät kommt, der darf sich nicht wundern, dass nur eine Antwort kommt und Dieser Beitrag wurde bisher 99 mal aufgerufen.
Und die Zweite!?!
Dein Patchmanagement stimmt nicht und ein 3 Monate altes Backup ist nicht mehr vorhanden?
Mal ganz im Ernst - die Suppe wirst du selber auslöffeln müssen.
Stichworte:
Gruß und nimms leicht, den nächsten RPC Patch installierst du dann bevor die Lücke auf deinem System ausgenutzt wurde. Das Ding ist 3 Monate alt!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Es ist schon schlimm genug, wenn der Rechner von Oma Trudchen verseucht ist, aber die grüßt wenigstens^und schiebt die Schuld nicht auf andere
üblicherweise begrüßen wir uns mit offenbar unüblichen? Höflichkeitsfloskeln.
- aber wir installieren üblicherweise Hotfixe nicht erst 3 Monate nach dem erscheinen, wo doch jeder wissen sollte - woher die Scriptkiddies heute die Infos her haben - welche Lücken noch offen sind.
Erfahrung:
Wer ohne zu Grüßen und dann auch noch zu Spät kommt, der darf sich nicht wundern, dass nur eine Antwort kommt und Dieser Beitrag wurde bisher 99 mal aufgerufen.
Erste vermutung! Mircosoft greift mit dem Update zu tief in ASP.net ein?!
Und die Zweite!?!
Dein Patchmanagement stimmt nicht und ein 3 Monate altes Backup ist nicht mehr vorhanden?
Mal ganz im Ernst - die Suppe wirst du selber auslöffeln müssen.
Stichworte:
- Boot Disk mit aktuellem Virenscanner
- ansonsten FDisk & Restore
Gruß und nimms leicht, den nächsten RPC Patch installierst du dann bevor die Lücke auf deinem System ausgenutzt wurde. Das Ding ist 3 Monate alt!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Es ist schon schlimm genug, wenn der Rechner von Oma Trudchen verseucht ist, aber die grüßt wenigstens^und schiebt die Schuld nicht auf andere
Guten Abend,
du hast recht irgendwie habe ich die Höflichkeitsformen übersprungen.. Sorry
p.s: dein Profil Foto passt zu deiner freundlichen und neutralen Antwort!
du hast recht irgendwie habe ich die Höflichkeitsformen übersprungen.. Sorry
p.s: dein Profil Foto passt zu deiner freundlichen und neutralen Antwort!
Hallo zusammen,
nach Con f i c k e r Infektion habe ich das Problem mit ASP .net 2.0 das im Ereignisprotokoll immer das hier steht:
Quelle:ASP.NET 2.0.50727.0
Event: 1088
Failed to execute request because the App-Domain could not be created. Error: 0x80070005 Zugriff verweigert.
Der Fehler wird ca. alle 20 sek. protokolliert. Den Wsus 3.0 SP1 bekomme ich nicht mehr zum laufen, evtl. auch wegen des ASP Fehlers. Der Update Services Dienst lässt sich nicht mehr starten.
Der Wurm hat sich übrigens verbreitet obwohl auf allen Servern und Workstations der Patch KB958644 installiert war. Vermutlich hat ihn ein Mitarbeiter mit Domänen-Admin Rechten eingeschleust, entweder per E-Mail oder mit USB-Stick. Das ist noch nicht ganz klar. Ich konnte den Wurm aus der gesamten Firma entfernen und die Systeme sind wieder clean.
Ich muss den WSUS und das ASP .net wieder zum laufen bekommen, habe beides schon paar mal neu installiert und alle Berechtigungen kontrolliert, ich finde den Fehler nicht.
Weiß einer was Con f i c k e r alles beschädigt auf den Servern wo WSUS läuft ?
nach Con f i c k e r Infektion habe ich das Problem mit ASP .net 2.0 das im Ereignisprotokoll immer das hier steht:
Quelle:ASP.NET 2.0.50727.0
Event: 1088
Failed to execute request because the App-Domain could not be created. Error: 0x80070005 Zugriff verweigert.
Der Fehler wird ca. alle 20 sek. protokolliert. Den Wsus 3.0 SP1 bekomme ich nicht mehr zum laufen, evtl. auch wegen des ASP Fehlers. Der Update Services Dienst lässt sich nicht mehr starten.
Der Wurm hat sich übrigens verbreitet obwohl auf allen Servern und Workstations der Patch KB958644 installiert war. Vermutlich hat ihn ein Mitarbeiter mit Domänen-Admin Rechten eingeschleust, entweder per E-Mail oder mit USB-Stick. Das ist noch nicht ganz klar. Ich konnte den Wurm aus der gesamten Firma entfernen und die Systeme sind wieder clean.
Ich muss den WSUS und das ASP .net wieder zum laufen bekommen, habe beides schon paar mal neu installiert und alle Berechtigungen kontrolliert, ich finde den Fehler nicht.
Weiß einer was Con f i c k e r alles beschädigt auf den Servern wo WSUS läuft ?
@timobeil deine Aussagen stimmen nur zum Teil... denn wenn ich den Confi ck er über USB beispielsweise einschleuse, dann nützt mir auch eine durchgepatchte Maschine nichts mehr! Natürlich sollte dann die Antivirensoftware auf dem aktuellsten Stand sein... ist das nicht der Fall, dann... tja... Arschkarte!
Hinzu kommt, dass der Confi ck er in mehreren Varianten existiert (mind. 3-4). Außerdem verbreitet er sich gerne über offene Shares...
Hinzu kommt, dass der Confi ck er in mehreren Varianten existiert (mind. 3-4). Außerdem verbreitet er sich gerne über offene Shares...
