9
Kennt jemand einen solchen Virus
Merkwürdige Phänomene - Könnte das ein Virus sein?
Hallo,
erstmal zur Grundkonfiguration: W2K-Umgebung. 4 Server, davon 2 Terminalserver, 1 DC und 1 BDC zur Datenablage. Per Gigabit vernetzt. Internet über einen seperaten Proxyserver.
Nun zum Phänomen:
Auf dem DC und BDC ist alles normal.
Auf den Terminalserver treten seit 1 bis 1 1/2 Woche folgende Dinge reproduzierbar auf:
- Sehr langsame Internetverbindung
- Beim laden Quicklauch tritt ein unbekannter Fehler auf (nur User, nicht beim Administrator)
- ODBC-Einträge werden nicht gefunden (nur User, nicht beim Administrator)
- Die Verwaltung in der Systemsteuerung ist leer (nur User, nicht beim Administrator)
mehr ist mir noch nicht aufgefallen.
Für die Benutzer werden Serverprofile verwendet. Die Terminalserver laufen mit Loadbalancing.
Es laufen keine unbekannten Prozesse.
Kann das ein Virus sein? Ist jemand ein Virus bekannt, der diese oder ähnliche Verhaltensmuster aufweist? Ein Virenscan mit Symantec hat keine Ergebnisse geliefert.
mfg
Captnemo
Hallo,
erstmal zur Grundkonfiguration: W2K-Umgebung. 4 Server, davon 2 Terminalserver, 1 DC und 1 BDC zur Datenablage. Per Gigabit vernetzt. Internet über einen seperaten Proxyserver.
Nun zum Phänomen:
Auf dem DC und BDC ist alles normal.
Auf den Terminalserver treten seit 1 bis 1 1/2 Woche folgende Dinge reproduzierbar auf:
- Sehr langsame Internetverbindung
- Beim laden Quicklauch tritt ein unbekannter Fehler auf (nur User, nicht beim Administrator)
- ODBC-Einträge werden nicht gefunden (nur User, nicht beim Administrator)
- Die Verwaltung in der Systemsteuerung ist leer (nur User, nicht beim Administrator)
mehr ist mir noch nicht aufgefallen.
Für die Benutzer werden Serverprofile verwendet. Die Terminalserver laufen mit Loadbalancing.
Es laufen keine unbekannten Prozesse.
Kann das ein Virus sein? Ist jemand ein Virus bekannt, der diese oder ähnliche Verhaltensmuster aufweist? Ein Virenscan mit Symantec hat keine Ergebnisse geliefert.
mfg
Captnemo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 30680
Url: https://administrator.de/forum/kennt-jemand-einen-solchen-virus-30680.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
9 Kommentare
Neuester Kommentar
ja, gibt es...
es ist signifikant dass die internetverbindung sehr langsam ist und das nur ein user-konto betroffen ist. darueber hinaus, die systemsteuerung leer ist...
dabei waere es zunaechst interessant zu wissen, WELCHER unbekannte fehler beim laden von quicklaunch auftritt;
kannst du mit einer kompletten fehlermeldung aufwarten?
wieviel konten sind betroffen?
kannst du mir einen ueberblick geben von der auf den rechnern installierten software?
ich moechte mich vorerst noch nicht festlegen und sagen; du hast den und den virus im netzwerk. da warte ich erst einmal dein posting mit der quicklaunch-fehlermeldung ab und muss erst noch genauer recherchieren. was ich sagen kann, ist, dass du gute chancen hast ein schadprogramm auf dem/den rechnern zu haben.
saludos
gnarff
es ist signifikant dass die internetverbindung sehr langsam ist und das nur ein user-konto betroffen ist. darueber hinaus, die systemsteuerung leer ist...
dabei waere es zunaechst interessant zu wissen, WELCHER unbekannte fehler beim laden von quicklaunch auftritt;
kannst du mit einer kompletten fehlermeldung aufwarten?
wieviel konten sind betroffen?
kannst du mir einen ueberblick geben von der auf den rechnern installierten software?
ich moechte mich vorerst noch nicht festlegen und sagen; du hast den und den virus im netzwerk. da warte ich erst einmal dein posting mit der quicklaunch-fehlermeldung ab und muss erst noch genauer recherchieren. was ich sagen kann, ist, dass du gute chancen hast ein schadprogramm auf dem/den rechnern zu haben.
saludos
gnarff
Ok,
die Quicklaunch ist einfach nur leer. Wenn sie dann aus und wieder eingeblendet werden soll, kommt die Meldung "Die Symbolleiste konnte nicht erstellt werden".
Neu hinzugekommen ist die Tatsache, dass die Internetfavoriten nicht angezeigt werden, aber im Profil definitiv vorhanden sind.
In der Systemsteuerung ist noch alles da. Nur in wenn man dann weiter in Verwaltung geht, ist das dann leer.
Auf die FILE DSN der ODBC kann nicht zugegriffen werden, obwohl vorhanden.
Es werden bei den Fehlern aber keine Ereignisprotokolleinträge erzeugt.
Bei der installierten Software wird es schwierig. Das meiste davon wirst du nicht kennen, das es sich um KFZ-Branchenspezifische Software handelt. Aber Office 2000, Adobe Reader, SUN Java, und das ganze Zeugs, was für den alltäglichen Gebrauch notwendig ist. Dann noch DAT, die TIS-System und so weiter. Eigentlich nix Wildes, und auch nur Clients. Datenbanken uns so weiter liegen alle auf dem BDC.
Mehr weiß ich noch nicht.
Ich bekomme das ja nur so Stück für Stück von den Usern mitgeteilt, wie das halt immer so ist. Und nachfragen nützt dann auch nix, weil die ja jede Meldung gleich wegklicken. Und aufschreiben können die sowieso nicht
Die Softwar ansich läuft ja auch fehlerfrei. Es sind nur die oben aufgeführten Probleme + des langsamen Internets.
mfg
Captnemo
die Quicklaunch ist einfach nur leer. Wenn sie dann aus und wieder eingeblendet werden soll, kommt die Meldung "Die Symbolleiste konnte nicht erstellt werden".
Neu hinzugekommen ist die Tatsache, dass die Internetfavoriten nicht angezeigt werden, aber im Profil definitiv vorhanden sind.
In der Systemsteuerung ist noch alles da. Nur in wenn man dann weiter in Verwaltung geht, ist das dann leer.
Auf die FILE DSN der ODBC kann nicht zugegriffen werden, obwohl vorhanden.
Es werden bei den Fehlern aber keine Ereignisprotokolleinträge erzeugt.
Bei der installierten Software wird es schwierig. Das meiste davon wirst du nicht kennen, das es sich um KFZ-Branchenspezifische Software handelt. Aber Office 2000, Adobe Reader, SUN Java, und das ganze Zeugs, was für den alltäglichen Gebrauch notwendig ist. Dann noch DAT, die TIS-System und so weiter. Eigentlich nix Wildes, und auch nur Clients. Datenbanken uns so weiter liegen alle auf dem BDC.
Mehr weiß ich noch nicht.
Ich bekomme das ja nur so Stück für Stück von den Usern mitgeteilt, wie das halt immer so ist. Und nachfragen nützt dann auch nix, weil die ja jede Meldung gleich wegklicken. Und aufschreiben können die sowieso nicht
Die Softwar ansich läuft ja auch fehlerfrei. Es sind nur die oben aufgeführten Probleme + des langsamen Internets.
mfg
Captnemo
gut danke zunaechst fuer die informationen. hast du die moeglichkeit einen portscan zu machen und mir das resultat per PN zu schicken, und das windows error-reporting solltest du vieleicht auch zu rate ziehen, dort findet man in der regel noch einmal die meldungen, die die user weg geklickt haben, im eventlog. es waere noch wichtig zu wissen, wieviel user-konten betroffen sind...
ich werde mich mit dem was ich bis jetzt schon habe mal hinsetzen und das auswerten und heute abend (jetzt ist es 9:40 a.m. in costa rica), denke ich, werde ich dir schon etwas mehr dazu sagen koennen.
saludos
gnarff
ich werde mich mit dem was ich bis jetzt schon habe mal hinsetzen und das auswerten und heute abend (jetzt ist es 9:40 a.m. in costa rica), denke ich, werde ich dir schon etwas mehr dazu sagen koennen.
saludos
gnarff
gut, hier zunaechst mal die ersten resultate.
1. es gibt natuerlich eine sicherheitsanfaelligkeit bezueglich ODBC, allerdings betrifft die Buffer Overflows und die von dir beschriebenen symptome lassen dies nicht vermuten.
um das OBDC problem in den griff zu bekommen moechte ich dir die software managment suite v3.0 empfehlen. in der software sind die advanced scanning-tools v3.0 enthalten, mit denen es dir eigentlich komfortabel moeglich sein sollte das problem einzugrenzen..
du kannst eine testversion kostenlos herunterladen unter:
http://softwaremanagement.org/download_en.aspx
2. das taskbar oder besser gesagt quicklaunch-prob steht n. m. E. in keinem zusammenhang mit einem "virusproblem".
hast du mal unter "eigenschaften von quicklaunch und auch taskbar nachgeschaut, was da eingestellt ist, es gibt da eine einstellung die inaktive ikons betrifft...
ansonsten koennte man dem problem noch ueber die registry beikommen, habe aber noch nicht den korrekten wert zu deiner OS-version ermitteln koennen. liefere ich dir nach...
3. die systemsteuerung: die ikons sollte man ueber die registry ein- und ausblenden koennen. das sie nicht mehr vorhanden sind koennte auf ein schadprogramm hindeuten..
die langsame internetverbindung, da schreibe ich dir morgen mehr, muss jetzt meinen sohn ins bett bringen
saludos
gnarff
1. es gibt natuerlich eine sicherheitsanfaelligkeit bezueglich ODBC, allerdings betrifft die Buffer Overflows und die von dir beschriebenen symptome lassen dies nicht vermuten.
um das OBDC problem in den griff zu bekommen moechte ich dir die software managment suite v3.0 empfehlen. in der software sind die advanced scanning-tools v3.0 enthalten, mit denen es dir eigentlich komfortabel moeglich sein sollte das problem einzugrenzen..
du kannst eine testversion kostenlos herunterladen unter:
http://softwaremanagement.org/download_en.aspx
2. das taskbar oder besser gesagt quicklaunch-prob steht n. m. E. in keinem zusammenhang mit einem "virusproblem".
hast du mal unter "eigenschaften von quicklaunch und auch taskbar nachgeschaut, was da eingestellt ist, es gibt da eine einstellung die inaktive ikons betrifft...
ansonsten koennte man dem problem noch ueber die registry beikommen, habe aber noch nicht den korrekten wert zu deiner OS-version ermitteln koennen. liefere ich dir nach...
3. die systemsteuerung: die ikons sollte man ueber die registry ein- und ausblenden koennen. das sie nicht mehr vorhanden sind koennte auf ein schadprogramm hindeuten..
die langsame internetverbindung, da schreibe ich dir morgen mehr, muss jetzt meinen sohn ins bett bringen
saludos
gnarff
Was ich auf jeden Fall recht merkwürdig finde, und was mich auch zu der Vermutung bringt, dass es sich evtl. um einen Virus handeln könnte, ist die Tatsache, dass alle Symtome ziemlich zeitgleich aufgetreten sind.
Portscan und weitere Test werde ich jetzt am WE durchführen. In der Woche sind die Server zu stark frequentiert.
Vielleicht fällt dir ja doch noch was ein.
mfg
Captnemo
Portscan und weitere Test werde ich jetzt am WE durchführen. In der Woche sind die Server zu stark frequentiert.
Vielleicht fällt dir ja doch noch was ein.
mfg
Captnemo
ich vermute auch dass du was auf dem system hast, was da nicht hingehoert; schon wegen der zu langsamen internetverbindung.
um die performance der internetverbindung herabzusetzen bedarf es allerdings eines schadprogrammes, das dir eine backdoor auf dem rechner etabliert. daher ist es wichtig einen portscan zu machen. ich weiss nicht was du fuer ein portscanner benutzt, ich wuerde sonst zu Superscan 4.0 raten, download und info unter:
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm& ...
oder
nmap von insecure.org, download und info unter:
http://www.insecure.org/nmap/
-was die verschwundenen ikons im quicklaunch anbetrifft, so waere es hilfreich zu erfahren, welche programme davon betroffen waren...
ein schadprogramm ist ja nicht dazu ausgelegt die quicklaunchbar zu busten!
-was den OBDC-teil des problems anbetrifft, so ist es einfacher und schneller zunaechst einen fehler im softwaremanagment auszuschliessen anstatt im trueben zu fischen und ueber einen eventuellen virus zu orakeln; darum hatte ich dir die Software Managment Suite 3.0 ans herz gelegt. das ist ein maechtiges diagnose-instrument.
wenn deine virenloesung kein schadprogramm beim scan gefunden hat, so versuche es doch mal mit einem zweiten scanning-tool, zb. der on-demand scanner von bitdefender. der ist sehr langsam, aber penetrant gruendlich und entfernt beim scannen gleich alle schaedlinge. ich habe ihn noch nie unter einem netzwerk benutzt, nehme aber an dass es auch funktioniert -wenn auch ein bisschen unkomfortabel.
die befallenen userkonten wuerde ich zunaechst isolieren bzw. stillegen...
saludos
gnarff
um die performance der internetverbindung herabzusetzen bedarf es allerdings eines schadprogrammes, das dir eine backdoor auf dem rechner etabliert. daher ist es wichtig einen portscan zu machen. ich weiss nicht was du fuer ein portscanner benutzt, ich wuerde sonst zu Superscan 4.0 raten, download und info unter:
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm& ...
oder
nmap von insecure.org, download und info unter:
http://www.insecure.org/nmap/
-was die verschwundenen ikons im quicklaunch anbetrifft, so waere es hilfreich zu erfahren, welche programme davon betroffen waren...
ein schadprogramm ist ja nicht dazu ausgelegt die quicklaunchbar zu busten!
-was den OBDC-teil des problems anbetrifft, so ist es einfacher und schneller zunaechst einen fehler im softwaremanagment auszuschliessen anstatt im trueben zu fischen und ueber einen eventuellen virus zu orakeln; darum hatte ich dir die Software Managment Suite 3.0 ans herz gelegt. das ist ein maechtiges diagnose-instrument.
wenn deine virenloesung kein schadprogramm beim scan gefunden hat, so versuche es doch mal mit einem zweiten scanning-tool, zb. der on-demand scanner von bitdefender. der ist sehr langsam, aber penetrant gruendlich und entfernt beim scannen gleich alle schaedlinge. ich habe ihn noch nie unter einem netzwerk benutzt, nehme aber an dass es auch funktioniert -wenn auch ein bisschen unkomfortabel.
die befallenen userkonten wuerde ich zunaechst isolieren bzw. stillegen...
saludos
gnarff
Hi Leute,
also, ich hab jetzt noch mal am WE einen kompletten Virenscan laufen lassen. Zusätzlich hab ich mal Search&destroy und Adaware von Lavasoft laufen lassen. Außer diversen Cookies bzw. ein paar harmlose Dateien im Ordner "Temporäre Internetdateien" und dem Alexa-gedöns kam da nichts bei heraus.
Dann hab ich mal Hijack laufen lassen.....und das hat auch nix verdächtiges gefunden.....
aus lauter Verzweifelung habe ich auch schon mal eine andere Netzwerkkarte eingebaut, und auch einen anderen Port am Hub benutzt. Hat auch nichts gebracht. So langsam weiß ich nicht mehr weiter.
Was mir aufgefallen ist, kann aber auch subjektiv sein, dass es bei Javascripts oder Javaapplets besonders langsam ist. Kennt jemand ein Programm, was die Zeit zum Abrufen von Seite messen kann? Oder eine Programm, mit dem man speziel für Internet weitere Diagnosen machen kann?
Bezüglich der Quicklaunchleiste, betrifft das nur die Schnellstartleiste. Alle andere Symbolleisten lassen sich einblenden. Und dort sind nur die per Default vorhandenen Symbole drin. Wenn ich in den entsprechenden Ordner auf der Festplatte gehe, sind sie aber alle drin und lassen sich auch starten.
Also, ich kann noch gute Ideen gebrauchen Das Ding neu aufsetzen wird eine Schweinearbeit, da hab ich eigentlich keinen Bock drauf. Zumal ich jetzt auch wissen will, ob's ein Schadprogramm ist, oder nicht.
Die anderen im Nezt laufenden Programme scheinen normal schnell zu sein. Aber das kann auch täuschen. Auch hier wäre ein Programm zum messen der Geschwindigkeit interessant. Um es mal mit dem anderen Server zu vergleichen.
Dank euch für eure Zeit und eure Hilfe.
Captnemo
also, ich hab jetzt noch mal am WE einen kompletten Virenscan laufen lassen. Zusätzlich hab ich mal Search&destroy und Adaware von Lavasoft laufen lassen. Außer diversen Cookies bzw. ein paar harmlose Dateien im Ordner "Temporäre Internetdateien" und dem Alexa-gedöns kam da nichts bei heraus.
Dann hab ich mal Hijack laufen lassen.....und das hat auch nix verdächtiges gefunden.....
aus lauter Verzweifelung habe ich auch schon mal eine andere Netzwerkkarte eingebaut, und auch einen anderen Port am Hub benutzt. Hat auch nichts gebracht. So langsam weiß ich nicht mehr weiter.
Was mir aufgefallen ist, kann aber auch subjektiv sein, dass es bei Javascripts oder Javaapplets besonders langsam ist. Kennt jemand ein Programm, was die Zeit zum Abrufen von Seite messen kann? Oder eine Programm, mit dem man speziel für Internet weitere Diagnosen machen kann?
Bezüglich der Quicklaunchleiste, betrifft das nur die Schnellstartleiste. Alle andere Symbolleisten lassen sich einblenden. Und dort sind nur die per Default vorhandenen Symbole drin. Wenn ich in den entsprechenden Ordner auf der Festplatte gehe, sind sie aber alle drin und lassen sich auch starten.
Also, ich kann noch gute Ideen gebrauchen
Das Ding neu aufsetzen wird eine Schweinearbeit, da hab ich eigentlich keinen Bock drauf. Zumal ich jetzt auch wissen will, ob's ein Schadprogramm ist, oder nicht.Die anderen im Nezt laufenden Programme scheinen normal schnell zu sein. Aber das kann auch täuschen. Auch hier wäre ein Programm zum messen der Geschwindigkeit interessant. Um es mal mit dem anderen Server zu vergleichen.
Dank euch für eure Zeit und eure Hilfe.
Captnemo
hi,
ich glaube eher, daß ein Prozeß Deinen Rechner verlangsamt und sich das auf die Internetverbindung, die man subjektiv am besten wahrnimmt, auswirkt.
Beende mal diverse Prozesse und Programm und schau welchen Einfluß das auf Dein Problem hat.
Rückmeldung nicht vergessen.
Gruß Kev
ich glaube eher, daß ein Prozeß Deinen Rechner verlangsamt und sich das auf die Internetverbindung, die man subjektiv am besten wahrnimmt, auswirkt.
Beende mal diverse Prozesse und Programm und schau welchen Einfluß das auf Dein Problem hat.
Rückmeldung nicht vergessen.
Gruß Kev
Hallo,
erst einmal vielen Dank für eure Beiträge. Das Problem mit der langsamen Internetverbindung hab ich mittlerweile gelöst. Schuld war der Virenscanner. Aber bevor mich jetzt alle erschlagen, natürlich hatte ich die Prozesse beendet, und den Virenscanner abgeschaltet. Was aber keinerlei Veränderung bewirkte. Nur als ich aus Verzweifelung dann ein Programm nach dem anderen deinstaliert habe, und schließlich auch den Virenscanner, war das Problem behoben.
Dann hab ich den Virenscanner wieder neu installiert, und es läuft ohne Probleme. Dieses Ding muß sich irgendwie durch ein Internetupdate selbst ausgehebelt haben. Zur Information: es war Symantec Corporate Edition.
Das mit der nicht angezeigten Schnellstartleiste und der leeren Systemsteuerung ist noch nicht gelöst, aber da das nicht direkt das Arbeiten der User behindert, kann ich danach jetzt in Ruhe weitersuchen.
Bin schon mal zufrieden, dass es doch keine Trojaner oder Virus war
Als dann, nochmals vielen Dank für die Beiträge, Ratschläge und Anregungen die mich am Ende ja auch der Lösung immer ein Stück näher gebracht hat.
mfg
Captnemo
erst einmal vielen Dank für eure Beiträge. Das Problem mit der langsamen Internetverbindung hab ich mittlerweile gelöst. Schuld war der Virenscanner. Aber bevor mich jetzt alle erschlagen, natürlich hatte ich die Prozesse beendet, und den Virenscanner abgeschaltet. Was aber keinerlei Veränderung bewirkte. Nur als ich aus Verzweifelung dann ein Programm nach dem anderen deinstaliert habe, und schließlich auch den Virenscanner, war das Problem behoben.
Dann hab ich den Virenscanner wieder neu installiert, und es läuft ohne Probleme. Dieses Ding muß sich irgendwie durch ein Internetupdate selbst ausgehebelt haben. Zur Information: es war Symantec Corporate Edition.
Das mit der nicht angezeigten Schnellstartleiste und der leeren Systemsteuerung ist noch nicht gelöst, aber da das nicht direkt das Arbeiten der User behindert, kann ich danach jetzt in Ruhe weitersuchen.
Bin schon mal zufrieden, dass es doch keine Trojaner oder Virus war
Als dann, nochmals vielen Dank für die Beiträge, Ratschläge und Anregungen die mich am Ende ja auch der Lösung immer ein Stück näher gebracht hat.
mfg
Captnemo
