Server Konsolenanmeldung (auch RD-Anmeldung) wird sofort wieder abgemeldet
Hallo
es läuft ein Win2003 Server als Terminalserver.
Seit gestern ist kein Zugriff mehr möglich.
Die Server Konsolenanmeldung (auch RD-Anmeldung) wird sofort wieder beendet.
Auch im abgesicherten Modus wird die Anmeldung sofort wieder abgemeldet.
Kennt das jemand ? Kann das ein Virus/Trojaner etc. sein.
Ich kann gernicht zugreifen weder Protokolle auslesen etc. Kann auch nicht direkt auf die Daten zugreifen (RAID-System).
Kann jemand helfen ?
Dank - Gruß Kurti
es läuft ein Win2003 Server als Terminalserver.
Seit gestern ist kein Zugriff mehr möglich.
Die Server Konsolenanmeldung (auch RD-Anmeldung) wird sofort wieder beendet.
Auch im abgesicherten Modus wird die Anmeldung sofort wieder abgemeldet.
Kennt das jemand ? Kann das ein Virus/Trojaner etc. sein.
Ich kann gernicht zugreifen weder Protokolle auslesen etc. Kann auch nicht direkt auf die Daten zugreifen (RAID-System).
Kann jemand helfen ?
Dank - Gruß Kurti
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 89147
Url: https://administrator.de/forum/server-konsolenanmeldung-auch-rd-anmeldung-wird-sofort-wieder-abgemeldet-89147.html
Ausgedruckt am: 23.12.2024 um 20:12 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Ist irgendwas an der Hardware geändert worden, bevor die Aktivierung erfolgt ist?
Könnte ein automatisches Update erfolgt sein?
Zugriff: Geh auf einen anderen Rechner (XP, 2000, Vista, Server, egal, Hauptsache ein NT-basiertes Windows), melde Dich als ein User an, der auf dem WTS lokal genügend Rechte hat, die Ereignisanzeige zu lesen, z.B. der Domänenadmin oder der lokale Admin.
Rechte Maustaste auf "Arbeitsplatz", links: "verwalten", "Computer/lokaler COmputer" -> rechte Maustaste "Anderen PC verwalten", Terminalserver auswählen, schauen, was Du findest und / oder bedienen kannst.
Bonkers
Ist irgendwas an der Hardware geändert worden, bevor die Aktivierung erfolgt ist?
Könnte ein automatisches Update erfolgt sein?
Zugriff: Geh auf einen anderen Rechner (XP, 2000, Vista, Server, egal, Hauptsache ein NT-basiertes Windows), melde Dich als ein User an, der auf dem WTS lokal genügend Rechte hat, die Ereignisanzeige zu lesen, z.B. der Domänenadmin oder der lokale Admin.
Rechte Maustaste auf "Arbeitsplatz", links: "verwalten", "Computer/lokaler COmputer" -> rechte Maustaste "Anderen PC verwalten", Terminalserver auswählen, schauen, was Du findest und / oder bedienen kannst.
Bonkers
Hmmmmmmmmmmmmmmmmmmmmmmmmmmm (ich denke gerade nach, bitte nicht stören) mmmmmmmmmmmmmmmmmmmmmm !
Wie sieht's denn aus mit Bart's PE oder Knoppix und manuelle Beseitigung? Ich habe das Glück - oder das Problem, wie man will - dass ich seit fast fünf Jahren nichts mehr mit Viren, Trojanern udgl. zu tun hatte, bei mir gibt's die Möglichkeiten einfach nicht. Von daher kenne ich den aktuellen Aufwand nur vom Hörensagen. Oder gibt's halbwegs aktuelle Images von dem TS? Dann würde ich der Einfachheit und Zeitersparnis halber kurzerhand das zurücksetzen.
Alles andere wird in jedem Fall mal Frickelei, denn wenn schon der abgesicherte Modus nicht funktioniert, dann bleibt ja nur noch ein CD-Start oder eine Reparaturinstallation mit noch unklaren Folgen. Wär' allerdings auch 'ne Möglichkeit: Mit einer aktuellen Virenscanner-CD den Server starten und testen, säubern, Reparaturinstallation, erneut testen (am besten überhaupt nicht im normalen, sondern gleich im abgesicherten Modus starten), was mit Viren so ist, diesmal von Windows aus.
Bevor sich da jemals wieder ein User dran anmelden darf, auf jeden Fall die lokalen Kopien aller Benutzerprofile entsorgen.
Vielmehr bleibt nicht. Und dann dafür sorgen, dass nie wieder eine exe ausgeführt wird, die nicht explizit von Admin dazu freigegeben wurde. Und mit dem Chef klären, dass bei Neueinstellungen der allgemeine PC- und Internetführerschein Voraussetzung für die engere Wahl wird
Bonkers
Wie sieht's denn aus mit Bart's PE oder Knoppix und manuelle Beseitigung? Ich habe das Glück - oder das Problem, wie man will - dass ich seit fast fünf Jahren nichts mehr mit Viren, Trojanern udgl. zu tun hatte, bei mir gibt's die Möglichkeiten einfach nicht. Von daher kenne ich den aktuellen Aufwand nur vom Hörensagen. Oder gibt's halbwegs aktuelle Images von dem TS? Dann würde ich der Einfachheit und Zeitersparnis halber kurzerhand das zurücksetzen.
Alles andere wird in jedem Fall mal Frickelei, denn wenn schon der abgesicherte Modus nicht funktioniert, dann bleibt ja nur noch ein CD-Start oder eine Reparaturinstallation mit noch unklaren Folgen. Wär' allerdings auch 'ne Möglichkeit: Mit einer aktuellen Virenscanner-CD den Server starten und testen, säubern, Reparaturinstallation, erneut testen (am besten überhaupt nicht im normalen, sondern gleich im abgesicherten Modus starten), was mit Viren so ist, diesmal von Windows aus.
Bevor sich da jemals wieder ein User dran anmelden darf, auf jeden Fall die lokalen Kopien aller Benutzerprofile entsorgen.
Vielmehr bleibt nicht. Und dann dafür sorgen, dass nie wieder eine exe ausgeführt wird, die nicht explizit von Admin dazu freigegeben wurde. Und mit dem Chef klären, dass bei Neueinstellungen der allgemeine PC- und Internetführerschein Voraussetzung für die engere Wahl wird
Bonkers
Boot-CD - Virenscanner - RAID: Bei Bart's PE kannst Du Treiber und Virenscanner einbinden. Auch der Textmodustreiber ist möglich, mit den alten GDT-Controllern und den aktuellen Intel funktioniert das einwandfrei.
Vielleicht jetzt nicht mehr unbedingt für diesen Fall, weil doch einiges vorzubereiten ist, aber für spätere Fälle vielleicht mal.
Bonkers
Vielleicht jetzt nicht mehr unbedingt für diesen Fall, weil doch einiges vorzubereiten ist, aber für spätere Fälle vielleicht mal.
Bonkers
Hallo,
hatte dieses Problem jetzt schon auf mehreren Kundenrechnern. Alle Rechner hatten den gleichen "veralteten" Virescanner drauf.
Das Problem ist definitiv ein Virus der die logon angreift. Hier bleiben nur 2 Optionen:
1. Neuinstallation
2. Rücksicherung eines Images
Die genaue Ursache (Rechnung.exe) oder so kann ich nicht bestätigen, alle Kunden haben hier kein identisches Surfverhalten oder Spambefall.
hatte dieses Problem jetzt schon auf mehreren Kundenrechnern. Alle Rechner hatten den gleichen "veralteten" Virescanner drauf.
Das Problem ist definitiv ein Virus der die logon angreift. Hier bleiben nur 2 Optionen:
1. Neuinstallation
2. Rücksicherung eines Images
Die genaue Ursache (Rechnung.exe) oder so kann ich nicht bestätigen, alle Kunden haben hier kein identisches Surfverhalten oder Spambefall.