skyscraber
16.12.2013 um 17:45:04 Uhr
view2161
view12
0
Goto Top

Wer startet Dienste auf dem Server neu

FrageMicrosoftWindows Server
Hallo Zusammen,

auf einem Windows 2008 R2 Server sehe ich im Eventlog, dass alle 6 Stunden ein Dienst durchgestartet wird.
Ich sehe aber leider nicht warum dies passiert (Weder die Anwendung selbst noch ein geplanter Task auf dem entsprechenden Server tut dies).

Ich vermute einen net stop / net start von einem anderen Server - kann ich irgendwie herausfinden woher solche Kommandos kommen können?

Vielen Dank für eine kurze Hilfe!

Markus
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 224636

Url: https://administrator.de/forum/wer-startet-dienste-auf-dem-server-neu-224636.html

Ausgedruckt am: 12.04.2025 um 17:04 Uhr

12 Kommentare
Neuester Kommentar
Goto Top
Xaero1982
Xaero1982 16.12.2013 um 18:03:18 Uhr
Goto Top
Hi,

welcher Dienst denn?

Gruß
skyscraber
skyscraber 16.12.2013 um 18:11:55 Uhr
Goto Top
Ist eine spezielle Software (also kein Betriebssystemdienst)
Xaero1982
Xaero1982 16.12.2013 um 19:11:26 Uhr
Goto Top
Gut, du willst offenbar keine Hilfe.

Schönen Abend noch.

Gruß
skyscraber
skyscraber 16.12.2013 um 20:15:59 Uhr
Goto Top
Doch, ich dachte nur deine Frage zielt auf spezielle Dienste ab.
Heißen tut der Dienst fwsytemmngr.

Viele Grüße,

Markus
emeriks
emeriks 17.12.2013 um 13:47:53 Uhr
Goto Top
Hi,
3 Ideen:
1. Der Dienst tut das selbst. Kann man ja programmieren.
2. Der Dienst klappt Dir nach 6h ab, warum auch immer, und in den Dienst-Einstellungen unter "Wiederherstellung" ist eingetragen "Dienst neu starten"
3. Überwachung aktivieren und dann viel Spaß beim Lesen des Sicherheit-Eventlogs.

mfg
E.
skyscraber
skyscraber 17.12.2013 um 23:22:16 Uhr
Goto Top
Hallo und vielen Dank.

Der Dienst selbst ist es nicht und auch "wegklappen" tut er nicht (sind immer gerade Uhrzeiten 12:00 18:00 24:00 Uhr - wäre schon sehr viel Zufall face-wink )

Welche Überwachung wäre möglich? Meine Vermutung ist aktuell, dass auf irgendeinem Anderen Server ein geplanter Task läuft der mit netstop netstart meinen Dienst
steuert.

Vielen Dank,

Markus Aigner
Xaero1982
Xaero1982 17.12.2013 um 23:32:57 Uhr
Goto Top
Da du uns nicht verrätst was für ein Programm das sein soll wird das hier ein heilloses Rätselraten - für mich sinnlos. Sorry.

Gruß
skyscraber
skyscraber 18.12.2013 um 10:26:42 Uhr
Goto Top
@ Xaero1982:

Der Dienst heißt fwsytemmngr - ist eine Entwicklung eines kleinen Unternehmens (friendWorks). Von Dort habe ich die Info, dass der Dienst sich nicht eigenständig startet.

D.h. für mich, dass auf einem anderen Server etwas läuft, dass diesen Dienst mit net stop / net start durchstartet.
Das würde ich gerne herausfinden. ich finde in keinen Eventlogs etwas und das Programm selbst protokolliert auch nicht.

Viele Grüße
Xaero1982
Xaero1982 18.12.2013 um 11:00:18 Uhr
Goto Top
Gut, also was vollkommen unbekanntes.

Hast du die Taskplaner durchgesehen? Gibt es hier irgendwas?

Ansonsten kannst du es höchstens versuchen in dem du dir ein Programm wie Wireshark installierst und dir mal die Einträge ansiehst, ob irgendwer oder irgendwas aus dem Netz auf den Server zugreift zu dieser Zeit.

Knifflig ... face-confused

Gruß
skyscraber
skyscraber 18.12.2013 um 11:15:22 Uhr
Goto Top
ah, das tool ist schon mal ein tipp. Mal sehen ob ich das installieren darf.

Die Tasks am Server direkt habe ich geprüft, da ist nicht (daher mein verdacht, dass es ein entfernter Server ist - aber das können viele sein ;)

VIelen Dank!
emeriks
emeriks 18.12.2013 um 11:57:51 Uhr
Goto Top
Du könntest die Zugriffsberechtigungen für diesen Dienst einschränken auf Lokales System und lokalem Administrator (nicht die Gruppe "Administratoren"). Das kannst Du per GPO erledigen.
Dann das Passwort des lokalen Admins ändern.
Wenn jetzt remote ein Task läuft, dann sollte der nicht mehr das Recht haben, diesen Dienst zu starten. Also wenn der Dienst dann durchläuft, dann hättest Du wahrscheinlich Recht mit Deiner Vermutung.
Cthluhu
Cthluhu 18.12.2013 um 12:06:47 Uhr
Goto Top
Hi,
Zitat von @skyscraber:
Der Dienst selbst ist es nicht und auch "wegklappen" tut er nicht (sind immer gerade Uhrzeiten 12:00 18:00 24:00 Uhr -
wäre schon sehr viel Zufall face-wink )
Die geraden Uhrzeiten sind in der Tat verdächtig. Vor kurzem gab es hier auf administrator.de einen Betrag (finde den Link grad nicht mehr) in welchem der Virenscanner bei seinen regelmäßigen Updateversuchen probleme verursachte.
Kann es sein, dass die unbekannte Software von sich aus updates macht (und sich dann neu startet) oder einen Watchdog hat, welcher amok läuft?

mfg

Cthluhu
FrageMicrosoftWindows Server
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 62 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 40 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LichtgeschwindigkeitMysticFoxDE - 26 KommentareBitsortiererInformatik Studium Ja oder Nein?Bitsortierer - 25 KommentareMysticFoxDEWINDOWS 11 24H2 - CU25-04 - TAGEBUCH - TAG 1MysticFoxDE - 21 KommentareFlashLightzKann PC nicht der Domäne hinzufügenFlashLightz - 18 KommentareDerWoWussteThunderbird per IMAP an Exchange - Lesebestätigung verhindernDerWoWusste - 17 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 16 KommentareAndi-75Zugriff auf NAS-Ordner von VM nicht möglichAndi-75 - 16 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 14 KommentareAbstrackterSystemimperatorFragen zum bevorstehenden FachgesprächAbstrackterSystemimperator - 13 KommentareinsidERRUSB-Dongle wird in der VirtualBox VM (zweiter Host) nicht richtig erkanntinsidERR - 13 KommentarekpunktSQL 2022 Standard richtig lizensieren (wieder mal)kpunkt - 12 Kommentare