Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden
Hallo zusammen,
ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!
Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“
Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.
Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?
Logfile mit HijackThis habe ich natürlich schon erstellt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:49, on 15.09.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mmc.exe
C:\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://download.eset.com
O15 - ESC Trusted Zone: http://www.eset.de
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://www.hijackthis.de
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\Software\..\Telephony: DomainName = frye.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!
Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“
Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.
Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?
Logfile mit HijackThis habe ich natürlich schon erstellt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:49, on 15.09.2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\WINDOWS\System32\wins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mmc.exe
C:\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://download.eset.com
O15 - ESC Trusted Zone: http://www.eset.de
O15 - ESC Trusted Zone: http://www.google.de
O15 - ESC Trusted Zone: http://www.hijackthis.de
O15 - ESC Trusted Zone: http://runonce.msn.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\Software\..\Telephony: DomainName = frye.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124965
Url: https://administrator.de/contentid/124965
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
16 Kommentare
Neuester Kommentar
Hi,
Hab deine Prozesse mal durch geschaut und bis jetzt nichts verdächiges gefunden.
Meistens schaue ich hier nach http://www.processlibrary.com . Aber tue dir selbst einen gefallen und lass die Seite auf Englisch, die deutschen Übersetzungen sind mehr als dürftig.
Als kleine Anmerkung fürs nächste mal: Poste keine internen IP's oder Domainnamen öffentlich im internet
MfG Tobias
Hab deine Prozesse mal durch geschaut und bis jetzt nichts verdächiges gefunden.
Meistens schaue ich hier nach http://www.processlibrary.com . Aber tue dir selbst einen gefallen und lass die Seite auf Englisch, die deutschen Übersetzungen sind mehr als dürftig.
Als kleine Anmerkung fürs nächste mal: Poste keine internen IP's oder Domainnamen öffentlich im internet
MfG Tobias
Wenn ich das jetzt richtig verstanden habe, dann liegt Dein Problem darin, dass in der Liste der Dienste einige mit merkwürdigem Namen vorhanden sind, die aber nicht gestartet sind. Ansonsten läuft aber alles zu Deiner Zufriedenheit.
Ist das so richtig?
Hast Du die vorhandenen Dienste mal mit einer Liste der "üblichen" Dienste verglichen? Es gibt viele, die genau diesen Startbefehl nutzen. - Nicht, dass das ganz normale Dienste sind und lediglich die Anzeige (oder Namenseinträge) aus irgendeinem Grund zerschossen sind.
Zum ersten Problem wäre es schön zu wissen, welche Prozesse an der 100% CPU-Last verantwortlich waren um hier noch was dazu sagen zu können.
Ist das so richtig?
Hast Du die vorhandenen Dienste mal mit einer Liste der "üblichen" Dienste verglichen? Es gibt viele, die genau diesen Startbefehl nutzen. - Nicht, dass das ganz normale Dienste sind und lediglich die Anzeige (oder Namenseinträge) aus irgendeinem Grund zerschossen sind.
Zum ersten Problem wäre es schön zu wissen, welche Prozesse an der 100% CPU-Last verantwortlich waren um hier noch was dazu sagen zu können.
Derzeit läuft zwar alles aber ich nehme stark an das bald wieder der super Gau folgt und vorreiter sind diese komischen Dienste. Deswegen ersuche ich um Hilfe weil ich selber nicht mehr weiss wie ich das Problem lösen kann. Ich habe den Server jetzt nämlich schon 3 mal neu aufgesetzt und jedesmal kam der Fehler wieder.
Hier ein Screenshot aus dem Process Explorer
http://architekt-frye.de/bild1.jpg
Passte nicht alles auf einen deswegen hier der zweite
http://architekt-frye.de/bild2.jpg
Und hier einmal ein Screenshot eines defekten Dienstes
http://architekt-frye.de/bild3.jpg
Da der Server derzeit gut läuft kann ich den Prozess nicht durchgeben. Zurzeit sind nur die Dienste mit den komischen Namen aufgetaucht. Beim letzten mal war es aber zum Beispiel der Prozess "svchost.exe" der die Auslastung brachte.
Hier ein Screenshot aus dem Process Explorer
http://architekt-frye.de/bild1.jpg
Passte nicht alles auf einen deswegen hier der zweite
http://architekt-frye.de/bild2.jpg
Und hier einmal ein Screenshot eines defekten Dienstes
http://architekt-frye.de/bild3.jpg
Da der Server derzeit gut läuft kann ich den Prozess nicht durchgeben. Zurzeit sind nur die Dienste mit den komischen Namen aufgetaucht. Beim letzten mal war es aber zum Beispiel der Prozess "svchost.exe" der die Auslastung brachte.
Zitat von @Jannik84:
Beim letzten mal war es aber zum Beispiel der Prozess
"svchost.exe" der die Auslastung brachte.
Beim letzten mal war es aber zum Beispiel der Prozess
"svchost.exe" der die Auslastung brachte.
Und weiter? Welches Programm stand dahinter?
Du kannst nicht jedesmal einen Server neu aufsetzen wenn Du ein Problem hast. Offensichtlich hast Du ja intensiv nach Viren und Würmern gesucht und nix gefunden. Dann verabschiede Dich mal davon und geh die Sache richtig an.
Analysiere bei Auftreten von Serverlast, wodurch das verursacht wird. Du hast ja den Process Explorer und kannst das damit wunderbar feststellen.
Es kommt schon hin und wieder vor, dass es durch bestimmte Umstände zu einer 100% Prozessorlast von svchost.exe kommt. Früher gab es mal einen Bug beim automatischen Update. In dem Fall würde Wuauclt.exe die svchost.exe laden. Das würde ich auf dem Server sowieso abschalten, da hat IMHO nix automatisch zu passieren.
Abgesehen davon - Du bist doch auf dem aktuellsten Patchstand?
Zu den Diensten. Kannst Du die anfassen? Ich meine deaktivieren? Wenn sie eh nicht laufen?
Für mich sieht das nach Leiche aus. Da versucht irgendwas einen Dienst zu installieren oder anzustoßen und das klappt nicht.
Ich würd die erstmal deaktiveren oder gar löschen, falls machbar - und beobachten.
Logs im Auge haben und beobachten. Apropos Logs... Was sagt denn die Ereignisanzeige? Nur mal so nebenbei gefragt....
Falls nicht jemand einen konkreten Ansatzpunkt hat, wirst Du sonst nicht weiterkommen.
Gruß
Jürgen
Edit: Hier hab ich noch was gefunden, nur als Beispiel - könnts auch sein... könnt so viel sein...
alle 12 Sekunden 100% CPU-Last, SVCHOST, IP Verkehr zu falschem Server
In der Ereignisanzeige steht zwar der ein oder andere Fehler aber nichts was mich wirklich weiter bringt. Es tauchen Fehler zu den Diensten auf die ich angesprochen habe.
Beispiel:
Der Dienst "jigdqkmÉ" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.
Die Dienste habe ich jetzt deaktiviert, das ging auch. Wie würdest du einen Dienst komplett löschen?
Ich vermute aber wirklich, dass sich eine bösartige Software in Systemdateien gesetzt hat und selbst wenn ich die dienste weg habe sind die noch da.
Beispiel:
Der Dienst "jigdqkmÉ" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.
Die Dienste habe ich jetzt deaktiviert, das ging auch. Wie würdest du einen Dienst komplett löschen?
Ich vermute aber wirklich, dass sich eine bösartige Software in Systemdateien gesetzt hat und selbst wenn ich die dienste weg habe sind die noch da.
Hallo Jannik,
Kannst du sagen, ob die Dienst "neu" sind oder ob die Darestellung eines vorhendenen Diestes in der Liste geschossen wurde? Dazu müsstest du eine alte Liste der Dienste ohne die "komischen" haben. Falls du die nicht hast, lese eine aus.
geTuemII
und selbst wenn ich die dienste weg habe sind die noch da.
was möchte mir denn dieser Satz sagen?Kannst du sagen, ob die Dienst "neu" sind oder ob die Darestellung eines vorhendenen Diestes in der Liste geschossen wurde? Dazu müsstest du eine alte Liste der Dienste ohne die "komischen" haben. Falls du die nicht hast, lese eine aus.
geTuemII
Hallo Heiko und schönen Gruß nach Münster,
an Deiner Stelle würde ich mal dringend professionelle Hilfe in Anspruch nehmen. Es kann doch keiner daran Interesse daran haben wenn ein produktiv genutzter Server andauern neu aufgesetzt werden muss oder was noch schlimmer ist als Viren-/Spamschleuder unterwegs ist. Übrigens gehe ich nicht davon aus das Du ein Virenproblem hast, allerdings würde ich an Deiner Stelle mal eine Offlineüberprüfung mit den üblichen Verdächtigen machen.
Dann würde ich Dir dringend raten Dich im Bereich "Strukturierte Fehlersuche" fit zu machen.
Gruß,
Andreas
an Deiner Stelle würde ich mal dringend professionelle Hilfe in Anspruch nehmen. Es kann doch keiner daran Interesse daran haben wenn ein produktiv genutzter Server andauern neu aufgesetzt werden muss oder was noch schlimmer ist als Viren-/Spamschleuder unterwegs ist. Übrigens gehe ich nicht davon aus das Du ein Virenproblem hast, allerdings würde ich an Deiner Stelle mal eine Offlineüberprüfung mit den üblichen Verdächtigen machen.
Dann würde ich Dir dringend raten Dich im Bereich "Strukturierte Fehlersuche" fit zu machen.
Gruß,
Andreas
Schau Dir das mal an, könnte Dir grundsätzlich weiterhelfen.
http://www.serverhowto.de/Applikationen-als-Dienste-einrichten.228.0.ht ...
Es gibt auch andere Tools die sowas können - ich benutze z.B. DameWare zur Remoteverwaltung, das kann das auch.
Ansonsten auch von mir nochmal der Hinweis auf den Vergleich der Diensteliste mit einer "Originalliste" - bzw. der Überprüfung auf notwendige Dienste. Ich seh da beispielsweise in Deiner Liste den Irmon - für Infrarotübertragung. Wenn sowas nicht genutzt wird - deaktivieren.
Zur Ereignisanzeige - jeder Fehler kann einen kleinen Hinweis geben. Überprüfe auch die Log-Einstellungen und erweitere das notfalls, damit mehr geloggt wird.
Und letztendlich solltest Du natürlich noch die Sicherheit im Auge haben. Nicht, dass Du hier remote irgendwelche Sachen "anziehst"...
Sind beispielsweise die Workstations komplett auf Viren, Würmer, etc. gecheckt und laufen dort Scanner mit?
Wie schauts mit der Netzwerksicherheit aus - Firewall, Routersicherheit, etc.
"Strukturierte Fehlersuche" ... ja genau.
Gruß
Jürgen
Die Option einen offlinescan durchzurühren habe ich schon hinter mir, leider ebenfalls ohne Erfolg!
In Sachen Strukturierte Fehlersuche bin ich jetzt auf Hilfe angewiesen und ich hoffe das mir hier ein Schubs in die richtige Richtung gegeben wird.
Leider kann ich nicht sagen ob die Dienste neu sind. Wie bereits erwähnt sind es sechs für mich ungewöhnliche Dienste. Zwei davon haben einen kryptischen Namen, die weiteren 4 einfach nur ein nichts bedeutendes Wort. Das letzte mal, vor der Neuinstallation, waren es übrigens auch erst 4 oder 6 und später kamen immer mehr dazu.
Aufgelistet sind das folgende Dienste:
Dienst 1: Siehe Screenshot oben
Dienst 2: http://architekt-frye.de/dienst1.jpg
Dienst 3: http://architekt-frye.de/dienst2.jpg
Dienst 4: Name: Ias Anzeigename: Ias
Dienst5: Name: Iprip Anzeigename: Iprip
Dienst 6: Name: Irmon Anzeigename: Irmon
Unter „HKLM\System\CCS\Services“ tauchen nur die 4 Dienste auf die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvc_757048a6
Die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:
http://architekt-frye.de/service1.jpg
http://architekt-frye.de/service2.jpg
Dienste warden auch mit MSConfig angezeigt, deaktivieren geht grad schlecht da ich den Server nicht neustarten kann.
In Sachen Strukturierte Fehlersuche bin ich jetzt auf Hilfe angewiesen und ich hoffe das mir hier ein Schubs in die richtige Richtung gegeben wird.
Leider kann ich nicht sagen ob die Dienste neu sind. Wie bereits erwähnt sind es sechs für mich ungewöhnliche Dienste. Zwei davon haben einen kryptischen Namen, die weiteren 4 einfach nur ein nichts bedeutendes Wort. Das letzte mal, vor der Neuinstallation, waren es übrigens auch erst 4 oder 6 und später kamen immer mehr dazu.
Aufgelistet sind das folgende Dienste:
Dienst 1: Siehe Screenshot oben
Dienst 2: http://architekt-frye.de/dienst1.jpg
Dienst 3: http://architekt-frye.de/dienst2.jpg
Dienst 4: Name: Ias Anzeigename: Ias
Dienst5: Name: Iprip Anzeigename: Iprip
Dienst 6: Name: Irmon Anzeigename: Irmon
Unter „HKLM\System\CCS\Services“ tauchen nur die 4 Dienste auf die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvc_757048a6
Die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:
http://architekt-frye.de/service1.jpg
http://architekt-frye.de/service2.jpg
Dienste warden auch mit MSConfig angezeigt, deaktivieren geht grad schlecht da ich den Server nicht neustarten kann.
Zitat von @Jannik84:
Kann ich nicht sagen, habe kein Netware im Einsatz wird aber sicher
Standartmäßig bei dem Betriebssystem bei sein?
Kann ich nicht sagen, habe kein Netware im Einsatz wird aber sicher
Standartmäßig bei dem Betriebssystem bei sein?
Nein.
Ähem...
IPRIP: http://support.microsoft.com/default.aspx?scid=kb;DE;314056
oder: http://www.windows-fehler.de/windows-netzwerk-tools-rip-t216.html
IAS: http://www.microsoft.com/windows/windows2000/de/server/help/sag_ias_dep ...
IRMON erwähnte ich schon... Infrarot-Übertragungsdienst
Bist Du sicher, dass Du weißt, was Du da tust und installiert hast?
Ich mein ja nur.
IPRIP: http://support.microsoft.com/default.aspx?scid=kb;DE;314056
oder: http://www.windows-fehler.de/windows-netzwerk-tools-rip-t216.html
IAS: http://www.microsoft.com/windows/windows2000/de/server/help/sag_ias_dep ...
IRMON erwähnte ich schon... Infrarot-Übertragungsdienst
Bist Du sicher, dass Du weißt, was Du da tust und installiert hast?
Ich mein ja nur.