"Rechner wird in 59sec. neu gestartet"

Hallo Ihr!

Ich habe hier im Netzwerk an 2 Win2000 Rechnern o.g. Problem. Es geht ein Fenster auf, in dem ein Fehler gemeldet wird und das der Rechner in 1 Min automatisch neu gestartet wird. Als Fehlerquelle wird die lsass angegeben [bin leider noch nicht dazu gekommen, einen Screenshot zu machen]. Daraufhin habe ich den Sasser-Remover von Bitdefender [Sasser a-f] durchlaufen lassen, der hat nichts gefunden. Auf beiden Rechnern ist AntiVir installiert [mit neuesten Updates], auch das findet im Win-Ordner nichts. Das Fenster kommt auf beiden Rechnern fast zeitgleich, nur etwa 10sec. verzögert. Bis jetzt ist es 2mal aufgetreten.
Es hängt noch ein anderer Rechner am Netz, auf ihm ist kein AntiVir installiert, da ist bis jetzt nichts passiert.

Wäre wirklich dankbar, wenn mir da jemand helfen könnte!


Grüße

Namxi

 

Sind die Systeme etwa ungepatched?

 

Soweit ich weiß, ja. Die liefen aber seit mehreren Jahren ohne Probleme..

Aber jetzt wird es langsam krass.

Erst kamen die Neustarts mit Ankündigung immer öfter, dann wurde das I-Net extrem langsam [DSL], Seiten haben mehrere Minuten gebraucht, um sich vollständig aufzubauen, jetzt geht das I-Net gar nicht mehr [nach einiger Zeit kommt als Fehlermeldung "Zeitüberschreitung"] und die Neustarts erfolgen im Minutentakt. Der eine Rechner ohne AntiVir läuft immer noch ohne Probleme. Manchmal geht das I-Net direkt nach dem Neustart wieder, aber nur für 1-2 Minuten, dann ist wieder Ruhe.

AntiVir hat zwischendrin mal einen Virus/Wurm gefunden, ohne dass ich danach gesucht habe [Guard] und zwar den hier: Worm/Sdbot.16436 .


Ich weiß mir jetzt wirklich nicht mehr zu helfen. es wäre schon sehr hilfreich, wenn ich die andauernden Neustarts irgendwie unterbinden könnte. Ansonsten hat AntiVir noch nichtmal 10% durchsucht, da startet er schon wieder neu.


Vielen Dank vorab!!


Grüße

Namxi

 

Ungepatcht also ohne Updates:
Alle Neuaufsetzen und updaten. Für's nächste Mal hast du damit zumindest einen Lerneffekt.

 

Das kann doch nicht die einzige Lösung sein?!?


Grüße

Namxi

 

Erst mußt mal den Wurm entfernen, aber vorher den Shutdown abbrechen das geht mit: Start/Ausführen shutdown -a
und nun den Wurm entfernen:
http://sicher-ins-netz.info/wuermer/sasser.html

 

shutdown -a funktioniert nicht. Liegt wohl am ehesten daran, dass es aller Wahrscheinlichkeit nach kein Sasser ist:

Auf der Seite war ich auch schon..


Grüße

Namxi

 

Nein. Es liegt daran, dass w2k diesen Befehl nicht kennt. Da die Verseuchung offensichtlich im schnellen Tempo um sich greift, wird wohl nur das "Plattmachen" bleiben. Vorher solltest du aber dringend beide Rechner vom Internet als auch vom LAN trennen (Kabel raus ).

 

Oh man, das ist aber schlecht..

Naja, wenn doch noch jemand ne Chance sieht, bitte melden, ansonsten mach ich morgen beide platt.


Grüße

Namxi

 

Wenn die PCs vom Netzt getrennt sind, wird es ja nicht mehr schlimmer.

Um das Runterfahren zu verhindern, kannst du Dienste und Treiber in der Wiederherstellungskonsole deaktivieren.
Die rot markierten reichen für den Betrieb vorläufig:
http://www.winfaq.de/faq_html/tip0995.htm

Dann kannst du mal das Tool zur Beseitigung bösartiger Software bei MS runterladen und durchlaufen lassen. Es kann zumindest die schlimmsten Würmer beseitigen, die den PC zum Runterfahren bringen. Nachgeladener Schadcode und Backdoors sind damit zwar immer noch da, aber das System läuft zumindest mal isoliert. http://www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx

 

Cool, Dankeschön!! So kann ich wenigstens noch vernünftig Backups machen!


Grüße

Namxi

 

Nicht wirklich, wenn du vorher alle Dienste weghackst. Sichern kannst du auch über's LAN (vorausgesetzt sowas ist vorhanden) per Adminfreigaben. Dazu braucht der Rechner nur bis zum Anmeldebildschirm hochfahren (und da schlägt der Sasser noch nicht zu).

 

Sasser? Hätte da der Sasser-Remover von Bitdefender nicht was finden müssen? Wenigstens im Windows-Ordner?

Was meinst Du mit sichern übers Lan per Admin-Freigaben? Adminfreigaben auf dem befallenen Rechner? Wo einstellen?

Gibt es eine Version von AntiVir / ein anderes Virenprogramm, das im abgesicherten Modus läuft?

Gibt es einen speziellen Dienst, den ich deaktivieren kann, um die Neustarts zu verhindern oder muss ich alle deaktivieren?


Grüße

Namxi

 

Mir fällt grad nochwas ein: Was für Möglichkeiten hätte ich eigentlich mit einem neuen Windows, ohne die Platte zu formatieren? Sitzen die meisten Würmer/Viren nur im Windows-Verzeichnis oder verteilen die sich überall auf der Platte? Wenn letzteres der Fall ist, nützt mir ja auch kein Backup was, weil ich die Viren mitsichere..
Wenn ich nur ein neues Windows brauche, reicht es, das alte einfach zu löschen? Oder sollte ich eine neue Partition dafür erstellen und das alte andersweitig ausser Gefecht setzen?

Es sind halt jede Menge wichtige Daten auf beiden Rechnern..


Vielen Dank für Eure Hilfe vorab!


Grüße

Namxi

 

So wichtig können die ja net sein, sonst würden sie regelmäßig gesichert.

Aber was haben die Daten jetzt mit der Neuinstallation zu tun? Hast du etwa nur eine große Partition für alles, oder warum tust du dich mit dem Formatieren so schwer?

Daten, die erst nach einem Virenbefall des Systems gesichert wurden, sollten ohnehin immer intesiv geprüft werden, bevor man sie zurückspielt. Deshalb sichert man ja normalerweise auch regelmäßig, dann hat man immer einen virenfreien Datensatz für Notfälle.

 

http://vil.nai.com/vil/stinger/

listsvc und mal das Ergebnis in eine Textdatei schreiben und hier anhängen oder noch besser, selbst im www nachgucken, was davon gefährlich ist.

 

Meinst Du wirklich, dass solche Beiträge helfen? Hast Du schonmal dran gedacht, dass man sich nicht immer nur um den eigenen Rechner kümmern muss, sondern auch mal an fremden Rechnern sitzt? Wenn es einmal zu spät ist, helfen schlaue Ratschläge ala "hätteste mal vorher..." wirklich nicht weiter.. Über Sicherungen und Co. brauchst Du MIR nichts erzählen, derjenige, für den ich das hier mache, hat das JETZT auch eingesehen. Auch für die Partitionierung der Platte kann ich nix, aber ja, es ist nur eine und ja, auch ich habe die Hände über dem Kopf zusammengeschlagen. Nichts desto trotz hilft das jetzt nicht mehr.

Nimm Dir einfach mal folgenden Spruch zu Herzen: Wenn man nicht helfen kann, sollte man gar nichts dazu sagen.


An alle anderen Helfer natürlich vielen Dank, allerdings hab ich jetzt langsam das Gefühl, dass ich um eine Formatierung nicht herumkommen werde. AntiVir läuft in der neuesten Version auf allen durch und findet so im Bereich 200+ Viren.. Entfernen tut er davon vielleicht 10%, ohne zu sagen, dass er den Rest nicht entfernen kann..

Wenn ich jetzt eine neue HD kaufe und dort alles Wichtige draufspiele, wie kann ich diese neue Platte dann sauber bekommen, ohne den Rechner, in den ich sie reinhänge, wieder zu verseuchen? Gilt der Grundsatz noch "ein Virus muss ausgeführt oder kopiert werden, damit er schädlich wird"?


Grüße

Namxi

 

Im Prinzip ja.

Siehe Beitrag #15, letzter Absatz, erster Satz.

Ja, aber nur bei dem der an der Misere schuld ist. Ich hätte das nicht geschrieben wenn klar gewesen wäre dass das nicht dein Rechner ist. Aber so bin ich halt davon ausgegangen dass du derjenige bist der die Backups (und die Updates) verschlafen hat.

Wenn der Fall mal eintritt, werde ich den Spruch beherzigen.

 

Wichtige, nicht verseuchte Dateien retten. Mit ziemlicher Sicherheit sind das nicht ausführbare Dateien und keine Scripte und gepackte Dateien. Systemdateien sind auch nicht vertrauenswürdig, da sie infiziert sein könnten.
Einem Virenscanner kann man nicht vertrauen, da er nur bekannte Viren kennt.
Ich würde sogar so weit gehen und Office-Dateien in Plaintext oder RTF konvertieren, bevor sie in der neuen Installation geöffnet werden.
Also alles zuerst mal in Quarantäne nehmen.
Das hört sich hart an, aber eine Unachtsamkeit und der Spass kann von vorne beginnen.
Siehe http://de.wikipedia.org/wiki/Technische_Kompromittierung

 

Stimmt, ich hätte es dazuschreiben sollen. Tut mir leid wegen dem Spruch, den konnt ich mir nicht verkneifen. Hatte übrigens erst nach dem Absenden gesehen, dass Du Mod bist..

Das hilft mir leider immer noch nicht weiter. Ich möchte die Daten jetzt auf eine extra Platte sichern, alles neu machen, und dann die Daten zurückspielen. Wie kann ich sie da überprüfen? Muss ich dazu einen Rechner verseucht lassen?

Oder schlussfolgere ich richtig, dass mit der versuchten Platte nichts in nem frischen System passiert, wenn ich nichts ausführe?

@ DeoRoller: Die Dateien sind in erster Linie [viele, sehr viele!] .docs und AutoCAD Dateien, aber auch einige [selbst geschriebene] Programme. Leider sind einige der docs mit Ethan.BC infiziert. Ich gebe nur ungern zu, dass ich hier tatsächlich in einer kleinen Firma sitze. Derjenige der das bis jetzt hier alles gemacht hat, sollte sich was schämen.

EDIT: Ich höre gerade, dass dieses Ethan.BC Problem kein Virus, sondern ein Problem von Word97/2000 ist, kann das sein?


Grüße

Namxi