Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server Konsolenanmeldung (auch RD-Anmeldung) wird sofort wieder abgemeldet

Mitglied: Kurti06

Kurti06 (Level 1) - Jetzt verbinden

04.06.2008, aktualisiert 05.06.2008, 8303 Aufrufe, 6 Kommentare

Hallo
es läuft ein Win2003 Server als Terminalserver.
Seit gestern ist kein Zugriff mehr möglich.
Die Server Konsolenanmeldung (auch RD-Anmeldung) wird sofort wieder beendet.
Auch im abgesicherten Modus wird die Anmeldung sofort wieder abgemeldet.

Kennt das jemand ? Kann das ein Virus/Trojaner etc. sein.
Ich kann gernicht zugreifen weder Protokolle auslesen etc. Kann auch nicht direkt auf die Daten zugreifen (RAID-System).

Kann jemand helfen ?


Dank - Gruß Kurti
Mitglied: 60897
04.06.2008 um 17:05 Uhr
Moin,

Ist irgendwas an der Hardware geändert worden, bevor die Aktivierung erfolgt ist?

Könnte ein automatisches Update erfolgt sein?

Zugriff: Geh auf einen anderen Rechner (XP, 2000, Vista, Server, egal, Hauptsache ein NT-basiertes Windows), melde Dich als ein User an, der auf dem WTS lokal genügend Rechte hat, die Ereignisanzeige zu lesen, z.B. der Domänenadmin oder der lokale Admin.

Rechte Maustaste auf "Arbeitsplatz", links: "verwalten", "Computer/lokaler COmputer" -> rechte Maustaste "Anderen PC verwalten", Terminalserver auswählen, schauen, was Du findest und / oder bedienen kannst.

Bonkers
Bitte warten ..
Mitglied: Kurti06
04.06.2008 um 17:41 Uhr
Hi,
danke für die schnelle Antwort.

Keine Änderung der Hardware. Update kann sein. Aber wir haben mehrere Terminalserver, da war keine Veränderung.
Protokolle auslesen hab ich bereits versucht .. mit Ergebnis 'der Arbeitsstationsdienst wurde nicht gestartet'

Heul
Keiner war zwar wieder was aber ich denke der Trojaner in Emailanhängen Rechnung.exe/rar wurde mit 'Macht ausgeführt'.
Was ich da lesen kann im Netz ist, dass der die Winlogon befällt.

Gibt es noch Tricks um eine Sitzung zu starten ?

Kurti
***
Zusatz: über einen anderen Server mit vertrauensstellung per vpn hab ich die protokolle einsehen .. ja - da is nix auffälliges ..grübel .... sterten kann ich den sever auch per shutdown ... aber auch nach neustart - anmeldung + abmeldung
Bitte warten ..
Mitglied: 60897
04.06.2008 um 19:19 Uhr
Hmmmmmmmmmmmmmmmmmmmmmmmmmmm (ich denke gerade nach, bitte nicht stören) mmmmmmmmmmmmmmmmmmmmmm !

Wie sieht's denn aus mit Bart's PE oder Knoppix und manuelle Beseitigung? Ich habe das Glück - oder das Problem, wie man will - dass ich seit fast fünf Jahren nichts mehr mit Viren, Trojanern udgl. zu tun hatte, bei mir gibt's die Möglichkeiten einfach nicht. Von daher kenne ich den aktuellen Aufwand nur vom Hörensagen. Oder gibt's halbwegs aktuelle Images von dem TS? Dann würde ich der Einfachheit und Zeitersparnis halber kurzerhand das zurücksetzen.

Alles andere wird in jedem Fall mal Frickelei, denn wenn schon der abgesicherte Modus nicht funktioniert, dann bleibt ja nur noch ein CD-Start oder eine Reparaturinstallation mit noch unklaren Folgen. Wär' allerdings auch 'ne Möglichkeit: Mit einer aktuellen Virenscanner-CD den Server starten und testen, säubern, Reparaturinstallation, erneut testen (am besten überhaupt nicht im normalen, sondern gleich im abgesicherten Modus starten), was mit Viren so ist, diesmal von Windows aus.

Bevor sich da jemals wieder ein User dran anmelden darf, auf jeden Fall die lokalen Kopien aller Benutzerprofile entsorgen.

Vielmehr bleibt nicht. Und dann dafür sorgen, dass nie wieder eine exe ausgeführt wird, die nicht explizit von Admin dazu freigegeben wurde. Und mit dem Chef klären, dass bei Neueinstellungen der allgemeine PC- und Internetführerschein Voraussetzung für die engere Wahl wird

Bonkers
Bitte warten ..
Mitglied: Kurti06
04.06.2008 um 20:51 Uhr
Danke

Leider kenn ich kein Boot CD von Virensscanner die einen RAID Treiber laden können.

Werden wohl harte Maßnahmen nehmen müssen -- seuftz

Danke noch mal
und sollte einer das lesen, dem (bin mir relativ sicher das es der Trojaner ..Name jetzt vergessen ... aus der letzten Welle Emailanhang = Rechnung.rar > exe ist) solches auch passiert sein, kann er sich ja mal melden - vielleicht hat einer noch den goldenen Tip

Danke dir -- und euch

Gruß Kurti
Bitte warten ..
Mitglied: 60897
04.06.2008 um 22:54 Uhr
Boot-CD - Virenscanner - RAID: Bei Bart's PE kannst Du Treiber und Virenscanner einbinden. Auch der Textmodustreiber ist möglich, mit den alten GDT-Controllern und den aktuellen Intel funktioniert das einwandfrei.
Vielleicht jetzt nicht mehr unbedingt für diesen Fall, weil doch einiges vorzubereiten ist, aber für spätere Fälle vielleicht mal.

Bonkers
Bitte warten ..
Mitglied: Combattent
05.06.2008 um 08:42 Uhr
Hallo,

hatte dieses Problem jetzt schon auf mehreren Kundenrechnern. Alle Rechner hatten den gleichen "veralteten" Virescanner drauf.
Das Problem ist definitiv ein Virus der die logon angreift. Hier bleiben nur 2 Optionen:
1. Neuinstallation
2. Rücksicherung eines Images

Die genaue Ursache (Rechnung.exe) oder so kann ich nicht bestätigen, alle Kunden haben hier kein identisches Surfverhalten oder Spambefall.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Remote-User wird nach der Anmeldung sofort wieder abgemeldet

gelöst Frage von NosnudinnWindows Server4 Kommentare

Hallo erstmal, folgendes Problem ein Kunde von mir will sich an seinen Terminalserver (Windows Server 2008) anmelden von einen ...

Windows Server

Benutzername in RD-SH-Anmeldung hinterlegen

Frage von ukulele-7Windows Server

Ich bin mir nicht ganz sicher wo ich am ehesten ansetzen soll daher hier mal mein Problem: Ich habe ...

Windows Userverwaltung

Domain User soll nach RD Anmeldung am DC auch eine MMC öffnen können

gelöst Frage von evil-.-knivelWindows Userverwaltung8 Kommentare

Huhu, nach dem Erstellen einer angepassten MMC zur Benutzerpflege für einen Domain User (danke an die schöne Anleitung: ) ...

Microsoft

RD-Lizenzen

gelöst Frage von tomolpiMicrosoft6 Kommentare

Hallo, nur mal ne kurze Frage: ich hab hier auf meinem Server die Remotedesktopdienste installiert (Terminalserver) und dazu diese ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner2 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 2 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1022 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
Frage von Marcel1989Datenbanken17 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte16 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...