13
SVCHOST.exe Problem auf mehreren Servern fast zeitgleich
Am 23.11. um 19:54
Hallo zusammen,
wir betreiben hier innerhalb eines großen Unternehmens eine eigene OU mit diversen Win 2003 Servern. Diese haben unterschiedliche Patchstände (teils SP1, teils SP2) mit denen sie bereits seit mehreren Wochen ohne Probleme laufen.
Alle hängen hinter einer Firmenfirewall und haben Norman als Virenscanner aktiv.
Am 23.11. um 19:54 trat auf allen Servern zeitgleich ein svchost.exe Problem auf, welches als Fehler so
Fehlgeschlagene Anwendung svchost.exe, Version 5.2.3790.3959, fehlgeschlagenes Modul kernel32.dll, Version 5.2.3790.3959, Fehleradresse 0x0006beb8.
und als Information so
Ereignistyp: Informationen
Ereignisquelle: Application Error
Ereigniskategorie: (100)
Ereigniskennung: 1004
Datum: 24.11.2008
Zeit: 09:42:16
Benutzer: Nicht zutreffend
Computer: MA1SP005
Beschreibung:
Fehler in Warteschlange: Fehlgeschlagene Anwendung svchost.exe, Version 5.2.3790.1830, fehlgeschlagenes Modul kernel32.dll, Version 5.2.3790.1830, Fehleradresse 0x0010568c.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 73 76 63 ure svc
0018: 68 6f 73 74 2e 65 78 65 host.exe
0020: 20 35 2e 32 2e 33 37 39 5.2.379
0028: 30 2e 31 38 33 30 20 69 0.1830 i
0030: 6e 20 6b 65 72 6e 65 6c n kernel
0038: 33 32 2e 64 6c 6c 20 35 32.dll 5
0040: 2e 32 2e 33 37 39 30 2e .2.3790.
0048: 31 38 33 30 20 61 74 20 1830 at
0050: 6f 66 66 73 65 74 20 30 offset 0
0058: 30 31 30 35 36 38 63 010568c
dokumentiert wurde.
Nach Auftreten des Fehlers funktionieren keine Netzwerkverbindungen wie Datensharezugriffe oder verknüpfte Programme. Programme, die über Webserver oder ODBC Verbindungen kommuniziern funktionierten noch.
Ping und Remotedesktop funktionieren ebenfalls noch.
Nur durch Reboot der betroffenen Server konnte das Problem kurzfristig gelöst werden. Kurzfristig deswegen, da der Fehler nach Reboot auf jedem der betroffenen Server nach unterschiedlich langer Wartezeit immer wieder auftritt.
Scans mit Norman und Spybot brachten keine Ergebnisse.
Kann dies trotzdem ein Virus o.ä. sein oder gibt es u.U. eine andere Erklärung?
wir betreiben hier innerhalb eines großen Unternehmens eine eigene OU mit diversen Win 2003 Servern. Diese haben unterschiedliche Patchstände (teils SP1, teils SP2) mit denen sie bereits seit mehreren Wochen ohne Probleme laufen.
Alle hängen hinter einer Firmenfirewall und haben Norman als Virenscanner aktiv.
Am 23.11. um 19:54 trat auf allen Servern zeitgleich ein svchost.exe Problem auf, welches als Fehler so
Fehlgeschlagene Anwendung svchost.exe, Version 5.2.3790.3959, fehlgeschlagenes Modul kernel32.dll, Version 5.2.3790.3959, Fehleradresse 0x0006beb8.
und als Information so
Ereignistyp: Informationen
Ereignisquelle: Application Error
Ereigniskategorie: (100)
Ereigniskennung: 1004
Datum: 24.11.2008
Zeit: 09:42:16
Benutzer: Nicht zutreffend
Computer: MA1SP005
Beschreibung:
Fehler in Warteschlange: Fehlgeschlagene Anwendung svchost.exe, Version 5.2.3790.1830, fehlgeschlagenes Modul kernel32.dll, Version 5.2.3790.1830, Fehleradresse 0x0010568c.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 73 76 63 ure svc
0018: 68 6f 73 74 2e 65 78 65 host.exe
0020: 20 35 2e 32 2e 33 37 39 5.2.379
0028: 30 2e 31 38 33 30 20 69 0.1830 i
0030: 6e 20 6b 65 72 6e 65 6c n kernel
0038: 33 32 2e 64 6c 6c 20 35 32.dll 5
0040: 2e 32 2e 33 37 39 30 2e .2.3790.
0048: 31 38 33 30 20 61 74 20 1830 at
0050: 6f 66 66 73 65 74 20 30 offset 0
0058: 30 31 30 35 36 38 63 010568c
dokumentiert wurde.
Nach Auftreten des Fehlers funktionieren keine Netzwerkverbindungen wie Datensharezugriffe oder verknüpfte Programme. Programme, die über Webserver oder ODBC Verbindungen kommuniziern funktionierten noch.
Ping und Remotedesktop funktionieren ebenfalls noch.
Nur durch Reboot der betroffenen Server konnte das Problem kurzfristig gelöst werden. Kurzfristig deswegen, da der Fehler nach Reboot auf jedem der betroffenen Server nach unterschiedlich langer Wartezeit immer wieder auftritt.
Scans mit Norman und Spybot brachten keine Ergebnisse.
Kann dies trotzdem ein Virus o.ä. sein oder gibt es u.U. eine andere Erklärung?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102519
Url: https://administrator.de/contentid/102519
Printed on: April 19, 2024 at 17:04 o'clock
13 Comments
Latest comment
Das Problem klingt fuer mich aufjedenfall verdaechtig.
Wurden in der Zeit irgendwelche Patches eingespielt oder veraenderungen gemacht die jeden der Server betrafen?
Ansonsten ist natuerlich svchost ein beliebtes Zielt fuer Codeinjections.
War irgendwas auffaelliges in den Firewall logs zusehen?
Wurden in der Zeit irgendwelche Patches eingespielt oder veraenderungen gemacht die jeden der Server betrafen?
Ansonsten ist natuerlich svchost ein beliebtes Zielt fuer Codeinjections.
War irgendwas auffaelliges in den Firewall logs zusehen?
Ich kenne das Problem auch hatte es in den vergangenen Tagen auch auf einigen Servern.
Eine wirkliche Ursache habe ich bisher nicht gefunden da automatische Updates auf allen Server abgeschaltet war.
Ich habe die Server bisher erfolgreich wieder am Leben.
1.DNS die komplette reverse Lookup Zone gelöscht und neu erstellt
2.WINS deinstalliert und neu installiert
3.Dienst "Server" auf neu starten bei 1. und 2. bei Dienstausfall
Hoffe damit geholfen zu haben.
Trotzdem interessiert auch mich die Ursache und wie es dazu kommt.
Esdra
Eine wirkliche Ursache habe ich bisher nicht gefunden da automatische Updates auf allen Server abgeschaltet war.
Ich habe die Server bisher erfolgreich wieder am Leben.
1.DNS die komplette reverse Lookup Zone gelöscht und neu erstellt
2.WINS deinstalliert und neu installiert
3.Dienst "Server" auf neu starten bei 1. und 2. bei Dienstausfall
Hoffe damit geholfen zu haben.
Trotzdem interessiert auch mich die Ursache und wie es dazu kommt.
Esdra
Wir haben das gleiche Problem mit den gleichen Symptomen.
Allerdings waren nur Server betroffen, die bei uns im 10.235.112 Netz hängen, Server mit den IPs 172.16 nicht.
Als 1. habe ich jetzt die reverse Lookup Zone gelöscht ohne neu zu erstellen.
Diese haben wir erst letzte Woche erstellt.
Bin mal gespannt, ob damit das Problem behoben ist!
Ralf
Allerdings waren nur Server betroffen, die bei uns im 10.235.112 Netz hängen, Server mit den IPs 172.16 nicht.
Als 1. habe ich jetzt die reverse Lookup Zone gelöscht ohne neu zu erstellen.
Diese haben wir erst letzte Woche erstellt.
Bin mal gespannt, ob damit das Problem behoben ist!
Ralf
Sorry, dass ich erst so spät antworte. Der "Störenfried" ist ein Wurm, den Norman erst seit heute morgen erkennt und beseitigt. Dieser Wurm (Conficker.A) läßt den Serverdienst abschmieren, was zu den beschriebenen Problemen führt.
Alle WinXP Rechner mit SP 3 bzw. einem Patch vom Oktober werden zwar ebenfalls infiziert, jedoch merkt man davon nichts, der Wurm hat dort keine Angriffsmöglichkeit. Ebenso ist es mit Win 2K3 Servern. Patch drauf, erledigt...
Alle WinXP Rechner mit SP 3 bzw. einem Patch vom Oktober werden zwar ebenfalls infiziert, jedoch merkt man davon nichts, der Wurm hat dort keine Angriffsmöglichkeit. Ebenso ist es mit Win 2K3 Servern. Patch drauf, erledigt...
Schön das du den "Fehler" finden konntest. Weiß man denn schon wie es dazu kam das der Code eingeschleust worden ist?
Das wollte ich auch gerade fragen 
Nein den weg hinein ins Firmennetz kennt man nicht. Problematisch bei uns ist allerdings, dass z.B. Laptops sehr offen sind und ausserhalb des Netzes auch via DSL connecten können. Da ist es natürlich einfach sich was einzufangen...
Welchen Wurm meinst Du genau?
Welchen Patch hast Du den auf den W2k3 Servern installiert?
Welchen Patch hast Du den auf den W2k3 Servern installiert?
Hallo, habe auch dieses Problem. Habe heute zwar mit Norman drüber gescannt, wurde aber nix gefunden... Würde auch gerne wissen was das für ein Wurm bzw. was für ein Patch du Installiert hast.
Das wird wahrscheinlich der hier gewesen sein:
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911
Kann aktiv werden, wenn MS-Update KB958644 nicht installiert ist.
mfg
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911
Kann aktiv werden, wenn MS-Update KB958644 nicht installiert ist.
mfg
So, nun bin ich schlauer und möchte meine Erkenntnisse an euch weitergeben.
Der Wurm nennt sich C o n f i c k e r.A (habs so geschrieben, da die Forensoftware das schlimme Wort aussternt...)
Der Wurm äußert sich indem der befallene Rechner ständig wieder seine Netztwerkverbindungen verliert.
Norman kennt ihn mit den neuesten Signaturen vom 24.11. kann ihn aber nicht entfernen. Ich kenne nur den manuellen Weg, den ich hier kurz beschreibe:
1. Mit netstat -an prüfen ob der Rechner (sowohl Server als auch Client) versucht mit im Firmennetz unbekannten IP's zu kommunizieren.
2. Wenn ja im Prozessmanager den svchost Prozess mit der größen Speicherbelastung killen.
3. Im Dienstemanager nach einem "komischen" Dienstnamen suchen. Der Wurm hat auf jedem Rechner einen anderen Namen. Der Name ergibt keinen Sinn und fällt auf.
Diesen Dienst auf deaktiviert stellen.
4. In der Registry unter HKLM\System\CurrentControlSet\Services den Dienst suchen. Im Unterverzeichnes Parameters des Keys ist eine dll angegeben, die im System32 Verzeichnis liegt und ebenfalls immer einen anderen Namen hat.
Diese versuchen zu löschen. Norman löscht sie, wenn man darauf zugreift, meist automatisch. Wenn sie sich nicht löschen lassen sollte kann man dies nach einem Neustart dann manuell machen.
Mit "sc delete Dienstnamen" in der console den Dienst löschen.
Neustart (evtl. die dll manuell löschen) -> Problem behoben.
Der entscheidende Patch, der die Wirkungsweise unterbindet ist dieser hier:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Norman hat auch ein Anti Malware Tool veröffentlicht, was wohl im abgesicherten Modus ausgeführt, auch cleanen kann aber bei uns hat das nicht funktioniert.
Der Wurm nennt sich C o n f i c k e r.A (habs so geschrieben, da die Forensoftware das schlimme Wort aussternt...)
Der Wurm äußert sich indem der befallene Rechner ständig wieder seine Netztwerkverbindungen verliert.
Norman kennt ihn mit den neuesten Signaturen vom 24.11. kann ihn aber nicht entfernen. Ich kenne nur den manuellen Weg, den ich hier kurz beschreibe:
1. Mit netstat -an prüfen ob der Rechner (sowohl Server als auch Client) versucht mit im Firmennetz unbekannten IP's zu kommunizieren.
2. Wenn ja im Prozessmanager den svchost Prozess mit der größen Speicherbelastung killen.
3. Im Dienstemanager nach einem "komischen" Dienstnamen suchen. Der Wurm hat auf jedem Rechner einen anderen Namen. Der Name ergibt keinen Sinn und fällt auf.
Diesen Dienst auf deaktiviert stellen.
4. In der Registry unter HKLM\System\CurrentControlSet\Services den Dienst suchen. Im Unterverzeichnes Parameters des Keys ist eine dll angegeben, die im System32 Verzeichnis liegt und ebenfalls immer einen anderen Namen hat.
Diese versuchen zu löschen. Norman löscht sie, wenn man darauf zugreift, meist automatisch. Wenn sie sich nicht löschen lassen sollte kann man dies nach einem Neustart dann manuell machen.
Mit "sc delete Dienstnamen" in der console den Dienst löschen.
Neustart (evtl. die dll manuell löschen) -> Problem behoben.
Der entscheidende Patch, der die Wirkungsweise unterbindet ist dieser hier:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Norman hat auch ein Anti Malware Tool veröffentlicht, was wohl im abgesicherten Modus ausgeführt, auch cleanen kann aber bei uns hat das nicht funktioniert.
Vielen Dank!
Mit dem Patch hat alles super geklappt. Bis jetzt läuft alles wieder.
Ein Wurm wurde aber trotzdem nicht gefunden...
Mit dem Patch hat alles super geklappt. Bis jetzt läuft alles wieder.
Ein Wurm wurde aber trotzdem nicht gefunden...
