Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Permanentes neustarten des TRechners dierekt nach dem Hochfahren

Frage Sicherheit Viren und Trojaner

Mitglied: Galamar

Galamar (Level 1) - Jetzt verbinden

06.09.2007, aktualisiert 08.09.2007, 5557 Aufrufe, 18 Kommentare

Hallo Leute,

Habe seit gestern bei mir in der Firma nen Rechner, der sich direkt nach dem Hochfahren wieder Verabschiedet.

Eine meldung ploppt auf, welche besagt, das der Rechner von NT-AUTORITÄT\SYSTEM abgeschaltet wird.
Nach kurzem googlen bin ich dan auf den Blaster-Wurm gekommen.
Neustart mit shutdown -a abgebrochen, Remoteprozeduraufruf (RPC) - Dienst so umgestellt, das nichtmehr neu gestartet wird, wenns nen fehler mit dem Dienst gibt. Zu guter letzt mit nem Tool das den entfernen sollte über den Rechner gegangen.


So weit so gut, aber als ich heute morgen zur arbeit kam hat dieses Tool mir dann gemeldet, das es keinen Blasrer auf dem Rechner gefunden hat. Kurze zeit später kam dann wieder die Meldung und der Neustart (obwohl der Dienst immernoch so eingestellt ist, das er nicht neu starten sollte)

AntiVir findet auch nichts...

Bin langsam mit meinem Latein so zimlich am Ende...
Wär super wenn ihr mir helfen könntet ;)

Liebe Grüsse
--- Galamar ---
Mitglied: cykes
06.09.2007 um 12:09 Uhr
Hi,

hast Du mal einen Offline Scan mit einem Virenscanner durchgeführt, z.B. von einer BartPE Boot CD?

Gruß

cykes
Bitte warten ..
Mitglied: Galamar
06.09.2007 um 12:56 Uhr
nein hab ich noch nciht gemacht. Aber wenns der Blaster ist müsste das doch von nem normalen Vierenscanner auch erkannt werden ;(
Bitte warten ..
Mitglied: cykes
06.09.2007 um 13:03 Uhr
Wenn sich wirklich was festgesetzt hat, dann kommt es durchaus vor, dass Virenscanner im laufenden Betrieb nichts finden oder es nicht sauber entfernen können.

Gib mal bitte ein paar Hardwareeckdaten zum System und welches Betriebssystem ist es
überhaupt?
Bitte warten ..
Mitglied: Galamar
06.09.2007 um 13:28 Uhr
Compaq Evo
1.7 Ghz, 256 RAM
Win XP Pro, SP2, Alle Updates installiert
Bitte warten ..
Mitglied: geTuemII
06.09.2007 um 13:40 Uhr
Könntest du mal bitte die komplette Meldung posten? Kann es sein, daß der shutdown eingeleitet wird, weil die services.exe beendet werden mußte? Ist der Rechner Mitglied einer Domain (gewesen), wurde die Domain evtl. gewechselt? Erbitte Infos.

Heute ist offenbar schon wieder Donnerstag....

geTuemII
Bitte warten ..
Mitglied: Galamar
06.09.2007 um 13:58 Uhr
Der Rechner ist Mitglied einer Domäne
Die Kommplette Fehlermeldung weiss ich nicht auswändig sieht aber genau so aus wie die Meldung die man bekommt, wenn man mit dem Shurdown - Befehl nen Rechner runterfahren lässt (nur das eben da dann steht das das Herunterfahren von NT-AUTORITÄT\SYSTEM ausgelöst wurde) in dem Feld für den Kommentar steht ausserdem was von Fehlercode -1073741819
Das sind alle Infos zu der Meldung die ich geben kann.

Bin wie gesagt zimlich schnell auf den Blaster gekommen aber der kanns schlecht sein, wenn Software die speziell dieses Fiech entfernen soll nicht fruchtet, oder?

Könnte natürlich auch sein, das ich irgend was falsch gemacht habe, denn gerade was das entfernen irgendwelcher Vieren angeht, bin ich noch recht Jungfräulich :/
Bitte warten ..
Mitglied: cykes
06.09.2007 um 14:19 Uhr
Hi,

mach doch mal einen Scan im abgesicherten Modus. Bootvorgang von XP mit F8 abbrechen und
abgesicherter Modus auswählen, dann mit Avira mal scannen.

Gruß

cykes
Bitte warten ..
Mitglied: geTuemII
06.09.2007 um 17:03 Uhr
Hintergrund meiner Frage:

Wenn ein Rechner aus einer Domain in eine Workgroup zurückgesetzt wird, kann es passieren, daß der Rechner das nicht vollstängig "mitkriegt". Das Problem tritt besonders dann auf, wenn der Rechner keinen Kontakt zur Domain hat, während er aus derselben entfernt wird (ich hatte es aber auch schon mit Domainkontakt). Ergebnis ist, daß gpupdate fehlschlägt, die services.exe mitnimmt und der Rechner runterfährt. das sieht genau wie Blaster aus. In der Fehlermeldung und den Ereignisprotokollen sieht man, daß die services.exe gestoppt wurde.

geTuemII
Bitte warten ..
Mitglied: gnarff
06.09.2007 um 17:31 Uhr
@geTuemII
In der Fehlermeldung und den
Ereignisprotokollen sieht man, dass die
services.exe gestoppt wurde.

Woher weisst Du das? Hast Du sein Ereignisprotokoll gelesen?
Der Errorcode 1073741819 kann viele Ursachen haben.
Vom Virus uber LDAP-Probleme bis hin zum Compilerfehler

@Galamar
Vielleicht möchtest Du Dir einmal die Mühe machen und die Ereignismeldung hier komplett zu posten. Es kann doch nicht so schwer sein, den betroffenen Prozess, der bei der Meldung angegeben wird mal auf einen Zettel Papier zu schreiben. Schließlich hast du 60 Sekunden Zeit dazu.
Dann kann ich Dir auch sagen, worum es sich handelt...

saludos
gnarff
Bitte warten ..
Mitglied: cykes
06.09.2007 um 17:35 Uhr
@GeTuem
>
> In der Fehlermeldung und den
> Ereignisprotokollen sieht man, dass
die
> services.exe gestoppt wurde.
>
Woher weisst Du das? Hast Du sein
Ereignisprotokoll gelesen?
Der Errorcode 1073741819 kann viele Ursachen
haben.
Vom Virus uber LDAP-Probleme bis hin zum
Compilerfehler

Das weiss sie natürlich nicht, aber wenn man ihr Posting komplett liest,
dann versteht man auch, was sie meint, sie beschreibt nur einen möglichen Fehler
aus ihrer eigenen Erfahrung.
Bitte warten ..
Mitglied: geTuemII
06.09.2007 um 17:59 Uhr
Das weiss sie natürlich nicht, aber wenn man ihr Posting komplett liest,
dann versteht man auch, was sie meint, sie beschreibt nur einen möglichen Fehler
aus ihrer eigenen Erfahrung.

Danke, cykes,

daß du das erklärt hast. Ich werde mich bemühen, demnächst verständlicher und schlüssiger zu posten.

geTuemII
Bitte warten ..
Mitglied: cykes
06.09.2007 um 18:04 Uhr
@geTuem ich fand's verstänldich, wenn man allerdings an der inzwischen sehr verbreiteten
Krankheit leidet, Mails, Postings und sonstige Schriftstücke nicht ganz bis zum Ende zu lesen,
dann versteht man es natürlich auch falsch
Bitte warten ..
Mitglied: gnarff
06.09.2007 um 18:36 Uhr
Ja, mea culpa, Entschuldigung, habe den ersten Kommentar von geTuemII ueberlesen; wenn mir sonst noch jemand einen ueberbuegeln möchte, dann bitte ...Jetzt!
Das ändert aber nichts daran das wir präzisere Auskünfte von Galama brauchen...

saludos
gnarff
Bitte warten ..
Mitglied: Galamar
07.09.2007 um 07:38 Uhr
OK hier nun die kommplette Meldung:

Das System wird heruntergefahren.
Speichern sie alle Daten und melden sie sich ab.
Alle Änderungen, die nicht gespeichert werden, gehen verloren.
Das Herunterfahren wurde ausgelöst von NT_AUTORITÄT\SYSTEM

---Meldung---

Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozeduraufrur (RPC) unerwartet beendet wurde
Fehlercode -1073741819


Ich hab jetzt mal ein paar Programme Runtergeladen, die extra für den Blaser sind, wobei ich mittlerweile doch recht stark bezweifle, das der es ist...
Bitte warten ..
Mitglied: cykes
07.09.2007 um 07:41 Uhr
Hast Du geTuemIIs Vorschlag/Tipp schon mal überprüft?
Bitte warten ..
Mitglied: Galamar
07.09.2007 um 08:23 Uhr
@cykes
An der Domain kannst nicht liegen, da der Rechner nicht in eine Arbeitsgruppe gesetzt wurde bevor der Fehler aufgetreten ist.


@geTuemII
Nein, es kommt NUR diese eine Meldung, sonst nichts.
Habe ausserdem festgestellt, das die Meldung auch mal aufploppt, bevor ich mit dem Account eingeloggt bin (also im Anmeldebildschirm halt)

Das Ganze erinnert mich wie gesagt sehr an den shutdown - Befehl (mit dem man ja auch remote Rechner ausschalten kann bevor da ein Account eingeloggt ist) nur eben mit dem Unterschied das es da dann heisst, das die nt-autorität\system das herunterfahren ausgelöst hat, und der Fehlercode in der Kommentarzeile...

Glaube mal ich werd meinen Cheff einfach versuchen zu überreden, dass ich die Kiste neu aufsetzen darf, damit halt wenigstens der Fehler nichtmehr auftritt, aber ich wüsse eben doch zu gerne, was genau es den nun eigentlich ist...
Bitte warten ..
Mitglied: geTuemII
07.09.2007 um 11:00 Uhr
Ja, aber es sind doch zwei Meldungen, die erste sagt dir, um welche Datei es geht:
Blafasel.exe hat einen Fehler ermittelt und mußte beendet werden.

geTuemII
Bitte warten ..
Mitglied: gnarff
08.09.2007 um 17:38 Uhr
Die volle Meldung muss so aussehen:
This shutdown was initiated by NT AUTHORITY\SYSTEM.
Message: The system process 'c:\windows\system32\PROZESSNAME HIER EINFUEGEN terminated unexpectedly with the status code -1073741676. The system will now shut down and restart.
Bekomme ich die jetzt von Dir, bitte?

Ansonsten, lade Dir doch mal den Blasterpatch von Microsoft runter WindowsXP-KB823980-x86-ENU.exe, hier findest Du Mirrorsites fuer den Patch.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Nach Neustart oder beim ersten Hochfahren keine Netzlaufwerke
gelöst Frage von NebuchadWindows Netzwerk4 Kommentare

Hallo, hier im Netzwerk, Win Srv 2012 R2 mit ca. 30 Clients gibt es einen Win 10 Client der ...

Microsoft
Eintragen mehrerer permanenter Routen
Frage von funcarverMicrosoft4 Kommentare

Servus ich habe das Problem das auf einem Rechner 2 permanente Routen eingetragen werden müssen. Das Problem ist, das ...

DSL, VDSL
VDSL 1und1 permanente Verbindungsabbrüche
Frage von mickman123DSL, VDSL23 Kommentare

Hallo, hoffe einer von Euch hat einen Tip für mich. Seit einiger Zeit bin ich bei 1und1 Kunde / ...

Linux
Seitengröße permanent einstellen (CUPS)
gelöst Frage von mollotoffLinux1 Kommentar

Hallo, wir planen auf unserem Microplex Solid 60E-2 Etiketten auszudrucken. Dafür muss aber die Seitengröße bzw. die "Margins" (mir ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 6 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 13 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 15 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 18 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...