Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SVCHOST.exe Problem auf mehreren Servern fast zeitgleich

Frage Microsoft Windows Server

Mitglied: jojolino

jojolino (Level 1) - Jetzt verbinden

24.11.2008, aktualisiert 27.11.2008, 13897 Aufrufe, 13 Kommentare

Am 23.11. um 19:54

Hallo zusammen,

wir betreiben hier innerhalb eines großen Unternehmens eine eigene OU mit diversen Win 2003 Servern. Diese haben unterschiedliche Patchstände (teils SP1, teils SP2) mit denen sie bereits seit mehreren Wochen ohne Probleme laufen.
Alle hängen hinter einer Firmenfirewall und haben Norman als Virenscanner aktiv.
Am 23.11. um 19:54 trat auf allen Servern zeitgleich ein svchost.exe Problem auf, welches als Fehler so

Fehlgeschlagene Anwendung svchost.exe, Version 5.2.3790.3959, fehlgeschlagenes Modul kernel32.dll, Version 5.2.3790.3959, Fehleradresse 0x0006beb8.

und als Information so

Ereignistyp: Informationen
Ereignisquelle: Application Error
Ereigniskategorie: (100)
Ereigniskennung: 1004
Datum: 24.11.2008
Zeit: 09:42:16
Benutzer: Nicht zutreffend
Computer: MA1SP005
Beschreibung:
Fehler in Warteschlange: Fehlgeschlagene Anwendung svchost.exe, Version 5.2.3790.1830, fehlgeschlagenes Modul kernel32.dll, Version 5.2.3790.1830, Fehleradresse 0x0010568c.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 73 76 63 ure svc
0018: 68 6f 73 74 2e 65 78 65 host.exe
0020: 20 35 2e 32 2e 33 37 39 5.2.379
0028: 30 2e 31 38 33 30 20 69 0.1830 i
0030: 6e 20 6b 65 72 6e 65 6c n kernel
0038: 33 32 2e 64 6c 6c 20 35 32.dll 5
0040: 2e 32 2e 33 37 39 30 2e .2.3790.
0048: 31 38 33 30 20 61 74 20 1830 at
0050: 6f 66 66 73 65 74 20 30 offset 0
0058: 30 31 30 35 36 38 63 010568c

dokumentiert wurde.


Nach Auftreten des Fehlers funktionieren keine Netzwerkverbindungen wie Datensharezugriffe oder verknüpfte Programme. Programme, die über Webserver oder ODBC Verbindungen kommuniziern funktionierten noch.
Ping und Remotedesktop funktionieren ebenfalls noch.
Nur durch Reboot der betroffenen Server konnte das Problem kurzfristig gelöst werden. Kurzfristig deswegen, da der Fehler nach Reboot auf jedem der betroffenen Server nach unterschiedlich langer Wartezeit immer wieder auftritt.

Scans mit Norman und Spybot brachten keine Ergebnisse.

Kann dies trotzdem ein Virus o.ä. sein oder gibt es u.U. eine andere Erklärung?
Mitglied: Gagarin
24.11.2008 um 15:05 Uhr
Das Problem klingt fuer mich aufjedenfall verdaechtig.

Wurden in der Zeit irgendwelche Patches eingespielt oder veraenderungen gemacht die jeden der Server betrafen?

Ansonsten ist natuerlich svchost ein beliebtes Zielt fuer Codeinjections.

War irgendwas auffaelliges in den Firewall logs zusehen?
Bitte warten ..
Mitglied: SHEsdra
24.11.2008 um 16:29 Uhr
Ich kenne das Problem auch hatte es in den vergangenen Tagen auch auf einigen Servern.

Eine wirkliche Ursache habe ich bisher nicht gefunden da automatische Updates auf allen Server abgeschaltet war.

Ich habe die Server bisher erfolgreich wieder am Leben.
1.DNS die komplette reverse Lookup Zone gelöscht und neu erstellt
2.WINS deinstalliert und neu installiert
3.Dienst "Server" auf neu starten bei 1. und 2. bei Dienstausfall

Hoffe damit geholfen zu haben.

Trotzdem interessiert auch mich die Ursache und wie es dazu kommt.

Esdra
Bitte warten ..
Mitglied: Ralle61
25.11.2008 um 12:18 Uhr
Wir haben das gleiche Problem mit den gleichen Symptomen.
Allerdings waren nur Server betroffen, die bei uns im 10.235.112 Netz hängen, Server mit den IPs 172.16 nicht.
Als 1. habe ich jetzt die reverse Lookup Zone gelöscht ohne neu zu erstellen.
Diese haben wir erst letzte Woche erstellt.

Bin mal gespannt, ob damit das Problem behoben ist!

Ralf
Bitte warten ..
Mitglied: jojolino
25.11.2008 um 18:26 Uhr
Sorry, dass ich erst so spät antworte. Der "Störenfried" ist ein Wurm, den Norman erst seit heute morgen erkennt und beseitigt. Dieser Wurm (Conficker.A) läßt den Serverdienst abschmieren, was zu den beschriebenen Problemen führt.
Alle WinXP Rechner mit SP 3 bzw. einem Patch vom Oktober werden zwar ebenfalls infiziert, jedoch merkt man davon nichts, der Wurm hat dort keine Angriffsmöglichkeit. Ebenso ist es mit Win 2K3 Servern. Patch drauf, erledigt...
Bitte warten ..
Mitglied: Gagarin
25.11.2008 um 18:59 Uhr
Schön das du den "Fehler" finden konntest. Weiß man denn schon wie es dazu kam das der Code eingeschleust worden ist?
Bitte warten ..
Mitglied: Ralle61
25.11.2008 um 19:20 Uhr
Das wollte ich auch gerade fragen
Bitte warten ..
Mitglied: jojolino
25.11.2008 um 19:49 Uhr
Nein den weg hinein ins Firmennetz kennt man nicht. Problematisch bei uns ist allerdings, dass z.B. Laptops sehr offen sind und ausserhalb des Netzes auch via DSL connecten können. Da ist es natürlich einfach sich was einzufangen...
Bitte warten ..
Mitglied: SHEsdra
25.11.2008 um 21:23 Uhr
Welchen Wurm meinst Du genau?

Welchen Patch hast Du den auf den W2k3 Servern installiert?
Bitte warten ..
Mitglied: Biber22
26.11.2008 um 15:51 Uhr
Hallo, habe auch dieses Problem. Habe heute zwar mit Norman drüber gescannt, wurde aber nix gefunden... Würde auch gerne wissen was das für ein Wurm bzw. was für ein Patch du Installiert hast.
Bitte warten ..
Mitglied: bussi
26.11.2008 um 16:24 Uhr
Das wird wahrscheinlich der hier gewesen sein:
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911

Kann aktiv werden, wenn MS-Update KB958644 nicht installiert ist.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: jojolino
26.11.2008 um 16:27 Uhr
So, nun bin ich schlauer und möchte meine Erkenntnisse an euch weitergeben.
Der Wurm nennt sich C o n f i c k e r.A (habs so geschrieben, da die Forensoftware das schlimme Wort aussternt...)
Der Wurm äußert sich indem der befallene Rechner ständig wieder seine Netztwerkverbindungen verliert.
Norman kennt ihn mit den neuesten Signaturen vom 24.11. kann ihn aber nicht entfernen. Ich kenne nur den manuellen Weg, den ich hier kurz beschreibe:

1. Mit netstat -an prüfen ob der Rechner (sowohl Server als auch Client) versucht mit im Firmennetz unbekannten IP's zu kommunizieren.
2. Wenn ja im Prozessmanager den svchost Prozess mit der größen Speicherbelastung killen.
3. Im Dienstemanager nach einem "komischen" Dienstnamen suchen. Der Wurm hat auf jedem Rechner einen anderen Namen. Der Name ergibt keinen Sinn und fällt auf.
Diesen Dienst auf deaktiviert stellen.
4. In der Registry unter HKLM\System\CurrentControlSet\Services den Dienst suchen. Im Unterverzeichnes Parameters des Keys ist eine dll angegeben, die im System32 Verzeichnis liegt und ebenfalls immer einen anderen Namen hat.
Diese versuchen zu löschen. Norman löscht sie, wenn man darauf zugreift, meist automatisch. Wenn sie sich nicht löschen lassen sollte kann man dies nach einem Neustart dann manuell machen.
Mit "sc delete Dienstnamen" in der console den Dienst löschen.
Neustart (evtl. die dll manuell löschen) -> Problem behoben.

Der entscheidende Patch, der die Wirkungsweise unterbindet ist dieser hier:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Norman hat auch ein Anti Malware Tool veröffentlicht, was wohl im abgesicherten Modus ausgeführt, auch cleanen kann aber bei uns hat das nicht funktioniert.
Bitte warten ..
Mitglied: Biber22
27.11.2008 um 12:55 Uhr
Vielen Dank!
Mit dem Patch hat alles super geklappt. Bis jetzt läuft alles wieder.
Ein Wurm wurde aber trotzdem nicht gefunden...
Bitte warten ..
Mitglied: Gagarin
27.11.2008 um 13:20 Uhr
Scheint so als wenn das Problem langsam bekannter wird:

http://isc.sans.org/diary.html
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...