Windows 2000 + kleines Netzwerk + Internet ISDN

Begonnen von xsche, 18. Juni 2006, 18:33:08 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

xsche

Hallo Leute,

nutzen bei uns im Betrieb einen kleinen Server für 3 PCs welche über ein Büroprogramm genutzt werden was dort "Serverseitig" installiert wurde.

Seit gestern ist mir aufgefallen das der Server immer Verbindung zum Internet sucht obwohl alle PCs ausgeschaltet sind also eigentlich gar keine Zugriff verlangen sollte für das Internet.

Es ist ebenfalls so eingestellt das nach 1 min leerlauf automatisch getrennt wird und die Verbindung wie gesagt nur da sein soll wenn sie angefragt wird bzw verlang. Im moment versucht er sich aber immer wieder einzuwählen lezztes mal war trotz das sämtliche anderen PCs aus sind knapp 2 Stunden wo er Online war was bei ISDN ja teuer werden kann auf dauer. und ca. 25 MB gesendet hat was mich auch verwundert hat.

Habe anschließend ZoneAlarm aufgepsielt und dieser sagte mir da "Win32" SVHost zugriff zum internet wollte. Das ist ja da snormale Win2000 aber so lange etc.. ?

Habt ihr einen Vorschlag vorher wurde nichts verändert am System bzw aufgespielt oder gelöscht!

Nur weis ich nich wie ich mir das ZoneAlarm ehrlich gesagt richtig einstelle da nach dem ich es gestartet hatte un einen Arbeitsplatz hochgefahren habe er mir kein Netzwerkzugriff geben hat.

Wäre super wenn mir jemmand einen kleinen Tip geben könnte

Danke im vorraus!!
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

gandal

18. Juni 2006, 18:56:20 Uhr #1 Letzte Bearbeitung: 18. Juni 2006, 18:58:44 Uhr von gandal
Könnte auch ein DNS-Problem sein. Immer wenn er einen Rechner sucht, versucht er die IP rauszufinden. Wenn auf dem Server ein DNS-Server im Internet angegeben ist, dann versucht er diesen zu erreichen.
25 MB machen diese Anfragen jedoch nicht aus.
Eine Firewall gehört auf jeden Fall auf den Server. Ziemlich mutig, so ganz ohne über den Server ins Netz zu gehen. Alle Freigaben sind dann auch dort sichtbar.
Würde auf jeden Fall eine andere Verbindung ins Internet wählen, nicht über den Server.
z.B. Ken (geht auch bei ISDN) -> http://www.avm.de
oder einen zusätzlichen Rechner mit IP-COP.

Wieso nimmst Du nicht DSL ?
Da gibt es nicht so viele Überraschungen mit Verbindungsentgelten. Mit einem entsprechenden Router kann man auch hier sehr wirkungsvoll das interne Netz vom Internet trennen.

Möglicherweise hast Du Dir schon einen Virus oder Trojaner eingefangen. Welchen Virenschutz verwendest Du ?
         
Real Programmers code in binary

xsche

Leider ist kein DSL verfügbar!

Ja das problem is ja das vorher das problem nicht war

und alle PCs ja noch aus sind
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

gandal

Hast Du den Server schon auf Viren untersucht ?
Nachdem er ein Produktivsystem für alle Arbeitsplätze ist, sollte man da schon entsprechende Vorkehrungen treffen.
         
Real Programmers code in binary

xsche

Kaspersky 6 mit aktueller Virendefinition hat 1 x AdWare gefunden und beseitigt hab da letztendlich auch drauf getippt is aber immer noch
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

xsche

EDIT:

Habe Stinger die aktuellste Version, Kaspersky noch mal laufen lassen haben bei nichts gefunden aber Kaspersky meldete 1 x das er einen Angriff von Außen "W32.MyDoom" glaub war es hab es leider verpatzt aufzuschreiben abgewehrt hat! Aber Stinger fand nichts von wegen dem Wurm
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

gandal

Kannst ja nochmal einen Online-Scan machen
http://www.hwe-forum.de/index.php/topic,14842.0.html
         
Real Programmers code in binary

xsche

The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

gandal

Wie lange er da braucht, um die benötigten Komponenten zu übertragen weiß ich nicht, sorry.
Stinger kennt halt auch nur eine begrenzte Auswahl.
         
Real Programmers code in binary

xsche

Bin leider total am ende mit meinem Latein....

Folgendes habe ich noch probiert....

Habe heute noch einmal SpyBot, AdAware, Kaspersky
laufen lassen aber diese fanden nichts mehr jeweils aktuelle Version mit allen neuen Daten!

Finde auch kein Indiz Task oder Prozess der unbekannt ist

bin leider echt ratlos
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

gandal

         
Real Programmers code in binary

xsche

Ja hab auch alle anderen PC s mal vom HUB genommen !
Irgendein Request kommt immer an die Verbindungsfreigabe und will Online gehen
Nur leider finde ich beim besten willen nicht den grund da es ca. 1 Jahr ging und ohne veränderung auf einmal auftrat der Fehler.-..
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

xsche

Danke, 

leider hat (bzw zum Glück ) hat das Tool nichts gefunden

folgendes brachte mein Kaspersky als ich nach dem 2ten durchlauf des Tools kurz testen wollte zwecks inet

Habe mal die genaue meldung aufgeschrieben:

intrusion.win.dcom.exploit

meinte mein Kaspersky

"Du scheinst mir eher ein Viren- oder Sonstwasproblem als ein Netzwerkproblem zu haben. Wenn die Meldung richtig ist, solltest Du diesen im System haben:
http://www.sophos.de/security/analyses/w32mydoomo.html

Schaue Dich hier mal um:
http://www.trojaner-board.de/
"

( Das war aus einem anderen Board - Ergänzt nur um aktuell zu halten )

bin leider echt ratlos

aber dr rest was dort zur virenbeschreibung stand konnte ich teilweise bestätigen z.B. "Services.exe" wie in der beschreibung stand

leider wählt er sich noch immer von allein ein bzw nicht mehr aus!!!

( noch mal anderes Board )

Da der PC sauber zu sein scheint, mal lesen:
http://www.google.com/search?hl=de&q=intrusion.win.dcom.exploit+&btnG=Go ogle-Suche&lr=lang_de
Nicht benötigte Dienste abschalten und ZA richtig konfigurieren.


Wie meinst das?

Dienste die unbekannt sind oder so fand ich keine im Hintegrund was mich irritiert is das der reqest vom server kommt habe ja alle anderen geräte vom HUB auch ma getrennt also kann es ja nur ovn da kommen zentral. 

The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

gandal

Der "intrusion.win.dcom.exploit" ist erst einmal ein Angriffsversuch auf Deinen Rechner. Der kann ohne Firewall durchaus zum Ziel führen.
In diesem Fall hat Dich der Virenscanner vor schlimmerem bewahrt. Offensichtlich ist aber durchaus noch etwas auf dem Rechner.

Kannst Du ein HiJackThis-Log hier reinstellen ?
         
Real Programmers code in binary

xsche

Habe was interessantes gefunden:

In dem Trojaner-Board ist einer der hat das selbe was ich über einen Netzwerkmonitor gefunden habe auch was sogar zeitlich passt bei ihm war es freitags bei mir ist es samstags aufgefallen wobei ich nicht ausschließen kann das der Vorfall schon freitags war! Wie gesagt aufgefallen war dies mir am Samstag!!

Hier der Posting:

Hallo alle zusammen,
seit Freitag versucht der Rechner zu der folgenden Seite ständig eine Verbindung aufzubauen, w*w.sunnydoll.3322.org, seitdem versuche ich die Ursache dafür zu finden. Der Rechner läuft mit Win2000.Habe mit Escan einen Trojaner gefunden : "Trojan-Spy.HTML.Bankfraud.ok. Restliche Befunde sind später noch aufgelistet.

C:\WINNT\Profiles\ADMINI~1\LOKALE~1\TEMPOR~1\Conte nt.IE5\73WB63TN\wbk2F7.tmp infected by "Trojan-Spy.HTML.Bankfraud.ok" Virus! Action Taken: No Action Taken.

Vielleicht ist es mir schon gelungen, diesen zu löschen, bin mir aber noch nicht sicher deswegen.

Habe schon versucht den unter dem abgesichterten Modus zu löschen, auch mit hilfe des Programms Clearprog, welches aber immer ein Fehler verursacht hat, vielleicht Fehler beim Download.Ansonsten Adaware,Spybot and destroy, Norton Virus Scan, Bitdefinder, schon über den Rechner laufen lassen.

Also woran kann es liegen, dass er immer auf ***.sunnydoll.3322.org zu greifen will, (ist irgendeine chinesische Seite).Und wie kann man das Problem lösen.

Vielen dank im voraus

Kompletter Posting: http://www.trojaner-board.de/showthread.php?t=30057&highlight=sunnydoll
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

gandal

Den Zugriff auf sunnydoll... kannst Du verhindern, indem Du die Domain in der Hosts-Datei hinterlegst und mit der IP 127.0.0.1 versiehst.
Dann meint der Rechner, er muß auf sich selbst zugreifen. Das ist aber nur ein Workaround, bis das eigentliche Problem behoben ist.
Oder Firewall installieren und den Zugriff auf diese Seite verhindern.
         
Real Programmers code in binary

xsche

Hallo Leute,

habe nun mal "Manuell" aus dem Inet über mein "HeimPC" die update Dateien geladen von Kaspersky somit ist er wieder komplett auf dem neusten Stand vom 25.06.2006 und habe dann mal nach Viren suche lassen und kam zu folgendem Ergebniss:

"Backdoor.w32.sdbot.asr"
"Backdoor.w32.agent.arj"

Infizierte Dateien:
svchost.exe
kernel32.ime

WinNT/System32/Kernel32.ime

Ein Teil konnte er "Löschen / Reparierern" aber bei der Kernel Datei meinte er nach dem Neustart wäre diese weg hab dies dann getan und auch noch mal scannen lassen aber diesen findet er immer und immer wieder und halt mit der selben meldung von wegen Neustart etc....
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

tyco

Bitte keine Supportanfragen per PM stellen.

xsche

Wie funktioniert das genau? Habe mit dem Tool noch nich gearbeitet... passieren kann da nichts?
The X Design
http://www.xsche.de

-> Alle Infos über Homepage, Avatare, Bannerdesign, Web Design ......

tyco

Bitte keine Supportanfragen per PM stellen.