ComputerBase Menü
Aktuelles

Windows 2003 Server

guerill4krieger

guerill4krieger

Lt. Junior Grade
Registriert
Jan. 2004
Beiträge
282
Hi all,
ich hab ein Problem mit meinem Windows 2003 Server.

Ich hab mir scheinbar irgendetwas eingefangen. Irgendwann in Unregelmäßigen abständen
- nach 10min
- nach 6 Wochen
- nach 2 Tagen

startet die cmd.exe hunderte mal so dass meinen arbeitsspeicher voll wird und letztendlich die Kiste komplett abschmiert. bzw einfach nix mehr mit sich machen lässt. Mit jedem mal wo ich die cmd.exe-fehlermeldung wegklicke, startet sie neu und weiter gehts....

Ich weiß nicht was es ist...
Hab Symantec Cooparate Server installiert, mit aktuellen virendefinitionen und dieses Microsoft Antispy, aber beide finden einfach nichts...

der Fehler kommt immer wieder, egal ob ich den Server im angemeldeten zustand lasse, oder mich einfach nicht anmelde und damit nur die systemdienste laden lasse...

Ich weiß mir nicht mehr zu helfen. Der fehler kam urplötzlich und ohne fremdeinwirkung. zumindest keinen Wissentlichen ;)

Wär cool wenn mir jemand helfen könnte...
 
Probiere es mal mit einem anderen Virenscanner. Wenn du nichts gegen einen Personal-Scanner hast, kann ich die Testversion von NOD32 empfehlen.
Was sich aber auf alle Fälle nicht so gut macht ist Microsoft Antispy. Da kommst du mit Spybot SD und Ad-Aware deutlich weiter.
 
aaalso :)

Nen anderen Virenscanner für Windows Server systeme kenn ich jetzt keinen, Personal Scanner sagt mir nix, aber ich schau mir mal diesen NOD32 an.
Spybot und Ad-Aware weiß ich gar net ob die mit 2003 funktionieren ?! könnt ich aber auch mal testen.

Der Patchlevel ist der aktuellste, aktuelles server pack + neuste updates da ich die automatischen updates an hab, was die frage ob der Server direkt am Netz hängt bejat :)

lebensmüde insofern nicht direkt da er ja logischerweiße hinter nem router hängt und ich es net anders lösen kann/weiß.

Der Server dient ja als File und Druckserver, also ist inet net erforderlich sonder nur optional... aber das tut ja nichts zur sache, es darf einfach net passieren dass trotz aktuellem virenscanner + firewall im router so ne - sorry für den ausdruck - Scheiße passiert. Ich verzweifel gerade :(

Was ich noch sagen wollte:
Wenn ich die Windows Firewall aktiviere kommt der Fehler nicht mehr. Allerdings ist der Server dann komplett dicht und ich kann mich nicht mehr über die Domäne anmelden. Daraus folgt: kein Zugriff mehr auf die Drucker, Laufwerke und profile...

Hat nochjemand vorschläge was ich machen kann?
 
Nimm Linux!
Fileserver: Samba
Printserver: Samba

Ist in ca 1 h eingerichtet, läuft bei mir seit Anfang an (ca 4 Monate) ohne die geringsten Probleme. Von der 1h ist die meiste Zeit nur dein PC beschäftigt.
Du kannst ausserdem ne Uraltkiste nehmen, n Kumpel von mir kann die 100 MBit voll ausnutzen und hat nur nen 300er AMD (die Platte ist natürlich neuer).

Für die Freigabe kannst du zB ClamAV nehmen, wobei es auch reicht auf den Clients Virenscanner zu installieren, denn wenn kein Virus draufkommt kann auch keiner draufsein :)

Mit "direkt am Internet" hab ich das auch so gemeint, wenn er hinter nem Router hängt is er ja nicht direkt am Internet ^^

David
 
Für deine Zwecke ist Linux wirklich besser.
Falls du trotzdem bei Win2k3 bleiben willst: Da du den PC anscheinend auch als Workstation nutzt, läuft darauf (fast) alles, was auch auf WinXP laufen würde (kritisch sind Virenscanner und Spiele). NOD32 dürfte der einzige Personal-Scanner sein, der Win2k3 offiziell unterstützt.

https://www.computerbase.de/downloads/sicherheit/antimalware/mcafee-labs-stinger/ (auch ein gutes Tool)

Hast du die Firewall deines Routers aktiviert?
 
Zuletzt bearbeitet:
ich hatte vorher nen Debian Server. und bin wegen mangel an Fachkenntnissen zum win2k3 gewechselt...
Ich hab den Server als server laufen net als workstation!
Es ist ein Domain Server, mit Print und Fileserver. Wie gesagt mit linux kenn ich mich net aus...


Das AntiVirus werd ich mal noch testen...
Die Firewall vom Router ist natürlich aktiviert!
 
der Fehler kommt immer wieder, egal ob ich den Server im angemeldeten zustand lasse, oder mich einfach nicht anmelde und damit nur die systemdienste laden lasse...
Zum Vergrößern anklicken....
Daraus schließe ich, dass du dich an dem Server anmelden kannst, die graphische Oberfläche gealden ist und du ihn somit auch als Workstation nutzt.

Sind per NAT irgendwelche Ports geöffnet?
 
ja ich muss mich ja am server anmelden können als Administrator um ihn zu verwalten.. :-/

öhm ob ich per NAT Ports geöffnet habe... gute frage, weiß ich nicht wirklich... Also die einzigen Ports die ich geöffnet habe sind ein paar für Trillian, port 21 für FTP und die üblichen edonkey ports. aber die sind weitergeleitet an meinen PC. zum server ist nichts weitergeleitet. da er ja fürs internet keinen nutzen hat. er ist rein fürs locale Netzwerk... der hängt nur am netz, wegen den updates und virendefinitionen für NAV...
 
Wie wäre es denn, wenn du den Server nicht mehr mit dem Internet verbindest, also den Router des aus den Netzwerkeinstellungen der Netzwerkkarte entfernst. Dann erhält dein Server zwar keine Updates, gleichzeitig aber auch keine Viren mehr. Diese könnten dann nur noch indirekt durch einen anderen PC darauf gelangen. Jedoch würde das den Server nicht stören, weil die Viren keine Chance bekommen sich auf ihm zu installieren. Und dann kannst du ab und zu mit einem aktuellen Virenscanner alle Datein durchscannen (von einem anderen PC aus oder mit einem Konsolenscanner [z.B. F-prot]).

Dummerweise ist dein jetziges Problem damit noch nicht aus der Welt. Was auf alle Fälle hilft ist eine Windowsneuinstallation...:rolleyes:
 
davidbaumann schrieb:
Nimm Linux!
denn wenn kein Virus draufkommt kann auch keiner draufsein
Zum Vergrößern anklicken....
Wahnsinns Erkenntnis :evillol: Warum Linux? Lieber mal das Problem lösen, anstatt wieder Linux zu schreien!

Für mich sieht das eher nach einem Scherzprogramm aus, von der Beschreibung her ein simples Script. Das problem dabei wäre, es können nicht nur bat sondern auch vbs oder js oder....sein. Das zu durchsuchen ist eine Heidenarbeit.

Vielleicht ist es auch ein böses Teil, was der Sinn sein soll weiß ich aber nicht.

Vorschlag=
Du könntest aber den Router vom Netz nehmen (aber eingeschaltet lassen) und von einem Client aus mit einem Virenscanner das dann freigegebene C:\ scannen. Wenn da nix passiert, dann vom andren Client mit einem andren Scanner nochmal. Norton AV, Kaspersky AV, NOD32, Antivir und GDATA AV sind eigentlich ganz gut. Ich weiß aber nicht, ob alle genannten Programme Laufwerke im Netzwerk scannen können.

Schonmal den Taskplaner gecheckt? Autostart inklusive Registry?

Achja, es ist egal, ob man einen Router hat (ich auch) oder direkt am Netz hängt, einfangen kann man sich dennoch genug. Die Ports müssen aber nur offen bleiben, wenn das auch noch als FTP- (21) oder HTTP-Server (80) genutzt wird.
 
Zuletzt bearbeitet:
Ich würde mich nochmal an Linux versuchen.
Ist nicht schwer, und besondere Kenntnisse braucht man da auch nicht.
Wenn du mal nicht weiterkommst kann zB ich dir auch mal gerne per ICQ oder direkt per konsole helfen.
Linuxnutzer sind da meist ziemlich hilfsbereit :)

Du machst ne Debian-Standardinstallation. Dann installierst du den Samba-Dienst.
Dann noch 5 Zeilen in der smb.conf änder, Service neustarten und schon hast du eine Freigabe :) (gaanz grob).

David
 
also ich werd erstmal die Tipp versuchen das Gateway (Router) aus den Netzwerkeinstellungen zu löschen. Vielleicht hilft das ja.

Des weiteren werd ich auch mal den Tipp testen und den Server über meinen PC mit AVK über netzwerk zu scannen...

Aber ich habe auch eine neue Erkenntniss:
Und zwar habe ich über den Process Explorer herausgefunden wie die cmd.exe gestartet wird:
Eine Bat datei die es nicht gibt, wird aus einem verzeichniss welches es net gibt mit einer IP als attribut der cmd.exe ausgeführt...

wie gesagt, ich wollte den pfad zurück verfolgen, aber weder das verzeichniss noch die batdatei existiert... (und ja, ich hab alle versteckten datein und ordner anzeigen gelassen und auch über den editor in msdos net gefunden)

aber jetzt muss ich erstmal zur uni :)
 
joar ich hab wie gesagt den ProzessExplorer. Das Tool funktioniert wie dieser Filemon, zumindest was der Screenshot mir anzeigt auf deren Homepage. Aber ich hab mir das Programm mal runterlgeladen und werd das heute abend mir mal genauer anschauen... vielleicht sagt mir das programm ja mehr. Zur zeit ist es wieder super schlimm mit dem cmd.exe fehler. Kommt nach nem neustart binnen weniger stunden...

son mist, jetzt hatte ich so lange ruhe...

Die Neuinstallation ist der letzte schritt den ich eigentlich überhaupt nicht wahrnehmen möchte... Hab beim letzte mal fast nen ganzen tag daran gesessen, wie gesagt kenn mich mit der materie nicht besonders gut aus ;)
 
Siehste, eine Batchdatei. Sag mal bescheid, wie das scannen übers Netzwerk verlaufen ist wenn fertig.
 
Die suche war erfolglos. Die ganze nacht hat Norton2006 sämtliche festplatten auf dem Server untersucht und nichts dabei gefunden :-(

und nun? bleibt wirklich nur noch ne neuinstallation?
 
Noch nicht, es fehlt noch der Test mit einem "unparteiischen" Virenjäger. Außerdem hat dein process Explorer doch angezeigt, was es ist -kann er nur das oder auch detaillierte Infos ausspucken? Also Pfad usw...

Das Ding muß sich eigentlich zwangsläufig im Autostart vergraben haben.

Check mal MSCONFIG, die DIENSTE in der Verwaltung, den Autostart-Ordner im Startmenü sowie den Autostart in der Registry unter HKLM/Software/Microsoft/Windows/CurrentVersion/Run. Da könnte, bzw sollte irgendwas verdächtiges sein. Versuchs noch auf die Schnelle mit Spybot S&D, HijackThis, AdAware.

Ich weiß nicht mehr, obs den abgesicherten Modus auch bei 2003 gibt. Falls doch, versuch mal so dein Glück (hatten wir hier noch nicht oder?).

Jedenfalls lieber mal ne halbe Stunde oder so mit verschiedenen Tools geprüft und gescannt anstatt noch mehr Zeit in die Neuinstallation + Feineinstellungen investieren. Meine Meinung
 
Hallo Roughneg, was genau macht die Cmd (Batch ausführen?) und was ist das für eine FM die du wegklicken musst ?

Stutzig bei deinen Beschreibungen macht mich das mit der Firewall und das mit der Cmd.exe mit IP als Attribut. Das deutet eher darauf, das die Ursache nicht auf dem Server zu suchen ist (und auch nicht zu finden:D).

Die IP schon aufgelöst, welcher PC verbirgt sich dahinter? Wenn die Cmd startet, dann prüfe mal mit TCPview von Sysinternals alle Verbindungen dieser Prozesse. Was ist, wenn du währendessen das LAN-Kabel entfernst ?
Und wie ist das mit dem nicht vorhandenen Verzeichnis und der Batch ? Woher hast du den Pfad (poste ihn bitte mal) und bist du sicher, das damit dein Server gemeint ist ? Könnte auch ein anderer PC deiner Domäne sein, das mit dem Unregelmäßig ist ein Indiz dafür. -> Wenn der Rechner an ist, kommen die Cmd-Attacken, wenn er aus ist nicht.

Ist wirklich das Verzeichnis und die Batch nicht vorhanden, oder vielleicht nur die Batch nicht? Dann könnte der Aufruf auch über eine per ADS angehängte Datei erfolgen. Check deine LW deswegen mal mit ADS-Aufspürer. Die Idee von Gelbsucht mit den Autostarts ist gut, nur sind leider über 25 Autostart-Rampen zu prüfen, und msconfig z.B. zeigt nicht mal die Hälfte davon! Mit Autoruns von Sysinternals werden alle Autostarts angezeigt. Das mit dem Abgesicherten Modus würde Ich auch mal checken (F8 beim 2003-Start), obs dann auch Auftritt

Prüfe mal alles nach und gib Bescheid, gern auch per PM.

PCB
 
welcher ist denn
Noch nicht, es fehlt noch der Test mit einem "unparteiischen" Virenjäger
Zum Vergrößern anklicken....
unparteiisch?

In den Autostart und Registry sind nur 4 einträge:
Symantec Anti Virus
Java
HP-Druckertreiber
Microsoft Anti Spy

also nichts verdächtiges...

Zur Zeit läuft gerade Spybot, dannach noch Hijack und AdAware wie du gesagt hast.

Ich hab den Server wieder müssen resetten, aber sobald die Fehlermeldung kommt mach ich von der Meldun und dem ProzessExploerer mal nen screenshot wegen der ip und pfad...

stay tuned ;)

Und schon mal danke für eure Tipps! wenn das klappt verbeug ich mich :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Rickmer
Leserartikel Anleitung: Installation eines TS3 Server als Service inkl. Einrichtung von Portfreigaben an Windows
Antworten
9
Aufrufe
12.829
BFF
BFF
C
TYAN Servermainboard: 0x0000007b bei Server 2003 setup
Antworten
19
Aufrufe
1.325
whats4
whats4
P
Windows 2003 - Server
2
Antworten
30
Aufrufe
2.508
solmk
S
M
Windows Server 2008 R2 2 DC 1 Exchange 2003 Server
Antworten
4
Aufrufe
2.107
Matthias80
M
K
Absendeadresse bei Exchange 2003 Server mit Pop-connector
Antworten
1
Aufrufe
1.577
der-graph
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz