[W2k Server NL] NT Authority/System shutdown (Geen virus!) - Windows clients

zaterdag 25 september 2004 13:15

Acties:

Topicstarter

Beste mensen,

Vannacht en vannochtend bezig geweest een Windows 2000 Server op te zetten.

Hard/Software:
- Compaq Deskpro EP PII
- 4 Gb IDE hdd
- 15 Gb SCSI, SCSI back-up tape drive
- Windows 2000 Server NL SP3, McAfee VirusScan 7.1 Enterprise
Voornamelijk bedoeld als fileserver en internet sharing.

Het voorval:
Het bekende probleem met NT Authority\SYSTEM dat na 50 seconden het systeem afsluit. (lsass.exe, foutcode 128)

Al gedaan:
HotFix voor dit probleem van MS gedownload en geïnstalleerd. Tevens Blaster Removal Tool erover gehaald: geen virus gevonden. Gehele harddisk gescand met de up-to-date VirusScan 7.1: geen virus gevonden.

Uitzonderingen:
Het lijkt zo te zijn dat wanneer er geen verbinding is met het netwerk/internet dat het probleem zich niet voordoet. Wanneer netwerkkabel aangesloten hoef ik niet lang te wachten op de shutdown. Alle andere PC's in het netwerk zijn voorzien van dezelfde bovenstaande VirusScanner en zijn up-to-date.

Vraag:
Komt iemand dit bekend voor (dus geen virus!) en/of heeft iemand een oplossing?
Degene met de gouden tip zal zeer gewaardeerd worden.

Alvast bedankt.

An assumption is the mother of all fuck-ups

zaterdag 25 september 2004 13:23

Acties:

alt-92

ye olde farte

Begin maar eens met sp4.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 25 september 2004 13:29

Acties:

Chrissels

BackSlash32 schreef op 25 september 2004 @ 13:23:
Begin maar eens met sp4.

Precies! Ram SP4 eroverheen en de volledige Windows Update en kijk dan nog eens...

Controleer ook je logboeken en post het hier als je rode kruisjes en/of gele uitroeptekentjes hebt.

Deze website heeft mij vaak geholpen met het vinden van problemen.

zaterdag 25 september 2004 13:30

Acties:

Mr_Dark

Gotta catch 'em all

Ik heb dat zeflde probleem gehad toen ik op een HP computer waar standaard Win ME opstond Win XP ging installeren..

Wat blijkt.. Er zit een stukje data op die HDD wat je er niet afkrijgt en wat zorgt dat je alleen Win ME erop kan zetten..

Probeer is het met een andere HDD als het dan nog zo is dan weet ik het ook niet

zaterdag 25 september 2004 13:34

Acties:

RpR

Topicstarter

BackSlash32 schreef op 25 september 2004 @ 13:23:
Begin maar eens met sp4.

Uiteraard was ik van plan SP4 er op te zetten, alleen ging dat niet via internet vanwege die fijne shutdown.

Heb nu op mijn eigen station SP4 los gedownload en ben nu bezig met de installatie. Hopen dat dit uitkomst biedt. Is dit een bekend probleem dan?

An assumption is the mother of all fuck-ups

zaterdag 25 september 2004 13:49

Acties:

RpR

Topicstarter

Oke mensen,

SP4 geïnstalleerd zonder netwerk verbinding, verliep prima. Na herstart netwerkkabel weer aangesloten om alle updates te downloaden en......
ja hoor, daar heb je 't weer!

Dus probleem nog niet opgelost met SP4!

An assumption is the mother of all fuck-ups

zaterdag 25 september 2004 13:52

Acties:

Chrissels

DjRp schreef op 25 september 2004 @ 13:49:
Oke mensen,

SP4 geïnstalleerd zonder netwerk verbinding, verliep prima. Na herstart netwerkkabel weer aangesloten om alle updates te downloaden en......
ja hoor, daar heb je 't weer!

Dus probleem nog niet opgelost met SP4!

Firewall erop en alle andere updates downen. (Er zijn een aantal hele belangrijke ná SP4 uitgekomen (waaronder de Blaster-patch.))

zaterdag 25 september 2004 13:55

Acties:

mindcrash

Rebellious Monkey

Dus, géén netwerk link = geen problemen en wél netwerk link == wel problemen?

Sorry, maar dan lijkt het er wel op dat een Blaster variant of zoiets dergelijks op je server aan het hameren is

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

zaterdag 25 september 2004 13:57

Acties:

RpR

Topicstarter

mindcrash schreef op 25 september 2004 @ 13:55:
Dus, géén netwerk link = geen problemen en wél netwerk link == wel problemen?

Sorry, maar dan lijkt het er wel op dat een Blaster variant of zoiets dergelijks op je server aan het hameren is

Zou je denken, maar heb alles gescand en kan geen virussen vinden...

An assumption is the mother of all fuck-ups

zaterdag 25 september 2004 14:03

Acties:

Zwelgje

DjRp schreef op 25 september 2004 @ 13:49:
Oke mensen,

SP4 geïnstalleerd zonder netwerk verbinding, verliep prima. Na herstart netwerkkabel weer aangesloten om alle updates te downloaden en......
ja hoor, daar heb je 't weer!

Dus probleem nog niet opgelost met SP4!

je moet ook de post sp4 fixes erop zetten...

of gebruik een fatsoenlijk firewall/packetfilter, chx-i bv die is gratis voor thuis en werkt prima op een 2000 server (eigen ervaring)

http://www.idrci.net/idrci_products.htm

echter deze tool vereist wel dat je verstand van zaken hebt kwa tcp/ip en overige firewall settings, tis niet echt een klikerdieklik tool

[ Voor 17% gewijzigd door Zwelgje op 25-09-2004 14:04 ]

A wise man's life is based around fuck you

zaterdag 25 september 2004 14:12

Acties:

Jimbolino

troep.com

lsass.exe = SASSER
een blaster update zul je dus weinig aan hebben

na SP4 moet je natuurlijk wel ff windowsupdate draaien

je moet ook de post sp4 fixes erop zetten...

je bedoelt de pre-sp5 fixes

Gehele harddisk gescand met de up-to-date VirusScan 7.1: geen virus gevonden.

"virusscan 7.1" betekend nog niet dat de virus definities up to date zijn...
check voor de grap eens met een online scanner: http://housecall.trendmicro.com/housecall/start_corp.asp

[ Voor 61% gewijzigd door Jimbolino op 25-09-2004 14:17 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zaterdag 25 september 2004 14:27

Acties:

RpR

Topicstarter

Jimbolino schreef op 25 september 2004 @ 14:12:
"virusscan 7.1" betekend nog niet dat de virus definities up to date zijn...
check voor de grap eens met een online scanner: http://housecall.trendmicro.com/housecall/start_corp.asp

Dat begrijp ik wel, de DAT files zijn van 22-09-04...

Ben nu voor de zekerheid een online scan aan het uitvoeren. Daarnaast heb ik voor nood ff ZoneAlarm Pro geïnstalleerd, blokte in de eerste instantie het e.e.a.
Tot nu toe nog geen shutdown gehad. Op hoop van zegen dan maar...

An assumption is the mother of all fuck-ups

zaterdag 25 september 2004 14:29

Acties:

Verwijderd

download ff de laatste stinger versie bij McAfee, dan ben je er zo vanaf, daarna de sasser patch eroverheen.

suc6

zaterdag 25 september 2004 14:30

Acties:

Zwelgje

je hoeft ook niet perse geinfecteerd te zijn met het blaster virus (dwz hij staat niet op je harddisk) om er last van te krijgen..

en andere pc geeft via het internet een 'signaal' (even heel simpel gezegd) om je lsass.exe te laten crashen, er komt dan niks op je hdd te staan, zo heb je toch last en zou je toch nooit wat vinden met een virusscanner

maw: update met die patches en klaar. (naast het hebben van een firewall)

A wise man's life is based around fuck you

zaterdag 25 september 2004 14:32

Acties:

RpR

Topicstarter

Verwijderd schreef op 25 september 2004 @ 14:29:
download ff de laatste stinger versie bij McAfee, dan ben je er zo vanaf, daarna de sasser patch eroverheen.

suc6

Laatste stinger had ik al gedownload en er over gehaald, maar leverde ook niets op.

An assumption is the mother of all fuck-ups

zaterdag 25 september 2004 15:14

Acties:

RpR

Topicstarter

Alles lijkt oke nu. Waarschijnlijk is het toch dankzij een firewall en wat updates. Toch is er nog nooit een virus gevonden op deze machine...

Als het probleem zich weer voor doet, dan meld ik me wel weer.

Tot zover iedereen bedankt! $_/-\o_$

An assumption is the mother of all fuck-ups

zaterdag 25 september 2004 19:23

Acties:

Duinkonijn

Huh?

aanvulling.. shutdown kan je beindigen met

uitvoeren : shutdown -a

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

zaterdag 25 september 2004 19:59

Acties:

Jimbolino

troep.com

Duinkonijn schreef op 25 september 2004 @ 19:23:
aanvulling.. shutdown kan je beindigen met
uitvoeren : shutdown -a

shutdown command zit niet in windows 2000

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zaterdag 25 september 2004 20:00

Acties:

Zwelgje

Jimbolino schreef op 25 september 2004 @ 19:59:
[...]

shutdown command zit niet in windows 2000

dan download je bij systernals.com even psshutdown

http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml

[ Voor 14% gewijzigd door Zwelgje op 25-09-2004 20:00 ]

A wise man's life is based around fuck you

Pagina: 1

Reageer