Ich nutze einen Server mit Windows 2003 Server 5 User. Auf dem Server sind diverse Programme, unter anderem Tobit hinterlegt. Nichts aufwendiges Backup über Veritas, keine große Benutzereinschränkungen (alle User als Benutzer).

Jetzt kommt mein Problem. Am Freitag 1.09.2006 Punkt 13.00.03 fährt der Server runter (Meldefenster wie beim Sasser Worm). Es wird eine Endlosschleife, habe es erst gegen 16.00 Uhr festgestellt, dass ich keinen Server mehr habe. Abgesichert kann der Server gestartet werden und im Ereignisprotokoll finden sich einige Hinweise aber keine Fehler.

Jetzt kommt die Begründung, warum ich das ganze für einen neuen Virus halte, wenn der Server "oben" ist, dann funktioniert der Anmeldevorgang STRG+ALT+ENT nicht. Es kommt nur ein Ton, dann das Fenster, dass der Server in 45 Sek. heruntergefahren wird.

Hatt jemand schon von diesem Fall gehört. Bitte um Hilfe.

Ach ja, habe die Platte mit Norton, Ca Etrust und mit Sophos gescannt, keiner der Virenscanner hat einen Virus festgestellt. (Neueste Version aus dem Netz gezogen)

Probier auch mal die Security Check Funktion auf www.Symantec.de

War der Server aktuell gepatcht BEVOR er ans Netz ging? Sonst ist die Warscheinlichkeit einer Wurmkrankheit schon recht gross.

Der Server läuft schon seit 2004 im Netzwerk, seit dem keine Updates. Symantec negativ alles i.o.

Habe auch unter Arbeitsplatz- Eigenschaften- Erweitert- Starten und wiederherstellen- Neustart bei Systemfehler deaktiviert. Ohne Erfolg. Habe alle Optionen über Registy Run und Run Once gelöscht.

Wo kann ich jetzt noch suchen ?

Das es sowas noch gibt - ein Windows Rechner, ungepatcht seit 2 Jahren? ;-)

Ja, wir wollen ja bei der Wahrheit bleiben, oder?

Hast du eine nicht ganz legale Version des Servers 2003?
Weil ich da mal was im Internet gelesen habe, das Microsoft geklaute Serverversionen die aufs Netz zugreifen lahm legt (ab Anfang August hats da geheissen). Dass man sie nicht mehr starten kann. Mal schauen, vielleicht finde ich die Webpage nochmals. Werde sie dann hier Posten.

Nein, die Version ist Original, ich arbeite auch nicht mit solchen illegalen Kopien.

Es ist egal, ich habe den Server neu aufgesetzt und die Daten neu übertragen. Jetzt läuft wieder alles, so weit ich das bis jetzt beurteilen kann.

Trotzdem Danke.

Nach Microsoft müsste eine Registrationsfenster erscheinen, wenn sie das System sperren würden.

Nach deiner Beschreibung wird der Befehl zum herunterfahren vie RPC geschickt. dies kannst du abbrechen. Der Befehl dazu lautet:

shutdown /a \\deinserver

der Befehl muss natürlich im Kontext eines Benutzers laufen der dafür berechtigt ist. Beispielsweise ein Dom-Admin.

Danach solltest du dich ganz normal anmelden können.

Anschliessend würd ich mich mit msconfig mal die Autostart einträge anschauen.

Kontrolliere mal, ob dein Logfile voll ist. Die AD hat eine Einstellung, dass der Server herunterfährt, wenn er nichts mehr ins Logfile schreiben kann. Im abgesicherten Modus kannst du ja einloggen.

Zudem würde ich dringest empfehlen, den Server zu patchen!