Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Tach auch!

Folgendes Problem:

Netzwerk Windows 2000 Server, SP2, Clients Windows 2000 SP2.

die Clients sind mit Norton Antivirus mit aktuellen Signaturen geschützt,

der Server hat keinen Virenschutz (NAV Desktop Edition lässt sich auf Servern nicht installieren. Kunde wollte das Geld für eine Netzwerklizenz Sophos nicht ausgeben.)

Server druckt jeden Morgen die Papierschächte beider angeschlossener Drucker leer (Minolta QMS und HP LJ5, beide über LAN angeschlossen, der QMS über die eigene Netzwerkkarte, der HP über ein Extended Systems Prinport).

Auf den Seiten steht (neben ziemlich vielen Steuerzeichen aus dem ASCII-Zeichensatz) der Satz "This Programm Cannot be run in DOS-Modus".

OK. Das ganze deutet auf BugBear hin, das habe ich auf verschiedenen Seiten im Netz schon gefunden.

Seltsamerweise finde ich aber in der Registry nicht die Einträge, die BugBear üblicherweise anlegt. Symantecs kleines BugBear Removal Tool findet auch bei mehrfachen Durchläufen keinen Bugbear.

Da ich mal nicht so eben einen Virenscanner auf dem Server installieren will (ich weiss, von Sophos gibt es eine 30-Tage-Test-Version), habe ich mir Fprot-DOS genommen, die aktuellsten Virensignaturen reingepackt und mehrfach über den Server gejagt. Das Ergebniss: Nichts.

OK. Es gibt noch einen alten Virus (LoveLetter??), der ähnliche Spässe macht, aber von dem habe ich auch keine Spuren gefunden.

Die Netzwerkshares des Servers habe ich mal von einem Arbeitsplatz aus mit Norton gescannt, die sind auch sauber.

Weitere Drucker bei dem Rechtsanwalt (lokal am Arbeitsplatz installierte HP DeskJets) zeigen dieses Verhalten nicht.

Sachdienliche Hinweise bitte, oder soll ich den Kunden so lange schmoren lassen, bis er Papierverbrauch gegen Lizenzkosten Sophos vergleicht und sich den Sophos holt?

Geschrieben

achso, nachtrag: die seiten kommen jeden morgen, wenn die drucker eingeschaltet werden.

@ Jaraz: fast alle Clients haben lokale Drucker dort, und die machen keine Zicken.

Norton ist AFAIK überall aktiv. Die wissen, dass ich sauer werde, wenn die den deaktivieren.

Nachfrage beim Kunden erbrachte übrigens (da mich grade die Frage per ICQ erreichte, woher denn der Druckjob kommt), dass am Morgen die Queues des Servers leer sind, bevor die Drucker eingeschaltet werden. Kann ich nicht nachprüfen.

Geschrieben

Moin, Moin, Chief :D

Das ist jetzt sicherlich nicht sonderlich hilfreich, da Du es vermutlich auch weisst, aber auf der Homepage von TrendMicro oder Symantec gibt es Onlinescanner, der ist meiner Erfahrung nach auch echt gut, versuch das doch mal...

Allerdings würde ich dem Kunden dringendst raten, sich einen Scanner für den Server zuzulegen, ich meine, in einer Anwaltskanzlei einen Trojaner odeer Ähnliches, das ist ja nun nicht gerade so der Hammer... :rolleyes:

(Scan hier)

(...oder hier)

(hier nochmal)

(hier werden Sie auch gehelft!)

(und hier erst...)

(Jetzt langts dann aber...)

Hoffe, Du kannst vielleciht was damit anfangen...

Geschrieben

Moin Sven!

tja, danke für die tipps mit den online-scannern, aber das geht leider nicht, da die kanzlei einen godot-router-mailserver-irgendwas von den telekomikern einsetzt und die ip vom server ist auf dem für i-net-zugriffe gesperrt. *grummel*

also weiter sachdienliche hinweise. ;)

Geschrieben

Wieso hängst Du den nicht einfach so ins Netz, zumindest bis der Onlinescan durch ist? Oder blick ich es jetzt nicht mit der Hardware...? Ich meine, lieber das, als nen Trojaner im System... :( Wenn ich mir überlege, das wäre mein Anwalt, dann hätt ich das grosse Schlottern...

Geschrieben

Kann F-Prot/DOS überhaupt NTFS-Partitionen scannen? Auf der FPROT seite habe ich keine Info dazu gefunden.

Ich würd deinem Kunden empfehlen das Geld auszugeben für den Scanner oder für das gleiche Geld Papier und Toner kaufen. (!!) Zusätzlich eine Firewall mal drauf machen (Zonealarm) um zu sehen welche Programme Verbindungen mit dem Netzwerk herstellen.

Gruß

Horse

Geschrieben
Originally posted by Chief Wiggum

@ sven: der internetzugriff der kanzlei läuft über einen godot-router der telekom / t-online. auf diesem router ist die IP vom server und der servername für den zugriff ins i-net gesperrrt. also null chance online zu kommen.

Ähm, vielleicht sollte ich jetzt einfach die Klappe halten, weil mir dieser Router nichts sagt, aber gibt es denn nicht die Möglichkeit, per INternet-by-call oder Ähnlichem eine Verbindung aufzubauen? Ich meine, man muss ja nicht unbedingt eine bestehende Standartverbindung nutzen... Ausnahmesituationen erfordern auch Ausnahmelösungen... ...ISDN, Kanalbündelung...? Wäre wenigstens eine halbwegs vernünftige Geschwindigkeit...?

P.S.: Hey, Chief, sollte das in die falsche Richtung gehen, dann sag Bescheid...

  • 4 Wochen später...
Geschrieben

so, nachtrag: problem ist gelöst.

es war einer der anwälte in der kanzlei, der sein privates notebook mit einem MacAffee-Scanner von 1999 betrieb. nie upgedatet. der hatte sich unter anderem diesen virus eingefangen, und hatte (wenn er morgens seinen laptop einschaltete) nie das kabel zu seinem lokalen tintenstrahldrucker angeschlossen.

rausbekommen dadurch, dass ich früh morgens gleich beide drucker auf dem server angehalten habe und gewartet habe, bis ein verdächtiger job kommt und siehe da: er kam von dem notebook.

jetzt isser sauber und die kanzlei denkt über sophos nach. :D :D

Geschrieben
Originally posted by Jaraz

Hi,

kann es nicht irgendein anderer Rechner im Netz sein?

Oder hat ein User den Norton einfach ausgeschaltet?

Gruß Jaraz

Na da lag ich doch gar nicht schlecht. :D

Gruß Jaraz

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...