Thanks-and-Goodbye Geschrieben 10. Januar 2003 Geschrieben 10. Januar 2003 Tach auch! Folgendes Problem: Netzwerk Windows 2000 Server, SP2, Clients Windows 2000 SP2. die Clients sind mit Norton Antivirus mit aktuellen Signaturen geschützt, der Server hat keinen Virenschutz (NAV Desktop Edition lässt sich auf Servern nicht installieren. Kunde wollte das Geld für eine Netzwerklizenz Sophos nicht ausgeben.) Server druckt jeden Morgen die Papierschächte beider angeschlossener Drucker leer (Minolta QMS und HP LJ5, beide über LAN angeschlossen, der QMS über die eigene Netzwerkkarte, der HP über ein Extended Systems Prinport). Auf den Seiten steht (neben ziemlich vielen Steuerzeichen aus dem ASCII-Zeichensatz) der Satz "This Programm Cannot be run in DOS-Modus". OK. Das ganze deutet auf BugBear hin, das habe ich auf verschiedenen Seiten im Netz schon gefunden. Seltsamerweise finde ich aber in der Registry nicht die Einträge, die BugBear üblicherweise anlegt. Symantecs kleines BugBear Removal Tool findet auch bei mehrfachen Durchläufen keinen Bugbear. Da ich mal nicht so eben einen Virenscanner auf dem Server installieren will (ich weiss, von Sophos gibt es eine 30-Tage-Test-Version), habe ich mir Fprot-DOS genommen, die aktuellsten Virensignaturen reingepackt und mehrfach über den Server gejagt. Das Ergebniss: Nichts. OK. Es gibt noch einen alten Virus (LoveLetter??), der ähnliche Spässe macht, aber von dem habe ich auch keine Spuren gefunden. Die Netzwerkshares des Servers habe ich mal von einem Arbeitsplatz aus mit Norton gescannt, die sind auch sauber. Weitere Drucker bei dem Rechtsanwalt (lokal am Arbeitsplatz installierte HP DeskJets) zeigen dieses Verhalten nicht. Sachdienliche Hinweise bitte, oder soll ich den Kunden so lange schmoren lassen, bis er Papierverbrauch gegen Lizenzkosten Sophos vergleicht und sich den Sophos holt? Zitieren
Jaraz Geschrieben 10. Januar 2003 Geschrieben 10. Januar 2003 Hi, kann es nicht irgendein anderer Rechner im Netz sein? Oder hat ein User den Norton einfach ausgeschaltet? Gruß Jaraz Zitieren
Thanks-and-Goodbye Geschrieben 10. Januar 2003 Autor Geschrieben 10. Januar 2003 achso, nachtrag: die seiten kommen jeden morgen, wenn die drucker eingeschaltet werden. @ Jaraz: fast alle Clients haben lokale Drucker dort, und die machen keine Zicken. Norton ist AFAIK überall aktiv. Die wissen, dass ich sauer werde, wenn die den deaktivieren. Nachfrage beim Kunden erbrachte übrigens (da mich grade die Frage per ICQ erreichte, woher denn der Druckjob kommt), dass am Morgen die Queues des Servers leer sind, bevor die Drucker eingeschaltet werden. Kann ich nicht nachprüfen. Zitieren
Sven Eichler Geschrieben 11. Januar 2003 Geschrieben 11. Januar 2003 Moin, Moin, Chief Das ist jetzt sicherlich nicht sonderlich hilfreich, da Du es vermutlich auch weisst, aber auf der Homepage von TrendMicro oder Symantec gibt es Onlinescanner, der ist meiner Erfahrung nach auch echt gut, versuch das doch mal... Allerdings würde ich dem Kunden dringendst raten, sich einen Scanner für den Server zuzulegen, ich meine, in einer Anwaltskanzlei einen Trojaner odeer Ähnliches, das ist ja nun nicht gerade so der Hammer... (Scan hier) (...oder hier) (hier nochmal) (hier werden Sie auch gehelft!) (und hier erst...) (Jetzt langts dann aber...) Hoffe, Du kannst vielleciht was damit anfangen... Zitieren
Thanks-and-Goodbye Geschrieben 11. Januar 2003 Autor Geschrieben 11. Januar 2003 Moin Sven! tja, danke für die tipps mit den online-scannern, aber das geht leider nicht, da die kanzlei einen godot-router-mailserver-irgendwas von den telekomikern einsetzt und die ip vom server ist auf dem für i-net-zugriffe gesperrt. *grummel* also weiter sachdienliche hinweise. Zitieren
Sven Eichler Geschrieben 13. Januar 2003 Geschrieben 13. Januar 2003 Wieso hängst Du den nicht einfach so ins Netz, zumindest bis der Onlinescan durch ist? Oder blick ich es jetzt nicht mit der Hardware...? Ich meine, lieber das, als nen Trojaner im System... Wenn ich mir überlege, das wäre mein Anwalt, dann hätt ich das grosse Schlottern... Zitieren
Thanks-and-Goodbye Geschrieben 13. Januar 2003 Autor Geschrieben 13. Januar 2003 @ sven: der internetzugriff der kanzlei läuft über einen godot-router der telekom / t-online. auf diesem router ist die IP vom server und der servername für den zugriff ins i-net gesperrrt. also null chance online zu kommen. Zitieren
Horse Geschrieben 13. Januar 2003 Geschrieben 13. Januar 2003 Kann F-Prot/DOS überhaupt NTFS-Partitionen scannen? Auf der FPROT seite habe ich keine Info dazu gefunden. Ich würd deinem Kunden empfehlen das Geld auszugeben für den Scanner oder für das gleiche Geld Papier und Toner kaufen. (!!) Zusätzlich eine Firewall mal drauf machen (Zonealarm) um zu sehen welche Programme Verbindungen mit dem Netzwerk herstellen. Gruß Horse Zitieren
Sven Eichler Geschrieben 13. Januar 2003 Geschrieben 13. Januar 2003 Originally posted by Chief Wiggum @ sven: der internetzugriff der kanzlei läuft über einen godot-router der telekom / t-online. auf diesem router ist die IP vom server und der servername für den zugriff ins i-net gesperrrt. also null chance online zu kommen. Ähm, vielleicht sollte ich jetzt einfach die Klappe halten, weil mir dieser Router nichts sagt, aber gibt es denn nicht die Möglichkeit, per INternet-by-call oder Ähnlichem eine Verbindung aufzubauen? Ich meine, man muss ja nicht unbedingt eine bestehende Standartverbindung nutzen... Ausnahmesituationen erfordern auch Ausnahmelösungen... ...ISDN, Kanalbündelung...? Wäre wenigstens eine halbwegs vernünftige Geschwindigkeit...? P.S.: Hey, Chief, sollte das in die falsche Richtung gehen, dann sag Bescheid... Zitieren
Horse Geschrieben 13. Januar 2003 Geschrieben 13. Januar 2003 Vielleicht kannst du ja die Laufwerke des Servers freigeben und dann von einem Client aus die Laufwerke scannen? Gruß Horse Zitieren
Thanks-and-Goodbye Geschrieben 6. Februar 2003 Autor Geschrieben 6. Februar 2003 so, nachtrag: problem ist gelöst. es war einer der anwälte in der kanzlei, der sein privates notebook mit einem MacAffee-Scanner von 1999 betrieb. nie upgedatet. der hatte sich unter anderem diesen virus eingefangen, und hatte (wenn er morgens seinen laptop einschaltete) nie das kabel zu seinem lokalen tintenstrahldrucker angeschlossen. rausbekommen dadurch, dass ich früh morgens gleich beide drucker auf dem server angehalten habe und gewartet habe, bis ein verdächtiger job kommt und siehe da: er kam von dem notebook. jetzt isser sauber und die kanzlei denkt über sophos nach. :D Zitieren
Jaraz Geschrieben 6. Februar 2003 Geschrieben 6. Februar 2003 Originally posted by Jaraz Hi, kann es nicht irgendein anderer Rechner im Netz sein? Oder hat ein User den Norton einfach ausgeschaltet? Gruß Jaraz Na da lag ich doch gar nicht schlecht. Gruß Jaraz Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.