none
Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden RRS feed

  • Frage

  • Hallo zusammen,

    ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen denn selber weiß ich leider nicht mehr weiter!
    Um das Problem genauer zu beschreiben möchte ich ein wenig weiter aushohlen. Ich betreue seid kurzer, nebenberuflich die EDV eines kleinen Architektur Büros. Grund für meine Einstellung waren ständige Probleme auf dem Server und der Internetverbindung. Direkt nach meinem Start habe ich einen neuen HP Server gekauft und diesen mit Windows Server 2003 small Business aufgesetzt. Natürlich alle alten Dateien mit E-Mails übernommen. Als Virensoftware habe ich zu diesem Zeitpunkt die Lösung von Trend Micro verwendet (30Tage Testlizenz). Das gesamte System lief super, leider nur ganze zwei Wochen lang! Der Server hatte ständige 100% CPU Auslastung durch verschiedene Prozesse und somit war das arbeiten nur mit langen Wartezeiten möglich. Schlimmste war aber, dass der Server den Router überlastete und dieser somit nicht mehr ansprechbar war, solange der Server die Verbindung zum Switch hatte. Nachdem ich dann einen Blick auf die Dienste geworfen habe wurde mir sofort klar, dass es nur eine bösartige Software sein kann. Sehr viele Dienste hatten einen ganz ungewöhnlichen Namen wie z.B. „%$§“%dwef!“$“

    Ich habe daraufhin Server mit sämtlichen Clients komplett und sicher formatiert und neu aufgesetzt. Die alten Daten musste ich übernehmen habe aber vorher sämtliche mir bekannten Tools zum aufspüren von Viren und Trojaner verwendet um das Ding aufzuspüren. Nur leider konnte bisher nie wirklich was gefunden werden. Als neue Virensoftware habe ich das Eset Nod32 Anti Virus installiert da hierbei auch eine Exchange Antiviren Lösung mit dabei ist. Das ist jetzt zwei Wochen her. Es läuft zwar alles aber unter den Diensten tauchen wieder diese ungewöhnlichen Namen auf. Diese Dienste sollen den Prozess „C:\WINDOWS\System32\svchost.exe -k netsvcs“ starten. Beim Start von Windows bleiben diese jedoch aus obwohl es auf „automatisch“ steht.

    Nun meine Frage an euch bevor wieder alles zusammen bricht, ist das überhaupt ein Virus oder Trojaner? Wie kann ich diesen aufspüren und vernichten?

    Logfile mit HijackThis habe ich natürlich schon erstellt:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:05:49, on 15.09.2009
    Platform: Windows 2003 SP2 (WinNT 5.02.3790)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\HP\Cissesrv\cissesrv.exe
    C:\WINDOWS\system32\Dfssvc.exe
    C:\WINDOWS\System32\dns.exe
    C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\inetsrv\inetinfo.exe
    C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
    C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    C:\Programme\Eset\nod32krn.exe
    C:\WINDOWS\system32\ntfrs.exe
    C:\hp\hpsmh\bin\smhstart.exe
    C:\WINDOWS\System32\wins.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Exchsrvr\bin\exmgmt.exe
    C:\Programme\Exchsrvr\bin\mad.exe
    C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
    C:\WINDOWS\System32\svchost.exe
    C:\hp\hpsmh\bin\hpsmhd.exe
    C:\Programme\Exchsrvr\bin\store.exe
    C:\WINDOWS\system32\cmd.exe
    C:\hp\hpsmh\bin\rotatelogs.exe
    C:\WINDOWS\system32\cmd.exe
    C:\hp\hpsmh\bin\rotatelogs.exe
    C:\hp\hpsmh\bin\hpsmhd.exe
    C:\hp\hpsmh\bin\rotatelogs.exe
    C:\WINDOWS\system32\cmd.exe
    C:\hp\hpsmh\bin\rotatelogs.exe
    C:\WINDOWS\system32\cmd.exe
    C:\hp\hpsmh\bin\rotatelogs.exe
    C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
    c:\windows\system32\inetsrv\w3wp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Eset\nod32kui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    C:\WINDOWS\system32\mmc.exe
    c:\windows\system32\inetsrv\w3wp.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\rdpclip.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\system32\mmc.exe
    C:\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69 ...
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54 ...
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54 ...
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69 ...
    O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
    O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
    O4 - Startup: Serververwaltungskonsole.lnk = ?
    O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    O14 - IERESET.INF: START_PAGE_URL=http://companyweb
    O15 - ESC Trusted Zone: http://download.eset.com
    O15 - ESC Trusted Zone: http://www.eset.de
    O15 - ESC Trusted Zone: http://www.google.de
    O15 - ESC Trusted Zone: http://www.hijackthis.de
    O15 - ESC Trusted Zone: http://runonce.msn.com
    O15 - ESC Trusted Zone: http://*.windowsupdate.com
    O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate ...
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = frye.local
    O17 - HKLM\Software\..\Telephony: DomainName = frye.local
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C20543E3-83F1-48EA-887C-EB824C42AA67}: NameServer = 192.168.2.2
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = frye.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = frye.local
    O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programme\HP\Cissesrv\cissesrv.exe
    O23 - Service: ESET RA HTTP Server (ERA_HTTP_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\EHttpSrv.exe
    O23 - Service: ESET Remote Administrator Server (ERA_SERVER) - ESET - C:\Programme\ESET\ESET Remote Administrator\Server\era.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
    O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
    Dienstag, 15. September 2009 10:11

Antworten

  • Zum Glück habe ich direkt nach der fertigen Konfiguration des Servers damals ein Ghost Image aufgesetzt. Das konnte ich jetzt zurücksichern und dann lief auch wieder alles. Jetzt stehe ich vor dem Problem das seid der Aufspielung des Image die Postfächer und der Informationsspeicher des Exchange nicht mehr bereitgestellt sind und auch nicht bereit gestellt werden können.

    Fehlermeldung: interner Verarbeitungsfehler. Starten Sie Exchange-System-Manager oder den Microsoft Exchange-Informationsspeicherdienst oder beide erneut.

    ID-Nr: c1041724
    Exchange-System-Manager


    Die Daten von Exchange liegen auf einem anderen Laufwerk welches nicht zurückgesichert wurde. Exchange server-software liegt auf c:\programme und das Laufwerk c:\ hat jetzt das neue/alte Image drauf.

    Kann da jemand Hilfestellung leisten?
    Donnerstag, 24. September 2009 08:24

  • Exchange läuft jetzt wieder! Lösung war die alte Datenbank komplett vom Datenlaufwerk zu entfernen bzw. umbenennen. Dann hat der Exchange eine neue angelegt und diese hat dann auch das ntbackup angenommen.

    Gut jetzt habe ich aber leider immernoch eine Sicherheitslücke, sprich es werden sicher bald wieder Systemdateien verseucht sein. Das Image ist zu 100% Virenfrei da ich aber die Quelle der Viren nicht kenne wird das sicher bald wieder kommen. Was kann ich noch machen um die Quelle zu finden?
    Freitag, 25. September 2009 06:20

Alle Antworten

  • Drei Fragen vor weg...

    kannst du den Namen der Dienste nennen die dir als außergewöhnlich erscheinen?
    Ist es der erste SBS den du "so nebenbei" betreust? Bzw. wie würdest du dich vom Skill Level einschätzen?
    Welche Server Dienste sind installiert (DHCP,DNS? etc.)?

    Gruß
    Martin

    Dienstag, 15. September 2009 10:32
  • Hallo Martin, vielen Dank für deine schnelle Antwort!

    Dies ist mein erstes Small Business System, habe aber schon viel Kontakt mit dem normalen Windows Server 2003 in meiner Hauptberuflichen Tätigkeit. Das sind jetzt 6 Jahre Erfahrung wobei ich meinen Skill Level sicher nicht als perfekt ansehen würde. Eher bei angemessen gut ;-)

    Die Dienste kann ich leider schwer beschreiben, es sind derzeit sechs an der Zahl und alle tragen einen "kryptischen" Namen. Gemeinsamkeit der Dienste ist der Pfad zur .exe Datei "C:\WINDOWS\System32\svchost.exe -k netsvcs". Die Hardware des Servers habe ich mit diversen Tools getestet da gibt es wohl keine Probleme.

    DHCP und DNS laufen beide und sind auch konfiguriert und im Einsatz.

    Hoffe ich konnte alle deine Fragen richtig beantworten
    Dienstag, 15. September 2009 11:03
  • Dann lade dir den Process Explorer runter (http://live.sysinternals.com), starte diesen auf dem Server und poste hier den Screenshot. Ich würde gerne diese Dienste, Processe oder was auch immer gerne sehen.
    Dienstag, 15. September 2009 12:57

  • Hier den Screenshot des Process Explorer




    Passte nicht alles auf einen deswegen hier der zweite




    Und hier einmal ein Screenshot eines defekten Dienstes


    Dienstag, 15. September 2009 14:06
  • Der Dienstname ganz unten sagt mir was. Der gehört wohl zum Mediaplayer. Der Anzeigename ist jedoch natürlich sehr eigenartig. Was sagt denn das Eventlog? Hast du denn schon mal SFC ausgeführt und die Dateien durchscannen lassen?
    Dienstag, 15. September 2009 14:53
  • SFC habe ich bereits mehrfach ausgeführt sogar die Option aktiviert das er dies bei jedem Startvorgang durchführt. In der Ereignisanzeige steht zwar der ein oder andere Fehler aber nichts was mich wirklich weiter bringt. Es tauchen aber Fehler zu den Diensten auf die ich angesprochen habe.

    Beispiel:

    Der Dienst "jigdqkmÉ" wurde mit folgendem Fehler beendet:
    Das angegebene Modul wurde nicht gefunden.


    Ich vermute aber auch, dass sich eine bösartige Software in Systemdateien gesetzt hat aber wie kann ich das rausfinden.
    Dienstag, 15. September 2009 17:23
  • Hi,

    hatte mal vor Jahren auch einen kryptischen Dienst, der durch eine Installation eines falschen Treiber
    sich einnistete (Falsche Sprache)

    Gibt es diesen Dienst evtl. unter HKLM\System\CCS\Services oder HKCU
    Evtl. ein Start im RUN

    Mach bitte mal ein Screenshot mit Autorun von Sysinterals (siehe oben)

    Gibt es den Dienst auch mit MSConfig und kanst Du Ihn evtl. testweise deaktiviren, um weiter zu sehn.?
    Gruß Ralph Andreas Altermann
    Dienstag, 15. September 2009 21:09
  • zudem wäre es ganz nützlich wenn du die Dienstnamen aller Dienste aufführst, die einen kryptischen Anzeigenamen haben. Unter Umständen gibt es da einen Zusammenhang bzw. man kann nachvollziehen, was schief gelaufen sein könnte. 
    Dienstag, 15. September 2009 21:32
  • Wie bereits erwähnt sind es sechs für mich ungewöhnliche Dienste. Zwei davon haben einen kryptischen Namen, die weiteren 4 einfach nur ein nichts bedeutendes Wort. Das letzte mal, vor der Neuinstallation, waren es übrigens auch erst 4 oder 6 und später kamen immer mehr dazu.

    Aufgelistet sind das folgende Dienste:

     

    Dienst 1: Siehe Screenshot oben


    Dienst 2:

     

     

    Dienst 3:

     

    Dienst 4: Name: Ias    Anzeigename: Ias

    Dienst5: Name: Iprip  Anzeigename: Iprip

    Dienst 6: Name: Irmon  Anzeigename: Irmon


     

     

    Unter „HKLM\System\CCS\Services“ tauchen nur die 4 Dienste auf die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvc_757048a6



    Die 2 mit dem kryptischen Namen konnte ich unter „HKLM\System\CCS\Software“ finden:



     


     

    Mit Sysinterals ist das externe Tool gemeint?

    Dienste warden auch mit MSConfig angezeigt, deaktivieren geht grad schlecht da ich den Server nicht neustarten kann.

     

     

     

    Mittwoch, 16. September 2009 07:44
  • Mit Sysinterals ist das externe Tool gemeint?

    => Autoruns http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

    Dienste warden auch mit MSConfig angezeigt, deaktivieren geht grad schlecht da ich den Server nicht neustarten kann.

    => Dann warten wir mal.


    Gruß Ralph Andreas Altermann
    Mittwoch, 16. September 2009 12:09
  • Sieht für mich tatsächlich nach einem heftigen Trojaner Befall aus. Zumindest sind mir die beiden Dienste Iprip und Irmon als Backdoors bekannt. Zudem taucht bei dem angeblichen wmdm... Dienst als Modul, eine zweifelhafte EXE Datei in einem Temp Ordner auf.
    Mittwoch, 16. September 2009 13:57

  • Wäre schön Hilfestellung zu bekommen bei der Vernichtung des Befalls.
    Mittwoch, 16. September 2009 14:12
  • wollen wir - soweit möglich - tun.

    Erstens sollten wir versuchen die Dienste mit Reboot zu deaktivieren, wie geschrieben um zu sehen ob das
    System dann noch stabil läuft.
    Meißten wolen Trojaner ja nicht zerstören sondern Info sammeln use.

    Danach sehen wir weiter.

    Gruß Ralph Andreas Altermann
    Mittwoch, 16. September 2009 14:16
  • Soweit wir können, werden wir versuchen Dir zu helfen.

    Wie geschrieben, sollten wir mit Reboot und den vorher zu machen Einstellungen versuchen die Dienste zu deaktivieren
    und sehen ob das System dann noch stabil läuft.
    Gruß Ralph Andreas Altermann
    Mittwoch, 16. September 2009 14:19
  • Hallo,

    wenn ich  Deine Screenshots betrachte fällt mir auf, Du hast einen ungebetenen Gast in C:\windows\temp namens ceshi600.exe. Du solltest unbedingt als erstes denn Inhalt von C:\windows\temp löschen, sonst installiert sich der Schädling immer wieder.

    IPRIP und IRMON sind in der Regel normale Windowsdienste. Ein Befall mit win32.Beagle würde jeder Virenscanner sofort merken.

    Schöne Grüße
    Oliver

    Mittwoch, 16. September 2009 14:47
  • Kurzer Nachtrag:

    Aufgrund der betroffenen Dienste tippe ich auf einen Win32.Conficker Wurm oder eine Abart davon. Vielleicht versuchts Du es erstmal in die Richtung.

    Schöne Grüße
    Oliver
    Mittwoch, 16. September 2009 15:06
  • Ich würde als allererstes einen Offline Scan mit einer Knopixx CD durchführen.
    Mittwoch, 16. September 2009 17:56
  • Ein neuer Tag, Zeit für neue Versuche ;-)

    Vielen Dank für die Tipps! Folgendes kann ich dazu berichten.

    Den Ordner C:\temp habe ich geleert, allerdings befand sich dort keine .exe Datei.

    Die Dienste habe ich über msconfig aus dem Autostart genommen und bisher läuft das System nach dem Neustart wie vorher auch.

    Einen Offline Scan kann ich so leicht nicht durchführen bisher habe ich kein Knopixx gefunden welches den Raid Controller benutzen kann.

     

    Es soll der Win32.Conficker sein? Also lohnt es sich gezielt diesen zu suchen? Sind diese Quellen vielleicht Hilfreich?

    -> http://www.microsoft.com/security/worms/conficker.aspx

    -> http://www.confickerworkinggroup.org/

    Donnerstag, 17. September 2009 06:51
  • Ob die Quellen hilfreich sind, musst du schon selbst bewerten ;-). Unter Umständen könnte es auch helfen Stinger einmal durchlaufen zu lassen (wenn möglich). Mit netstat kannst du ja auch noch prüfen, ob noch irgen ein verdächtiger Datenverkehr stattfindet. 
    Donnerstag, 17. September 2009 08:20
  • Kleiner Nachtrag

    >Den Ordner C:\temp habe ich geleert, allerdings befand sich dort keine .exe Datei.

    Der war nicht gefordert, sondern C:\Windows\Temp\.....
    Gruß Ralph Andreas Altermann
    Donnerstag, 17. September 2009 08:54
  • Meine ich auch, habe mich nur verschrieben habe aber schon gesehen das die Datei in der *.tmp zu finden war vermutlich Quarantänestellung von Eset?
    Donnerstag, 17. September 2009 09:33
  • Was kann hier noch gemacht werden? Habe ich eine Chance die Dienste komplett zu löschen?
    Freitag, 18. September 2009 07:17
  • Es ist passiert! Der Server selbst zeigt zwar keine Probleme allerdings kann kein Client mehr auf ihn zugreifen. Resultat keine Daten, E-Mails, Software, Internet für jeden Anwender. Was kann hier in der Not gemacht werden?
    Mittwoch, 23. September 2009 12:34
  • Hallo,

    Hast Du irgendwelche Services gelöscht?

    Also Notprogramm:

    1. Installations-CD rein
    2. Setup aufrufen
    3. Reparaturmodus wählen
    4. Beten (optional)

    Schöne Grüße
    Oliver
    Mittwoch, 23. September 2009 14:18
  • Zum Glück habe ich direkt nach der fertigen Konfiguration des Servers damals ein Ghost Image aufgesetzt. Das konnte ich jetzt zurücksichern und dann lief auch wieder alles. Jetzt stehe ich vor dem Problem das seid der Aufspielung des Image die Postfächer und der Informationsspeicher des Exchange nicht mehr bereitgestellt sind und auch nicht bereit gestellt werden können.

    Fehlermeldung: interner Verarbeitungsfehler. Starten Sie Exchange-System-Manager oder den Microsoft Exchange-Informationsspeicherdienst oder beide erneut.

    ID-Nr: c1041724
    Exchange-System-Manager


    Die Daten von Exchange liegen auf einem anderen Laufwerk welches nicht zurückgesichert wurde. Exchange server-software liegt auf c:\programme und das Laufwerk c:\ hat jetzt das neue/alte Image drauf.

    Kann da jemand Hilfestellung leisten?
    Donnerstag, 24. September 2009 08:24
  • uff und ich wette die Transaction Logs lagen auch auf c: also auf dem Laufwerk, dass du grad eben von nem Image zurückgesichert hast?
    Donnerstag, 24. September 2009 08:40
  • Hi,

    ich glaube es ist an der Zeit, dass Du Dir professionelle Hilfe ins Haus holst oder ggf. bei MS einen Call aufmachst,
    als hier wochenlang auf Hilfe in irgendwelche Foren zu warten.
    Ich nehme wohl an, das der jetzige Ausfall bereits deutlich teuerer ist als externe Hilfe.

    Hier noch ein Link betr. Deiner letzten Frage und evtl. einiger Ansätze zur Selbsthilfe.
    http://www.msexchangefaq.de/notfall/index.htm

    Gruß Ralph Andreas Altermann
    Donnerstag, 24. September 2009 08:43
  • Ich habe eine komplette ntbackup Sicherung des Exchange (mit Logs) diese wurden bereits von mir wiederhergestellt. Ich bin mir nicht sicher, die Logs müssten ohnehin auch auf dem Datenlaufwerk liegen. Ich muss es ja eigentlich nur schaffen den Informationsspeicher mit Postfachdatenbank bereit zu stellen.


    Donnerstag, 24. September 2009 08:49
  • Aha, du weisst also nicht wo die Logs liegen...

    sei's drum. Im Eventlog (Anwendung) sollten ja auch Fehler (wahrscheinlich MSExchangeIS) auftauchen. Poste mal hier die ID`s, Quellen und die kompletten Beschreibungen.

    Donnerstag, 24. September 2009 09:05
  • Ich kann auch keine Hard recovery ausführen nach der wiederherstellung, der Befehl eseutil /cc kennt er nicht mehr.


    Eventlog:


    Quelle: MSExchangeIS
    Kennung: 9518
    Typ: Fehler

    Beschreibung
    Fehler Aktuelle Protokolldatei fehlt. beim Starten von Speichergruppe /DC=local/DC=frye/CN=Configuration/CN=Services/CN=Microsoft Exchange/CN=FRYE/CN=Administrative Groups/CN=erste administrative gruppe/CN=Servers/CN=FRYE-SERVER/CN=InformationStore/CN=Erste Speichergruppe im Microsoft Exchange Server-Informationsspeicher.
    Storage Group - Initialization of Jet failed.



    weiterer Fehler:

    Quelle MSExchangeSA

    Beschreibung:
    Der MAPI-Aufruf 'OpenMsgStore' ist mit dem folgenden Fehler fehlgeschlagen:
    Der Microsoft Exchange Server-Computer steht nicht zur Verfügung. Das Netzwerk antwortet nicht, oder der Server wurde für Wartungsarbeiten heruntergefahren.
    Der MAPI-Provider ist fehlgeschlagen.
    Microsoft Exchange Server-Informationsspeicher
    ID no: 8004011d-0526-00000000
    Donnerstag, 24. September 2009 09:14

  • Muss ich Exchange neu installieren um es wieder ans Rennen zu bekommen? Oder gibt es da noch eine andere Möglichkeit?

    Donnerstag, 24. September 2009 12:32

  • Exchange läuft jetzt wieder! Lösung war die alte Datenbank komplett vom Datenlaufwerk zu entfernen bzw. umbenennen. Dann hat der Exchange eine neue angelegt und diese hat dann auch das ntbackup angenommen.

    Gut jetzt habe ich aber leider immernoch eine Sicherheitslücke, sprich es werden sicher bald wieder Systemdateien verseucht sein. Das Image ist zu 100% Virenfrei da ich aber die Quelle der Viren nicht kenne wird das sicher bald wieder kommen. Was kann ich noch machen um die Quelle zu finden?
    Freitag, 25. September 2009 06:20