PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Hardware Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=1)
-- Netzwerk, DFÜ und DSL : (https://www.pc-experience.de/wbb2/board.php?boardid=7)
--- Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr (https://www.pc-experience.de/wbb2/thread.php?threadid=18026)

Geschrieben von Manix am 09.10.2005 um 04:19:

  Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr

Ich kämpfe nun seit zwei Tagen mit einem Rechner, bei dem der Sober.Q aus der E-Mail "Klassentreffen" sich eingenistet hatte. Der Wurm wurde wohl von Norton Antivirus enfernt, da liegt wohl auch der Hund begraben, denn leider wurde dabei auch das Netzwerk beschädigt.

Installiert ist WXP Pro mit SP2, die Netzwerkkarte habe ich deinstalliert und anschließend neu installiert - ohne Erfolg. Danach habe ich erst mal die grundlegenden Tests durchgeführt:

1. Netzwerkverbindung ist da und erscheint auch aktiviert, feste IP-Adresse ist vergeben.

2. Ping auf die IP-Adresse bringt die Fehlermeldung: Es konnte keine Verbindung zum IP-Treiber hergestellt werden. Fehlercode 2. Gleiches Ergebnis bei Ping auf 127.0.0.1 (localhost).

3. Der Befehl ipconfig /all bringt auch eine Fehlermeldung, daß die Konfiguration nicht gelesen werden konnte (den genauen Wortlaut habe ich jetzt leider nicht greifbar)

Dann habe ich erst mal bei google nach der Fehlermeldung gesucht und etliche Hinweise verfolgt und auch mögliche Lösungen probiert:

1. den Befehl ipconfig /renew ausgeführt - kein Erfolg, ipconfig /release *Verb* (um alle Bindungen zu lösen) ausgeführt -> Neustart und Netzwerkverbindung neu konfiguriert - kein Erfolg.

2. Das TCP/IP Protokoll über sich selbst neu installiert (Deinstallieren geht ja in WXP nicht) über Eigenschaften von Lanverbindung -> Installieren -> Protokoll -> Datenträger -> c:\windows\inf -> Internetprotokoll (TCP/IP) -> Neustart und Konfiguration - kein Erfolg.

3. In der Registry die beiden Keys:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2

gelöscht -> Neustart und dann den Befehl netsh ip int reset resetlog.txt ausgeführt -> Neustart und Konfiguration - kein Erfolg.

4. Die beiden Keys von einem funktioniernden Rechner aus der Registry exportiert und in die Registry des problembehafteten Rechners importiert -> Neustart - kein Erfolg.

5. Mit google den Hinweis gefunden, man solle den Hotfix KB884020 (neue tcpip.sys) deinstallieren, der war aber nicht installiert - egal, ich hab den installiert -> Neustart und wieder deinstalliert - kein Erfolg (war eh ne blöde Idee)

6. Winsockfix (bitte danach googeln) heruntergeladen und ausgeführt, als erstes macht man ein Backup der Registry (dafür ist das Tool schon genial) -> Neustart und Konfiguration und...
.. leider wieder nix. Jetzt bin ich am Ende meiner Weißheit. Nun, Winsockfix macht auch nichts anderes, als ich vorher eh schon "zu Fuß" gemacht hatte, aber was vesucht man nicht alles...

Was mich wirklich ärgert ist der Hinweis von z.B. NAV, man solle die Systemwiederherstellung deaktivieren, bevor man mit einem Removal-Tool eine Infizierung enfernen lässt. Das ist ja schön und gut, aber es wird nicht darauf hingewiesen, daß bei der Deaktivierung sämtliche (!) Wiederhestellungspunkte gelöscht werden - also keine Chance mehr wenn wie in diesem Fall das Netzwerk scheinbar irreparabel beschädigt ist, auf einen funktionierenden Systempunkt zurücksetzen.

Da ich eine Neuinstallation unbedingt vermeiden muß, weil die installierte Datenbank mit etlichen Updates der letzte 2 Jahre versehen wurde, dachte ich als letzte Möglichkeit an die Reparatur-Option über die Installation mit der WXP-CD. Leider scheitert dies an der fehlenden OEM-CD des Herstellers. Die WXP-CD mit integriertem SP2 die ich dann dafür erstellt habe akzeptiert wohl deshalb auch den eigentlich gültigen Lizenzcode (der am Rechner klebt) nicht.

Ich hoffe, es hat jemand eine Idee für mich


Gruß Manix


Geschrieben von Mango am 09.10.2005 um 13:46:

 

als erstes würde ich Stinger und Kaspersky 5.0 Personal drüber laufen lassen, findest du alles hier

mit Hijackthis kannst du auch mal ein Logfile erstellen und hier posten


Geschrieben von Manix am 09.10.2005 um 14:07:

 

Sorry, da habe ich mich wohl nicht deutlich ausgedrückt, der Wurm ist nicht mehr das Problem, da der schon längst entfernt wurde.

Vermutlich dadurch ist aber das Netzwerk beschädigt worden nenedu und da hilft mir leider kein Stinger, Kaspersky oder ein Log von Hijackthis.

Ich überwache die Prozesse mit dem Security Taskmanager - der Rechner ist sauber.

Gruß Manix


Geschrieben von Worf am 09.10.2005 um 15:08:

 

du kannst nur hoffen, das Sober nicht zu viele Systemdateien kompromitiert hat, sonst brauchst du deine CD zur Repratur

was du vorher noch probieren könntest wäre dies :

Zitat Cerberus:

"Man kann übrigens auch hier bei Bedarf sehr schnell und unkompliziert das TCP/IP Protokoll renovieren,
dazu braucht man lediglich das "+" vor "Nicht-PnP-Treiber" anklicken und sucht in der aufklappenden Liste den Eintrag "TCP/IP-Protokolltreiber". Diesen Eintrag klickt man mit der rechten Maustaste an und wählt dann "deinstallieren" aus. Anschließend bestätigt bitte die Aufforderung zum Neustart des Rechners. Nach einem weiteren Neustart ist die Neuinstallation des TCP/IP-Protokolls abgeschlossen."


Geschrieben von Manix am 09.10.2005 um 15:33:

 

Danke Worf, einen vollständigen Scan hatte ich nach dem Entfernen der Wurmfragmente mit NAV laufen lassen, da wurde nichts mehr gefunden (was natürlich nicht heißen muß). Kaspersky werde ich dann auch mal scannen lassen.

Der Link ist gut, das Thema hatte ich die letzte Nacht unter anderem auch durchgelesen. Am Montag sehe ich mir mal die ausgeblendeten Geräte an, evt. ist der TCP/IP-Protokolltreiber ja mehrfach vorhanden und selbst wenn nicht, probiere ich mal die Deinstallation über diesen Weg.

Edit: ich habe bis jetzt noch keinen Hinweis gefunden, daß Sober.Q Systemdateien infiziert, aber die SMTP-Engine hat da sicher etwas angestellt.

Gruß Manix

P.S. ist da eben ein Beitrag verschwunden ?


Geschrieben von Onkel Mo am 09.10.2005 um 16:10:

 

Zitat:
Da ich eine Neuinstallation unbedingt vermeiden muß, weil die installierte Datenbank mit etlichen Updates der letzte 2 Jahre versehen wurde, dachte ich als letzte Möglichkeit an die Reparatur-Option über die Installation mit der WXP-CD.


Liegt die Datenbank auf der Systempartition?
Gibts da keine Backupmöglichkeit?

Zitat:
Leider scheitert dies an der fehlenden OEM-CD des Herstellers. Die WXP-CD mit integriertem SP2 die ich dann dafür erstellt habe akzeptiert wohl deshalb auch den eigentlich gültigen Lizenzcode (der am Rechner klebt) nicht.

Wo hast Du denn die XP-CD her?
Und vor allem, wo ist der Lizenzschlüssel für die CD?


Geschrieben von Manix am 09.10.2005 um 16:35:

 

Der Rechner ist nur mit einer Partition konfiguriert, eine SCSI U320 Platte.
Zu meiner Entlastung muß ich vielleicht mal etwas dazu erklären:

Geliefert wurde der Rechner, ein IBM eServer xSeries 206 von der IT-Abteilung der deutschen Niederlassung eines Automobikonzerns (ich nenne lieber keine Namen).
Die Datenbank ist eine eigene Entwicklung für die Ersatzteilverwaltung und umfaßt derzeit ca. 25 GB.

Eine Backupmöglichkeit habe ich noch nicht gesehen, aber alleine die Installation des Datenbankservers will ich mir nicht unbedingt antun.
Ich habe da schon mal Updates eingespielt, 2-3 DVD's, das dauert immer Stunden.

Die XP-CD mit SP2 habe ich aus einer regulären XP Professional Version 2002 CD erstellt, in dem ich das SP2 integriert habe.

Der Lizenzkey (der nicht akzeptiert wird) klebt am Rechner, ich vermute der funktioniert nur mit der OEM-CD.

Gruß Manix


Geschrieben von birneos am 09.10.2005 um 16:46:

  Was ist noch aktiv?

Hi,

ich hatte ein ähnliches Problem und bei mir lag das ganze an meiner Firewall, auch wenn sie deaktviert war. Ich benutzte Sygate! Nach der Deinstallation funktionierte das ganze Netzwerk wieder.

Vielleicht hast du noch einen ähnlichen Dienst laufen?

Gruss Birneos


Geschrieben von Onkel Mo am 09.10.2005 um 17:04:

 

Zitat:
Die XP-CD mit SP2 habe ich aus einer regulären XP Professional Version 2002 CD erstellt, in dem ich das SP2 integriert habe.

Der Lizenzkey (der nicht akzeptiert wird) klebt am Rechner, ich vermute der funktioniert nur mit der OEM-CD.


Tja, da wirst Du ohne die Orginal-CD nicht weiterkommen.

Grundsätzlich solltest Du jedoch mal Dein Systemkonzept überdenken!
Eine wichtige Datenbank hat nichts auf einem System zu suchen, mit dem normal gesurft oder E-Mails gelesen werden.
Da bekommt jeder IT-Sicherheitsbeauftragter einen Herzanfall! Augenzwinkern


Geschrieben von Manix am 09.10.2005 um 17:35:

 

@birneos:
es ist keine Firewall zusätzlich installiert.

@Onkel Mo:
ich stimme Dir da voll und ganz zu!

Auf meinem Mist ist das auch nicht gewachsen, man muß sich das so vorstellen:
Das Autohaus benötigt ja zwangsweise die vom Konzern bereitgestellte Software.
Die IT-Abteilung des Konzerns liefert das nur auf dem vorkonfigurierten Rechner aus (da sonst kein Support) und dazu gehört neben der Datenbank auch der Intranet-Zugang und E-Mail und noch einiges mehr.

Der "Server" ist also von denen auch als Workstation vorgesehen - natürlich ist das Mist. Seltsamerweise läuft die Datenbank auf anderen Arbeitsstationen nur wenn sie dort auch vollständig installiert ist.
Der "Server" wird aber zur Authentifizierung benötigt, da dort der Dongle steckt und ohne Netzwerk geht da halt nichts mehr.

Ich wollte da nur schnell und unkompliziert helfen, da es immer sehr lange dauert, bis mal einer von der IT kommt.

Danke für die Antworten !

Gruß Manix


Geschrieben von pe-tantris am 10.10.2005 um 15:38:

  RE: Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr

Ich hatte das gleiche Problem. Ich habe in WindowsXP die Datei "tcpip.sys", die der Wurm verändert hatte, gesucht mit der Option "versteckte Dateien" und eine unveränderte Version mit einem Datum aus dem Mai 2005 in einem versteckten Ordner gefunden. Die veränderten tcpip.sys-Dateien in Windows\system 32\drivers und windows\ServicePackFiles\i386 habe ich gelöscht und durch die unveränderte Datei ersetzt. Danach lief das Netzwerk.

Aber ich kann seit dem Sober.Q-Wurm das NortonAntiVirus-Programm nicht mehr starten, nicht löschen und auch nicht von der CD neu instellieren.


Geschrieben von Manix am 10.10.2005 um 17:01:

 

So ähnlich habe ich es heute auch gemacht, die tcpip.sys umbenannt und von einem funktionierenden System reinkopiert - Netzwerk funktioniert wieder.

Den Tipp hatte ich von netzwerktotal.de

Ich wundere mich nur darüber, da ich SP2 auch schon drüber laufen lassen hatte und ebenso KB884020, wobei die tcpip.sys eigentlich auch ersetzt werden sollte.

Hauptsache es läuft wieder und das Problem ist erst mal gelöst.

Bey Symantec gibt es ein Tool zum entfernen alter oder beschädigter Installationen - das würde ich mal probieren.

Gruß Manix


Geschrieben von Cerberus am 10.10.2005 um 17:27:

 

damit wäre die Frage ja geklärt

wir danken allen Helfern und heften den Fall ab


-closed-

Cerberus


Forensoftware: Burning Board , entwickelt von WoltLab GmbH