|
|
Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr |
Manix
neu im Forum
Dabei seit: 08.10.2005
Beiträge: 7
|
|
Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr |
|
Ich kämpfe nun seit zwei Tagen mit einem Rechner, bei dem der Sober.Q aus der E-Mail "Klassentreffen" sich eingenistet hatte. Der Wurm wurde wohl von Norton Antivirus enfernt, da liegt wohl auch der Hund begraben, denn leider wurde dabei auch das Netzwerk beschädigt.
Installiert ist WXP Pro mit SP2, die Netzwerkkarte habe ich deinstalliert und anschließend neu installiert - ohne Erfolg. Danach habe ich erst mal die grundlegenden Tests durchgeführt:
1. Netzwerkverbindung ist da und erscheint auch aktiviert, feste IP-Adresse ist vergeben.
2. Ping auf die IP-Adresse bringt die Fehlermeldung: Es konnte keine Verbindung zum IP-Treiber hergestellt werden. Fehlercode 2. Gleiches Ergebnis bei Ping auf 127.0.0.1 (localhost).
3. Der Befehl ipconfig /all bringt auch eine Fehlermeldung, daß die Konfiguration nicht gelesen werden konnte (den genauen Wortlaut habe ich jetzt leider nicht greifbar)
Dann habe ich erst mal bei google nach der Fehlermeldung gesucht und etliche Hinweise verfolgt und auch mögliche Lösungen probiert:
1. den Befehl ipconfig /renew ausgeführt - kein Erfolg, ipconfig /release *Verb* (um alle Bindungen zu lösen) ausgeführt -> Neustart und Netzwerkverbindung neu konfiguriert - kein Erfolg.
2. Das TCP/IP Protokoll über sich selbst neu installiert (Deinstallieren geht ja in WXP nicht) über Eigenschaften von Lanverbindung -> Installieren -> Protokoll -> Datenträger -> c:\windows\inf -> Internetprotokoll (TCP/IP) -> Neustart und Konfiguration - kein Erfolg.
3. In der Registry die beiden Keys:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2
gelöscht -> Neustart und dann den Befehl netsh ip int reset resetlog.txt ausgeführt -> Neustart und Konfiguration - kein Erfolg.
4. Die beiden Keys von einem funktioniernden Rechner aus der Registry exportiert und in die Registry des problembehafteten Rechners importiert -> Neustart - kein Erfolg.
5. Mit google den Hinweis gefunden, man solle den Hotfix KB884020 (neue tcpip.sys) deinstallieren, der war aber nicht installiert - egal, ich hab den installiert -> Neustart und wieder deinstalliert - kein Erfolg (war eh ne blöde Idee)
6. Winsockfix (bitte danach googeln) heruntergeladen und ausgeführt, als erstes macht man ein Backup der Registry (dafür ist das Tool schon genial) -> Neustart und Konfiguration und...
.. leider wieder nix. Jetzt bin ich am Ende meiner Weißheit. Nun, Winsockfix macht auch nichts anderes, als ich vorher eh schon "zu Fuß" gemacht hatte, aber was vesucht man nicht alles...
Was mich wirklich ärgert ist der Hinweis von z.B. NAV, man solle die Systemwiederherstellung deaktivieren, bevor man mit einem Removal-Tool eine Infizierung enfernen lässt. Das ist ja schön und gut, aber es wird nicht darauf hingewiesen, daß bei der Deaktivierung sämtliche (!) Wiederhestellungspunkte gelöscht werden - also keine Chance mehr wenn wie in diesem Fall das Netzwerk scheinbar irreparabel beschädigt ist, auf einen funktionierenden Systempunkt zurücksetzen.
Da ich eine Neuinstallation unbedingt vermeiden muß, weil die installierte Datenbank mit etlichen Updates der letzte 2 Jahre versehen wurde, dachte ich als letzte Möglichkeit an die Reparatur-Option über die Installation mit der WXP-CD. Leider scheitert dies an der fehlenden OEM-CD des Herstellers. Die WXP-CD mit integriertem SP2 die ich dann dafür erstellt habe akzeptiert wohl deshalb auch den eigentlich gültigen Lizenzcode (der am Rechner klebt) nicht.
Ich hoffe, es hat jemand eine Idee für mich
Gruß Manix
|
|
09.10.2005 04:19 |
|
|
Manix
neu im Forum
Dabei seit: 08.10.2005
Beiträge: 7
Themenstarter
|
|
Sorry, da habe ich mich wohl nicht deutlich ausgedrückt, der Wurm ist nicht mehr das Problem, da der schon längst entfernt wurde.
Vermutlich dadurch ist aber das Netzwerk beschädigt worden
und da hilft mir leider kein Stinger, Kaspersky oder ein Log von Hijackthis.
Ich überwache die Prozesse mit dem Security Taskmanager - der Rechner ist sauber.
Gruß Manix
|
|
09.10.2005 14:07 |
|
|
Worf
Mr. One Thousand
Dabei seit: 24.10.2003
Beiträge: 2.280
Herkunft: Berlin
|
|
du kannst nur hoffen, das Sober nicht zu viele Systemdateien kompromitiert hat, sonst brauchst du deine CD zur Repratur
was du vorher noch probieren könntest wäre dies
:
Zitat Cerberus:
"Man kann übrigens auch hier bei Bedarf sehr schnell und unkompliziert das TCP/IP Protokoll renovieren,
dazu braucht man lediglich das "+" vor "Nicht-PnP-Treiber" anklicken und sucht in der aufklappenden Liste den Eintrag "TCP/IP-Protokolltreiber". Diesen Eintrag klickt man mit der rechten Maustaste an und wählt dann "deinstallieren" aus. Anschließend bestätigt bitte die Aufforderung zum Neustart des Rechners. Nach einem weiteren Neustart ist die Neuinstallation des TCP/IP-Protokolls abgeschlossen."
__________________ Gibt Dir dat Leben eenen Knuff,
dann weene keene Träne.
Lach Dir'n Ast, und setz' Dir druff,
und baum'le mit die Beene.
Worf
|
|
09.10.2005 15:08 |
|
|
Onkel Mo
Foren-As
Dabei seit: 26.06.2005
Beiträge: 429
Herkunft: Leipzig
|
|
Zitat: |
Da ich eine Neuinstallation unbedingt vermeiden muß, weil die installierte Datenbank mit etlichen Updates der letzte 2 Jahre versehen wurde, dachte ich als letzte Möglichkeit an die Reparatur-Option über die Installation mit der WXP-CD. |
|
Liegt die Datenbank auf der Systempartition?
Gibts da keine Backupmöglichkeit?
Zitat: |
Leider scheitert dies an der fehlenden OEM-CD des Herstellers. Die WXP-CD mit integriertem SP2 die ich dann dafür erstellt habe akzeptiert wohl deshalb auch den eigentlich gültigen Lizenzcode (der am Rechner klebt) nicht. |
|
Wo hast Du denn die XP-CD her?
Und vor allem, wo ist der Lizenzschlüssel für die CD?
__________________ MfG
Onkel Mo
|
|
09.10.2005 16:10 |
|
|
Manix
neu im Forum
Dabei seit: 08.10.2005
Beiträge: 7
Themenstarter
|
|
Der Rechner ist nur mit einer Partition konfiguriert, eine SCSI U320 Platte.
Zu meiner Entlastung muß ich vielleicht mal etwas dazu erklären:
Geliefert wurde der Rechner, ein IBM eServer xSeries 206 von der IT-Abteilung der deutschen Niederlassung eines Automobikonzerns (ich nenne lieber keine Namen).
Die Datenbank ist eine eigene Entwicklung für die Ersatzteilverwaltung und umfaßt derzeit ca. 25 GB.
Eine Backupmöglichkeit habe ich noch nicht gesehen, aber alleine die Installation des Datenbankservers will ich mir nicht unbedingt antun.
Ich habe da schon mal Updates eingespielt, 2-3 DVD's, das dauert immer Stunden.
Die XP-CD mit SP2 habe ich aus einer regulären XP Professional Version 2002 CD erstellt, in dem ich das SP2 integriert habe.
Der Lizenzkey (der nicht akzeptiert wird) klebt am Rechner, ich vermute der funktioniert nur mit der OEM-CD.
Gruß Manix
|
|
09.10.2005 16:35 |
|
|
birneos
neu im Forum
Dabei seit: 14.05.2005
Beiträge: 11
Herkunft: OS
|
|
Hi,
ich hatte ein ähnliches Problem und bei mir lag das ganze an meiner Firewall, auch wenn sie deaktviert war. Ich benutzte Sygate! Nach der Deinstallation funktionierte das ganze Netzwerk wieder.
Vielleicht hast du noch einen ähnlichen Dienst laufen?
Gruss Birneos
__________________ "Nicht nur Freude für den Moment, sondern zeitlos glücklich sein"
|
|
09.10.2005 16:46 |
|
|
Onkel Mo
Foren-As
Dabei seit: 26.06.2005
Beiträge: 429
Herkunft: Leipzig
|
|
Zitat: |
Die XP-CD mit SP2 habe ich aus einer regulären XP Professional Version 2002 CD erstellt, in dem ich das SP2 integriert habe.
Der Lizenzkey (der nicht akzeptiert wird) klebt am Rechner, ich vermute der funktioniert nur mit der OEM-CD. |
|
Tja, da wirst Du ohne die Orginal-CD nicht weiterkommen.
Grundsätzlich solltest Du jedoch mal Dein Systemkonzept überdenken!
Eine wichtige Datenbank hat nichts auf einem System zu suchen, mit dem normal gesurft oder E-Mails gelesen werden.
Da bekommt jeder IT-Sicherheitsbeauftragter einen Herzanfall!
__________________ MfG
Onkel Mo
|
|
09.10.2005 17:04 |
|
|
Manix
neu im Forum
Dabei seit: 08.10.2005
Beiträge: 7
Themenstarter
|
|
@birneos:
es ist keine Firewall zusätzlich installiert.
@Onkel Mo:
ich stimme Dir da voll und ganz zu!
Auf meinem Mist ist das auch nicht gewachsen, man muß sich das so vorstellen:
Das Autohaus benötigt ja zwangsweise die vom Konzern bereitgestellte Software.
Die IT-Abteilung des Konzerns liefert das nur auf dem vorkonfigurierten Rechner aus (da sonst kein Support) und dazu gehört neben der Datenbank auch der Intranet-Zugang und E-Mail und noch einiges mehr.
Der "Server" ist also von denen auch als Workstation vorgesehen - natürlich ist das Mist. Seltsamerweise läuft die Datenbank auf anderen Arbeitsstationen nur wenn sie dort auch vollständig installiert ist.
Der "Server" wird aber zur Authentifizierung benötigt, da dort der Dongle steckt und ohne Netzwerk geht da halt nichts mehr.
Ich wollte da nur schnell und unkompliziert helfen, da es immer sehr lange dauert, bis mal einer von der IT kommt.
Danke für die Antworten !
Gruß Manix
|
|
09.10.2005 17:35 |
|
|
pe-tantris
neu im Forum
Dabei seit: 10.10.2005
Beiträge: 6
|
|
RE: Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr |
|
Ich hatte das gleiche Problem. Ich habe in WindowsXP die Datei "tcpip.sys", die der Wurm verändert hatte, gesucht mit der Option "versteckte Dateien" und eine unveränderte Version mit einem Datum aus dem Mai 2005 in einem versteckten Ordner gefunden. Die veränderten tcpip.sys-Dateien in Windows\system 32\drivers und windows\ServicePackFiles\i386 habe ich gelöscht und durch die unveränderte Datei ersetzt. Danach lief das Netzwerk.
Aber ich kann seit dem Sober.Q-Wurm das NortonAntiVirus-Programm nicht mehr starten, nicht löschen und auch nicht von der CD neu instellieren.
|
|
10.10.2005 15:38 |
|
|
Manix
neu im Forum
Dabei seit: 08.10.2005
Beiträge: 7
Themenstarter
|
|
So ähnlich habe ich es heute auch gemacht, die tcpip.sys umbenannt und von einem funktionierenden System reinkopiert - Netzwerk funktioniert wieder.
Den Tipp hatte ich von netzwerktotal.de
Ich wundere mich nur darüber, da ich SP2 auch schon drüber laufen lassen hatte und ebenso KB884020, wobei die tcpip.sys eigentlich auch ersetzt werden sollte.
Hauptsache es läuft wieder und das Problem ist erst mal gelöst.
Bey Symantec gibt es ein Tool zum entfernen alter oder beschädigter Installationen - das würde ich mal probieren.
Gruß Manix
|
|
10.10.2005 17:01 |
|
|
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
damit wäre die Frage ja geklärt
wir danken allen Helfern und heften den Fall ab
-closed-
Cerberus
|
|
10.10.2005 17:27 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002 Copyright © 2002 - 2023 PC-Experience.de |
|