PC-Experience » Hardware Foren: » Netzwerk, DFÜ und DSL : » Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr » Hallo Gast [Anmelden|Registrieren] Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr Autor Beitrag « Vorheriges Thema | Nächstes Thema » Manix neu im Forum Dabei seit: 08.10.2005 Beiträge: 7 Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr        Ich kämpfe nun seit zwei Tagen mit einem Rechner, bei dem der Sober.Q aus der E-Mail "Klassentreffen" sich eingenistet hatte. Der Wurm wurde wohl von Norton Antivirus enfernt, da liegt wohl auch der Hund begraben, denn leider wurde dabei auch das Netzwerk beschädigt. Installiert ist WXP Pro mit SP2, die Netzwerkkarte habe ich deinstalliert und anschließend neu installiert - ohne Erfolg. Danach habe ich erst mal die grundlegenden Tests durchgeführt: 1. Netzwerkverbindung ist da und erscheint auch aktiviert, feste IP-Adresse ist vergeben. 2. Ping auf die IP-Adresse bringt die Fehlermeldung: Es konnte keine Verbindung zum IP-Treiber hergestellt werden. Fehlercode 2. Gleiches Ergebnis bei Ping auf 127.0.0.1 (localhost). 3. Der Befehl ipconfig /all bringt auch eine Fehlermeldung, daß die Konfiguration nicht gelesen werden konnte (den genauen Wortlaut habe ich jetzt leider nicht greifbar) Dann habe ich erst mal bei google nach der Fehlermeldung gesucht und etliche Hinweise verfolgt und auch mögliche Lösungen probiert: 1. den Befehl ipconfig /renew ausgeführt - kein Erfolg, ipconfig /release *Verb* (um alle Bindungen zu lösen) ausgeführt -> Neustart und Netzwerkverbindung neu konfiguriert - kein Erfolg. 2. Das TCP/IP Protokoll über sich selbst neu installiert (Deinstallieren geht ja in WXP nicht) über Eigenschaften von Lanverbindung -> Installieren -> Protokoll -> Datenträger -> c:\windows\inf -> Internetprotokoll (TCP/IP) -> Neustart und Konfiguration - kein Erfolg. 3. In der Registry die beiden Keys: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2 gelöscht -> Neustart und dann den Befehl netsh ip int reset resetlog.txt ausgeführt -> Neustart und Konfiguration - kein Erfolg. 4. Die beiden Keys von einem funktioniernden Rechner aus der Registry exportiert und in die Registry des problembehafteten Rechners importiert -> Neustart - kein Erfolg. 5. Mit google den Hinweis gefunden, man solle den Hotfix KB884020 (neue tcpip.sys) deinstallieren, der war aber nicht installiert - egal, ich hab den installiert -> Neustart und wieder deinstalliert - kein Erfolg (war eh ne blöde Idee) 6. Winsockfix (bitte danach googeln) heruntergeladen und ausgeführt, als erstes macht man ein Backup der Registry (dafür ist das Tool schon genial) -> Neustart und Konfiguration und... .. leider wieder nix. Jetzt bin ich am Ende meiner Weißheit. Nun, Winsockfix macht auch nichts anderes, als ich vorher eh schon "zu Fuß" gemacht hatte, aber was vesucht man nicht alles... Was mich wirklich ärgert ist der Hinweis von z.B. NAV, man solle die Systemwiederherstellung deaktivieren, bevor man mit einem Removal-Tool eine Infizierung enfernen lässt. Das ist ja schön und gut, aber es wird nicht darauf hingewiesen, daß bei der Deaktivierung sämtliche (!) Wiederhestellungspunkte gelöscht werden - also keine Chance mehr wenn wie in diesem Fall das Netzwerk scheinbar irreparabel beschädigt ist, auf einen funktionierenden Systempunkt zurücksetzen. Da ich eine Neuinstallation unbedingt vermeiden muß, weil die installierte Datenbank mit etlichen Updates der letzte 2 Jahre versehen wurde, dachte ich als letzte Möglichkeit an die Reparatur-Option über die Installation mit der WXP-CD. Leider scheitert dies an der fehlenden OEM-CD des Herstellers. Die WXP-CD mit integriertem SP2 die ich dann dafür erstellt habe akzeptiert wohl deshalb auch den eigentlich gültigen Lizenzcode (der am Rechner klebt) nicht. Ich hoffe, es hat jemand eine Idee für mich Gruß Manix 09.10.2005 04:19 Mango Mr. Sport Dabei seit: 10.05.2003 Beiträge: 1.699 Herkunft: Bremerhaven als erstes würde ich Stinger und Kaspersky 5.0 Personal drüber laufen lassen, findest du alles hier mit Hijackthis kannst du auch mal ein Logfile erstellen und hier posten __________________ Trump: "Belgien is a nice City" Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Mango: 09.10.2005 13:46. 09.10.2005 13:46 Manix neu im Forum Dabei seit: 08.10.2005 Beiträge: 7 Themenstarter Sorry, da habe ich mich wohl nicht deutlich ausgedrückt, der Wurm ist nicht mehr das Problem, da der schon längst entfernt wurde. Vermutlich dadurch ist aber das Netzwerk beschädigt worden und da hilft mir leider kein Stinger, Kaspersky oder ein Log von Hijackthis. Ich überwache die Prozesse mit dem Security Taskmanager - der Rechner ist sauber. Gruß Manix 09.10.2005 14:07 Worf Mr. One Thousand Dabei seit: 24.10.2003 Beiträge: 2.280 Herkunft: Berlin du kannst nur hoffen, das Sober nicht zu viele Systemdateien kompromitiert hat, sonst brauchst du deine CD zur Repratur was du vorher noch probieren könntest wäre dies : Zitat Cerberus: "Man kann übrigens auch hier bei Bedarf sehr schnell und unkompliziert das TCP/IP Protokoll renovieren, dazu braucht man lediglich das "+" vor "Nicht-PnP-Treiber" anklicken und sucht in der aufklappenden Liste den Eintrag "TCP/IP-Protokolltreiber". Diesen Eintrag klickt man mit der rechten Maustaste an und wählt dann "deinstallieren" aus. Anschließend bestätigt bitte die Aufforderung zum Neustart des Rechners. Nach einem weiteren Neustart ist die Neuinstallation des TCP/IP-Protokolls abgeschlossen." __________________ Gibt Dir dat Leben eenen Knuff, dann weene keene Träne. Lach Dir'n Ast, und setz' Dir druff, und baum'le mit die Beene. Worf 09.10.2005 15:08 Manix neu im Forum Dabei seit: 08.10.2005 Beiträge: 7 Themenstarter Danke Worf, einen vollständigen Scan hatte ich nach dem Entfernen der Wurmfragmente mit NAV laufen lassen, da wurde nichts mehr gefunden (was natürlich nicht heißen muß). Kaspersky werde ich dann auch mal scannen lassen. Der Link ist gut, das Thema hatte ich die letzte Nacht unter anderem auch durchgelesen. Am Montag sehe ich mir mal die ausgeblendeten Geräte an, evt. ist der TCP/IP-Protokolltreiber ja mehrfach vorhanden und selbst wenn nicht, probiere ich mal die Deinstallation über diesen Weg. Edit: ich habe bis jetzt noch keinen Hinweis gefunden, daß Sober.Q Systemdateien infiziert, aber die SMTP-Engine hat da sicher etwas angestellt. Gruß Manix P.S. ist da eben ein Beitrag verschwunden ? Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Manix: 09.10.2005 15:39. 09.10.2005 15:33 Onkel Mo Foren-As Dabei seit: 26.06.2005 Beiträge: 429 Herkunft: Leipzig Zitat: Da ich eine Neuinstallation unbedingt vermeiden muß, weil die installierte Datenbank mit etlichen Updates der letzte 2 Jahre versehen wurde, dachte ich als letzte Möglichkeit an die Reparatur-Option über die Installation mit der WXP-CD. Liegt die Datenbank auf der Systempartition? Gibts da keine Backupmöglichkeit? Zitat: Leider scheitert dies an der fehlenden OEM-CD des Herstellers. Die WXP-CD mit integriertem SP2 die ich dann dafür erstellt habe akzeptiert wohl deshalb auch den eigentlich gültigen Lizenzcode (der am Rechner klebt) nicht. Wo hast Du denn die XP-CD her? Und vor allem, wo ist der Lizenzschlüssel für die CD? __________________ MfG Onkel Mo 09.10.2005 16:10 Manix neu im Forum Dabei seit: 08.10.2005 Beiträge: 7 Themenstarter Der Rechner ist nur mit einer Partition konfiguriert, eine SCSI U320 Platte. Zu meiner Entlastung muß ich vielleicht mal etwas dazu erklären: Geliefert wurde der Rechner, ein IBM eServer xSeries 206 von der IT-Abteilung der deutschen Niederlassung eines Automobikonzerns (ich nenne lieber keine Namen). Die Datenbank ist eine eigene Entwicklung für die Ersatzteilverwaltung und umfaßt derzeit ca. 25 GB. Eine Backupmöglichkeit habe ich noch nicht gesehen, aber alleine die Installation des Datenbankservers will ich mir nicht unbedingt antun. Ich habe da schon mal Updates eingespielt, 2-3 DVD's, das dauert immer Stunden. Die XP-CD mit SP2 habe ich aus einer regulären XP Professional Version 2002 CD erstellt, in dem ich das SP2 integriert habe. Der Lizenzkey (der nicht akzeptiert wird) klebt am Rechner, ich vermute der funktioniert nur mit der OEM-CD. Gruß Manix 09.10.2005 16:35 birneos neu im Forum Dabei seit: 14.05.2005 Beiträge: 11 Herkunft: OS Was ist noch aktiv?        Hi, ich hatte ein ähnliches Problem und bei mir lag das ganze an meiner Firewall, auch wenn sie deaktviert war. Ich benutzte Sygate! Nach der Deinstallation funktionierte das ganze Netzwerk wieder. Vielleicht hast du noch einen ähnlichen Dienst laufen? Gruss Birneos __________________ "Nicht nur Freude für den Moment, sondern zeitlos glücklich sein" 09.10.2005 16:46 Onkel Mo Foren-As Dabei seit: 26.06.2005 Beiträge: 429 Herkunft: Leipzig Zitat: Die XP-CD mit SP2 habe ich aus einer regulären XP Professional Version 2002 CD erstellt, in dem ich das SP2 integriert habe. Der Lizenzkey (der nicht akzeptiert wird) klebt am Rechner, ich vermute der funktioniert nur mit der OEM-CD. Tja, da wirst Du ohne die Orginal-CD nicht weiterkommen. Grundsätzlich solltest Du jedoch mal Dein Systemkonzept überdenken! Eine wichtige Datenbank hat nichts auf einem System zu suchen, mit dem normal gesurft oder E-Mails gelesen werden. Da bekommt jeder IT-Sicherheitsbeauftragter einen Herzanfall! __________________ MfG Onkel Mo 09.10.2005 17:04 Manix neu im Forum Dabei seit: 08.10.2005 Beiträge: 7 Themenstarter @birneos: es ist keine Firewall zusätzlich installiert. @Onkel Mo: ich stimme Dir da voll und ganz zu! Auf meinem Mist ist das auch nicht gewachsen, man muß sich das so vorstellen: Das Autohaus benötigt ja zwangsweise die vom Konzern bereitgestellte Software. Die IT-Abteilung des Konzerns liefert das nur auf dem vorkonfigurierten Rechner aus (da sonst kein Support) und dazu gehört neben der Datenbank auch der Intranet-Zugang und E-Mail und noch einiges mehr. Der "Server" ist also von denen auch als Workstation vorgesehen - natürlich ist das Mist. Seltsamerweise läuft die Datenbank auf anderen Arbeitsstationen nur wenn sie dort auch vollständig installiert ist. Der "Server" wird aber zur Authentifizierung benötigt, da dort der Dongle steckt und ohne Netzwerk geht da halt nichts mehr. Ich wollte da nur schnell und unkompliziert helfen, da es immer sehr lange dauert, bis mal einer von der IT kommt. Danke für die Antworten ! Gruß Manix 09.10.2005 17:35 pe-tantris neu im Forum Dabei seit: 10.10.2005 Beiträge: 6 RE: Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr        Ich hatte das gleiche Problem. Ich habe in WindowsXP die Datei "tcpip.sys", die der Wurm verändert hatte, gesucht mit der Option "versteckte Dateien" und eine unveränderte Version mit einem Datum aus dem Mai 2005 in einem versteckten Ordner gefunden. Die veränderten tcpip.sys-Dateien in Windows\system 32\drivers und windows\ServicePackFiles\i386 habe ich gelöscht und durch die unveränderte Datei ersetzt. Danach lief das Netzwerk. Aber ich kann seit dem Sober.Q-Wurm das NortonAntiVirus-Programm nicht mehr starten, nicht löschen und auch nicht von der CD neu instellieren. 10.10.2005 15:38 Manix neu im Forum Dabei seit: 08.10.2005 Beiträge: 7 Themenstarter So ähnlich habe ich es heute auch gemacht, die tcpip.sys umbenannt und von einem funktionierenden System reinkopiert - Netzwerk funktioniert wieder. Den Tipp hatte ich von netzwerktotal.de Ich wundere mich nur darüber, da ich SP2 auch schon drüber laufen lassen hatte und ebenso KB884020, wobei die tcpip.sys eigentlich auch ersetzt werden sollte. Hauptsache es läuft wieder und das Problem ist erst mal gelöst. Bey Symantec gibt es ein Tool zum entfernen alter oder beschädigter Installationen - das würde ich mal probieren. Gruß Manix 10.10.2005 17:01 Cerberus Chefredakteur Dabei seit: 23.07.2002 Beiträge: 12.049 Herkunft: Lübeck damit wäre die Frage ja geklärt wir danken allen Helfern und heften den Fall ab -closed- Cerberus 10.10.2005 17:27 Baumstruktur | Brettstruktur PC-Experience » Hardware Foren: » Netzwerk, DFÜ und DSL : » Netzwerk funktioniert nach Entfernen von Sober.Q nicht mehr Designed by PC-Experience.de, online seit 06.August 2002 Copyright © 2002 - 2023 PC-Experience.de