suche funktioniert nicht korrekt |
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
ich sehe das folgendermaßen:
- wenn das Regfile und auch alle andere Maßnahmen nichts bewirken, hat entweder jemand sehr clever an deinen Systemvariablen gespielt (was ich persönlich nicht glaube), oder aber irgendwelche Malware treibt auf dem System ihr Unwesen, darum solltest du das System akribisch mit geeigneter Software scannen, den Hinweis mit DCOM hast du ja auch schon erhalten.
1. setz einen sehr guten Virenscanner ein wie z.B. diesen
, aus dem Artikel heraus kannst du dir eine Testversion herunterladen.
2. check das System mit Hijackthis:klick
, das Logfile würde ich daann gerne mal sehen
3. überprüfe abschließend alles mit Adaware und Spybot, die du wie vieles andere hier
findest
Cerberus
|
|
24.06.2005 00:03 |
|
|
sikodnax
neu im Forum
Dabei seit: 21.06.2005
Beiträge: 20
Themenstarter
|
|
Hi Cerberus,
danke für Deine Tips.
- Virenscan läuft gerade und es wurden auch schon diverse Trojaner gefunden, bspw. der JS.gen, der im Mail-Ordner "rumhängt".
Gebe bescheid sobald der Scan fertig ist.
- danke auch für die links.
- DCOM habe ich erfolgreich abgeschaltet mittels des bobulators. Anschließend habe ich auf heise.de/ct den netzwerkscan gemacht (Port 135 war nach außen offen) und habe dort aber ein kleines Programm win32sec.exe gefunden, was die Einstellungen automatisch konfiguriert. Anschließend war auch der Port 135 geschlossen.
- da ich jetzt weg muß schicke ich das Log-file von HIjackthis baldmöglichst nach.
- Adaware und Spybot habe ich eigentlich, gleich nachdem ich meinen Internet-Anschluß eingerichtet bekommen habe (vor ca. 1 Monat), installiert, mache auch regelmäßig updates und lasse die Programme regelmäßig laufen (in diesem Rahmen habe ich auch schon erfolgreich einige Trojaner abwehren können). Außerdem ist bei mir Adwatch und die Kerio-Firewall immer aktiv, wenn ich ins Netz gehe. Zum Virenscannen nutzte ich bisher den AntiVir, aber der Kaspersky scheint um einiges besser zu sein.
Hab dank erstmal, ich melde mich heute abend wieder!
|
|
24.06.2005 09:23 |
|
|
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
also doch
dann bin ich ja mal auf das endgültige Resultat gespannt...
Cerberus
|
|
24.06.2005 14:22 |
|
|
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
Hijackthis ist soweit sauber, wie du sehr leicht selbst überprüfen kannst: klick
die Personal Pro Version kenne ich funktionstechnisch nicht, wir arbeiten mit der Personal, bei der du die Trail auch uneingeschränkt nutzen kannst: klick
hier werden nur infizierte Elemente gelöscht, ein Backup macht aber immer Sinn
Cerberus
|
|
24.06.2005 19:24 |
|
|
sikodnax
neu im Forum
Dabei seit: 21.06.2005
Beiträge: 20
Themenstarter
|
|
Hi Cerberus,
1. wegen der Malware:
- nachdem ich ein Backup gemacht habe von allen relevanten Dateien, habe ich zunächst erstmal alle mir bekannten Datein per Hand gelöscht und anschließend den Kaspersky nochmals laufen lassen. Resultat: es waren noch 2 gefährliche Objekte vorhanden, 1x der NetSky-Wurm und einmal der JS.gen Trojan-Downloader.
- nach anschließendem Neustart und erneutem Scan wurden keine gefährlichen Objekte mehr gefunden.
- soweit dazu, ein kleiner Erfolg! Vielen Dank, die Diskussion hier hat mein Bewußtsein für Sicherheit immes sensibilisiert!
2. weiterhin:
- vorhin war ich kurz einkaufen, während mein Rechner weiterlief, und als ich zurück kam, hat mir Kaspersky die folgende Meldung angezeigt:
Ein Angriff von HELKERN wurde erfolgreich abgewehrt. Zeitgleich zeigte mir die Kerio-Firewall einige Fehlermeldungen an, die Internet-Verbindung war zusammengebrochen. Anscheinend bin ich wohl doch Ziel von Attacken.
- während einer aktiven Internet-Sitzung habe ich ebenfalls des öfteren Meldungen von Kerio zur Kontaktherstellung, die ich allerdings immer verneine!
- ich muß dazu sagen, daß ich noch die Version 2.1.5 von Kerio benutze, und eigentlich gerade umsteigen wollte auf die nächst bessere (oder kannst du mir da eine bessere als Kerio empfehlen?)
- ein erneuter Scan mit Kaspersky hatte einen -- seit langem mal wieder -- blauen Bildschirm mit der Meldung "Driver IRQL not less or equal" zur Folge.
- nach einem Neustart und Kaspersky-Scan hatte ich keine Probleme mehr.
3. wegen der Suche:
leider keine Änderung.
Gruß
sikodnax
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von sikodnax: 25.06.2005 19:39.
|
|
25.06.2005 19:38 |
|
|
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
Zitat: |
oder kannst du mir da eine bessere als Kerio empfehlen? |
|
kann ich: klick
Cerberus
|
|
25.06.2005 22:57 |
|
|
Clooney
Mitglied
Dabei seit: 02.10.2004
Beiträge: 220
Herkunft: Göttingen
|
|
Entschuldigt, wenn ich mal dazwischen klinke, aber bei diesem Thread fällt mir nur ein: Personal Service!
PC-Experience ist doch nach wie vor eines der Top-Foren!
Clooney
__________________ Win 10 Home 64-Bit, AMD FX-4300 (Sockel AM3+), 8GB DIMM DDR3 1600 Kingston, GeForce GTX750, 1 TB S-ATA WesternDigital (64MB Cache), FF, Thunderbird, LibreOffice, KIS 16
|
|
26.06.2005 00:21 |
|
|
sikodnax
neu im Forum
Dabei seit: 21.06.2005
Beiträge: 20
Themenstarter
|
|
Da muß ich beipflichten! Ich habe bisher einiges lernen können. Daher nochmal ein großes Dankeschön an Cerberus.
Schade allerdings, daß wir den Fehler in der Suchfunktion bisher nicht lokalisieren konnten!
Gruß
sikodnax
|
|
26.06.2005 10:26 |
|
|
Worf
Mr. One Thousand
Dabei seit: 24.10.2003
Beiträge: 2.280
Herkunft: Berlin
|
|
ich habe auch noch von keinem solchen Fall gehört
normal kann das wie Cerberus auch schon geschrieben hat nur Malware oder "Systemschrauberei" sein
aber eines muß klar sein, solange das System nicht wirklich sauber ist wird das nichts, darum check das System auch sehr gründlich auf Spyware und nicht nur mit Adaware sondern auch mit Spybot 1.4
und deinstalliere auch mal deine virtuellen Laufwerke, die machen auch richtig Probleme unter XP SP2
mach mal eine Liste deines Autostarts über Start >Ausführen >msconfig und dort auf Systemstart, davon dann einen Sceenshot
__________________ Gibt Dir dat Leben eenen Knuff,
dann weene keene Träne.
Lach Dir'n Ast, und setz' Dir druff,
und baum'le mit die Beene.
Worf
|
|
26.06.2005 12:58 |
|
|
sikodnax
neu im Forum
Dabei seit: 21.06.2005
Beiträge: 20
Themenstarter
|
|
hab ich auch schon gemerkt, daß spybot andere sachen findet als adaware.
aber sauber ist mein system mittlerweile.
die würmer und trojaner habe ich ja entfernt.
und ein erneuter scan mittels spybot 1.4 hat nur ein paar cookies gefunden.
msconfig mußte ich erstmal downloaden, da das in NT/W2000 nicht integriert ist. (kann man ja aber auch mit HIjackthis feststellen).
aber die startup-registerkarte ist sauber, da sind definitv nur programme aufgeführt die ich kenne!
wegen den virtuellen Laufwerken: abschalten oder deinstallieren?
gruß
sikodnax
|
|
26.06.2005 13:40 |
|
|
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
Zitat: |
wegen den virtuellen Laufwerken: abschalten oder deinstallieren? |
|
grundsätzlich deinstallieren
du solltest auch im Autosart außer Virenscanner und Desktop Firewall nichts aktiv laufen lassen. In dem Zusammenhang wäre ein Clean Boot sicher nicht falsch, damit du mal siehst wie sich dein System verhält, wenn nur eine Minimalkonfiguration startet.
Clean Boot
Cerberus
|
|
26.06.2005 14:02 |
|
|
sikodnax
neu im Forum
Dabei seit: 21.06.2005
Beiträge: 20
Themenstarter
|
|
1. habe zunächst einen Start im abgesicherten Modus gemacht und die Suchfunktion getestet: keine Änderung.
2. habe die virtuellen Laufwerke deinstalliert (kurze Frage dazu: warum sollte man die deinstallieren, da sie doch für gewisse Dinge durchaus nützlich sind?)
Hatte allerdings keine Auswirkungen auf die Suchfunktion.
3. habe einen cleanstart gemacht. (der Taskmanager zeigte nur noch die folgenden prozesse: smss.exe, csrss.exe, winlogon.exe, services.exe, LSASS.exe, 2 x svchost.exe, spoolsv.exe, kavsvc.exe, kpf4ss.exe, nvsvc32.exe, regsvc.exe, taskmgr.exe, 2 x kpf4gui.exe, winmgmt.exe, explorer.exe, kav.exe)
auch das hatte keine Auswirkungen auf die Suchfunktion am Bsp. "wordpad.exe". Allerdings habe ich mal nach "Programme" gesucht. Dann findet er zumindest den Ordner im Root-Verzeichnis!
Schließlich habe ich noch den Versuch unternommen einen Ordner im Ordner "Programme" zu finden, bsp. directx: allerdings findet er diesen wiederum nicht.
gruß, sikodnax
|
|
26.06.2005 18:23 |
|
|
Worf
Mr. One Thousand
Dabei seit: 24.10.2003
Beiträge: 2.280
Herkunft: Berlin
|
|
Zitat: |
Schließlich habe ich noch den Versuch unternommen einen Ordner im Ordner "Programme" zu finden, bsp. directx: allerdings findet er diesen wiederum nicht. |
|
wie sollte er auch, diesen Ordner gibt es nicht unter Programme
wenn ich das alles so lese, ich glaube nicht das da irgendwas nicht funktioniert
mach doch mal ein paar Screenshots mit deiner Sucheingabe, so wie Cerberus das auch gemacht hat
__________________ Gibt Dir dat Leben eenen Knuff,
dann weene keene Träne.
Lach Dir'n Ast, und setz' Dir druff,
und baum'le mit die Beene.
Worf
|
|
26.06.2005 18:36 |
|
|
sikodnax
neu im Forum
Dabei seit: 21.06.2005
Beiträge: 20
Themenstarter
|
|
- sorry, war ein schlechtes beispiel, ich hatte irgendwann man den ordner directx im ordner programme angelegt und dort die installationsdatei abgelegt. natürlich hast du den nicht, ich hatte ihn und hatte die geschilderten Umstände leider nicht beachtet.
- habe das jetzt mit "*.exe" gemacht, ist eindeutiger
gruß
sikodnax
|
|
26.06.2005 19:55 |
|
|
Worf
Mr. One Thousand
Dabei seit: 24.10.2003
Beiträge: 2.280
Herkunft: Berlin
|
|
ich möchte Cerberus da nicht vorgreifen, aber ich vermute das die Schädlinge auf deinem System zwar weg sind, aber nicht deren angerichteter Schaden und darum empfehle ich wenigstens die Reparatur deiner Systempartition: klick
der Artikel bezieht sich zwar auf XP, aber der Vorgang ist bei Windows 2000 identisch, deine installierten Programme und persönlichen Dateien bleiben dabei erhalten
wenn das nicht reicht, ist eine saubere Neuinstallation fällig
__________________ Gibt Dir dat Leben eenen Knuff,
dann weene keene Träne.
Lach Dir'n Ast, und setz' Dir druff,
und baum'le mit die Beene.
Worf
|
|
26.06.2005 20:18 |
|
|
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
danke für die Unterstützung Worf
ich denke auch das diese beiden Maßnahmen die beiden letzten sinnvollen darstellen, denn niemand weiß wie lange die Schädlinge schon ihr Unwesen auf dem System getrieben haben...
Cerberus
|
|
27.06.2005 13:52 |
|
|
sikodnax
neu im Forum
Dabei seit: 21.06.2005
Beiträge: 20
Themenstarter
|
|
an dieser stelle bleibt mir nur noch mich bei Euch herzlich zu bedanken und mich an die Arbeit zu machen.
werde mich wohl für die zweite lösung entscheiden und das system komplett neu installieren!
gruß
sikodnax
|
|
27.06.2005 19:07 |
|
|
Cerberus
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
|
|
kein Problem
viel Erfolg
-closed-
Cerberus
|
|
27.06.2005 20:52 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002 Copyright © 2002 - 2023 PC-Experience.de |
|