|
  |
 verdächtiges systemverhalten |
Ropps 
neu im Forum
Dabei seit: 21.03.2007
Beiträge: 5
 |
|
| verdächtiges systemverhalten |
     |
Hallo, ich glaub ich hab nen virus :(.
Habe gestern n bisschen warcraft3 gespielt und plötzlich startet mein pc einfach neu. dann kommt noch vor der bios-passwort-abfrage die meldung "primary master drive fails". dann hab ich reset gedrckt und er bootete normal. hab mir dann n paar einträge angeguckt und nen virenscan gemacht und den pc erstmal ausgemacht. heute wieder gespielt und das gleiche passiert.
hier mal eine kurze info über mein system:
- windows xp professional service pack2 + sicherheitsupdates installiert (alle die in dem "Windows XP SP2: CD mit integrierten PreSP3 Hotfixes erstellen"-thread im
"Artikel und Workshops"-forum aufgelistet sind)
- sygate free version (installiert nach dem guide in diesem forum, also mit den 2 erstellten sonderregeln für die udp und die tcp ports)
- antivir von avira
- eingeloggt als eingeschränkter benutzer
so, also nach dem ersten neustart hab ich erstmal nen virenscan durchgeführt. der hat keinen virus gefunden aber 2 warnungen ausgespuckt :
[1]
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0005
[2]
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
so und in der verwaltung bei der ereignisanzeige finde ich in den 3 rubriken anwendung, system und sicherheit folgende warnungen:
anwendung
[1]
benutzer :ROPPS\Admin
Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.
[2]
benutzer : NT-AUTORITÄT\SYSTEM
Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt.
system
[1]
warnung:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.
sicherheit
[1]
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Robert
Domäne: ROPPS
Anmeldetyp: 2
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: ROPPS
[2]
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: Robert
Arbeitsstation: ROPPS
Fehlercode: 0xC000006A
hierzu ist zu sagen, dass bei sicherheit die einträge [1] + [2] seit der kurzen zeit sehr oft vorhanden sind. diese beiden meldungen treten nur gekoppelt auf. das heißt, ich hab bei 12 uhr 15 und 17 sekunden die beiden einträge, dann wieder bei 14 uhr 16 und 7 sekunden usw...
also da scheint irgendwas zu sein, was in mein system will. aber das problem ist, dass ich nicht weiß, was das ist.
achja übrigens: mein eingeschränktes konto heißt "Robert" und das admin-konto heißt halt "Admin". der computername lautet ropps. deswegen macht mir vor allem die erste meldung [1] unter anwendung sorgen, weil da der admin als benutzer angegeben wird :(
ich hoffe ich hab alle nötigen informationen angegeben und dass mir jemand sagen kann, was da los ist :(
mfg,ropps
|
|
21.03.2007 15:23 |
|
|
Ropps
neu im Forum
Dabei seit: 21.03.2007
Beiträge: 5
Themenstarter 
|
|
| Zitat: |
Original von beamer3
Hi,
Hast du ein Backup?
Ob du einen Virus hast kannst du so herausfinden:
1. Systemwiederherstellung deaktivieren.
2. Auf die Seite von F-Secure gehen und einen Online Scan durchführen ( Logfile hier posten). Alles was er findet löschen lassen.
3. Lade dir von kaspersky.de den kostenlosen Trial Virenscanner herunter und lass deinen Pc damit im abgesicherten Modus scannen. Ebenfalls alles löschen was er findet.
4. Am Besten du überprüfst deinen Computer dann noch mit einer Boot Cd. Das wäre zum Beispiel Knoppix. Es gibt ja sehr viele DOS Scanner in den Heft Cd´s einiger Hefte am Kiosk.
Gehe außerdem auf die Seite: Hijackthis
Lade dir dort die neueste Version herunter und erstelle ebenfalls ein Logfile. Dies kannst du auf der gleichen Homepage überprüfen. Wenn du nicht sicher bist, einfach hier posten...
beamer3 |
|
hi, danke für die antwort erstmal.
leider hatte ich probleme deine anweisungen auszuführen.
ein backup hab ich glaub ich nicht.
zu 1.) falls du damit meinst, den systemwiederherstellungsdienst unter "ausführen/services.msc" auf deaktiviert zu stellen, der ist sowieso deaktiviert. meinst du das?
zu 2.) ich kann diesen virenscanner nur mit dem internet explorer starten (ich benutze opera). der internet explorer meldet mir dann aber "insufficient rights to use activex controls! please check you user rights and internet explorer security settings". hab aber bei "extras ---> internetoptionen" nix gefunden um activex zuzulassen. kann das auch daran liegen dass ich als eingeschränkter benutzer on bin ? ich will mich nicht als admin anmelden fürs inet =(
die anderen anweisungen hätte ich zwar ausführen können, weiß aber nicht ob die reihenfolge wichtig ist, die du da angegeben hast, kann ja sein ...
|
|
|
22.03.2007 20:14 |
|
|
Heaven
Support/Moderatorin
Dabei seit: 02.12.2003
Beiträge: 4.014
Herkunft: Nürnberg
|
|
Hallo Ropps,
Hijackthis kannst du auch einfach so ausführen, dazu musst du keine Reihenfolge einhalten. Sollte die Auswertung einen Schädling ergeben, poste sie bitte hier.
Zu der Systemwiederherstellung: Mach einen Rechtsklick auf Arbeitsplatz -> Eigenschaften -> Register 'Systemwiederherstellung' und setze den Haken bei 'Systemwiederherstellung auf allen Laufwerken deaktivieren'. Den Dienst in services.msc zu deaktiviern, müsste aber auf das Gleiche hinauslaufen.
Tipp 3 & 4 von beamer3 kannst du noch ausprobieren.
Und ja, es kann sein dass du im Internet Explorer keine Einstellungen ändern kannst, wenn du ein eingeschränktes Benutzerkonto verwendest.
cu
Heaven
|
|
|
22.03.2007 21:18 |
|
|
Ropps
neu im Forum
Dabei seit: 21.03.2007
Beiträge: 5
Themenstarter
|
|
huhu,
also ich hab mir die kaspersky testversion runtergeladen, update ausgeführt und dann nen virenscan im abgesicherten modus durchgeführt - ohne befund.
den online scan konnt ich nicht durchführen und ne boot cd hab ich leider nicht, hab die beiden punkte übersprungen (!?).
hier ist mein hijackthis-log:
Logfile of HijackThis v1.99.1
...
irgendwas verdächtiges dabei ? die automatische auswertung von der website hat jedenfalls nichts angezeigt.
mfg, ropps
ps : *rofl* der smily is ja echt geil ^^ ---> 
|
|
|
24.03.2007 14:22 |
|
|
Florian
Sicherheits-Experte
Dabei seit: 10.06.2003
Beiträge: 1.810
Herkunft: Limburg
|
|
| Zitat: |
| irgendwas verdächtiges dabei ? |
|
nein
bist du sicher das dieses Logfile komplett ist?
__________________
was bedeutet Cyberdialog? ->die NSA ruft zurück...
|
|
|
24.03.2007 14:34 |
|
|
Ropps
neu im Forum
Dabei seit: 21.03.2007
Beiträge: 5
Themenstarter
|
|
ja, ich habe ziemlich viele dienste deaktiviert und halte alles mölichst im kleinen rahmen. aber ich merk grad, dass die warnungen wahrscheinlich nichts mit einem virus zu tun haben. bin grad am googeln und die meisten probleme lösen sich grade auf, muss aber noch n bisschen weiterlesen ...
|
|
|
24.03.2007 14:37 |
|
|
JT452
Forenlegende
Dabei seit: 24.01.2004
Beiträge: 5.052
Herkunft: Hamburg
|
|
Dann lass uns bitte an deinen Lösungen teilhaben.
|
|
|
24.03.2007 23:34 |
|
|
Peschel
Premium Member
Dabei seit: 12.07.2003
Beiträge: 3.090
Herkunft: Badenser
|
|
@Ropps
| Zitat: |
| so, also nach dem ersten neustart hab ich erstmal nen virenscan durchgeführt. der hat keinen virus gefunden aber 2 warnungen ausgespuckt |
|
dein Scanner kann keinen Bootsektor auslesen und die Auslagerungsdatei und die Datei für den Ruhezustand sind sowieso gesperrt
alles weitere findest du hier
und hiermit
kannst du weiter forschen
die Meldung primary master drive fails solltest du auf jeden Fall weiterverfolgen, dazu hatten wir hier auch schon mal was: klick
__________________
aktuelle Treiber
|
|
|
25.03.2007 00:37 |
|
|
Ropps
neu im Forum
Dabei seit: 21.03.2007
Beiträge: 5
Themenstarter
|
|
jo, dass das zwei dateien von windows sind hab ich mittlerweile auch rausgefunden 
. hab die ruhezustands-funktion jetzt sowieso deaktivert, weshalb die hiberfil.sys auch nicht mehr benötigt wird.
auf deinen ersten link bin ich auch über google (---> andere leute mit gleichem problem) gekommen, konnte damit allerdings nicht soviel anfangen. also mit der ursachenerklärung. da steht:
Windows XP versucht, für jedes auf der Willkommensseite angezeigte Konto eine begrenzte Anmeldung durchzuführen, um zu bestimmen, ob der Benutzer nach einem Kennwort gefragt werden soll. Für jedes angezeigte Konto wird ein Anmeldeversuch protokolliert.
kannst du mir das vielleicht etwas genauer erklären?
die lösung von microsoft find ich irgendwie banane: also die wollen ja, dass man entweder den klassischen anmeldebildschirm verwendet oder die protokollierung deaktiviert -.-'
gibts da keine bessere lösung?
ich fänds viel besser, wenn man xp einfach verbieten könnte dieses anmelde dingsbums durchzuführen (hab halt nicht so ganz verstanden was xp da versucht)
danke übrigens für den zweiten link 
und die meldung primary master drive fails kam nur 2 mal nach diesem absturz (mittlerweile isser nicht mehr abgestürzt). nie bei nem kaltstart oder sonst irgendwas.
mfg,ropps
edit: achja, noch was nebenbei: sehr viele udp-blocks meiner firewall beziehen sich auf die ports 102x - 103x ... sind diese ports bekannt? weil die in dem workshop-artikel zur sygate firewall nicht erwähnt werden... auch bei geblockten port scans handelt es sich fast immer um diese ports.
Edit von Moderator:
Da trotz mehrfacher Nachfrage keine Reaktion mehr vom Threadersteller erfolgte, wird der Thread vorerst geschlossen.
Per PN kann er bei Bedarf wieder geöffnet werden.
-closed-
Gruß 
Binky
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Ropps: 26.03.2007 09:11.
|
|
|
26.03.2007 09:02 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2023 PC-Experience.de |
|
