---

Geschrieben von Ropps am 21.03.2007 um 15:23:

  verdächtiges systemverhalten

Hallo, ich glaub ich hab nen virus :(.
Habe gestern n bisschen warcraft3 gespielt und plötzlich startet mein pc einfach neu. dann kommt noch vor der bios-passwort-abfrage die meldung "primary master drive fails". dann hab ich reset gedrckt und er bootete normal. hab mir dann n paar einträge angeguckt und nen virenscan gemacht und den pc erstmal ausgemacht. heute wieder gespielt und das gleiche passiert.

hier mal eine kurze info über mein system:

- windows xp professional service pack2 + sicherheitsupdates installiert (alle die in dem "Windows XP SP2: CD mit integrierten PreSP3 Hotfixes erstellen"-thread im
"Artikel und Workshops"-forum aufgelistet sind)
- sygate free version (installiert nach dem guide in diesem forum, also mit den 2 erstellten sonderregeln für die udp und die tcp ports)
- antivir von avira
- eingeloggt als eingeschränkter benutzer

so, also nach dem ersten neustart hab ich erstmal nen virenscan durchgeführt. der hat keinen virus gefunden aber 2 warnungen ausgespuckt :

[1]

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0005

[2]

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

so und in der verwaltung bei der ereignisanzeige finde ich in den 3 rubriken anwendung, system und sicherheit folgende warnungen:

anwendung

[1]

benutzer :ROPPS\Admin
Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

[2]

benutzer : NT-AUTORITÄT\SYSTEM
Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt.

system

[1]

warnung:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

sicherheit

[1]

Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Robert
Domäne: ROPPS
Anmeldetyp: 2
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: ROPPS

[2]

Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: Robert
Arbeitsstation: ROPPS
Fehlercode: 0xC000006A


hierzu ist zu sagen, dass bei sicherheit die einträge [1] + [2] seit der kurzen zeit sehr oft vorhanden sind. diese beiden meldungen treten nur gekoppelt auf. das heißt, ich hab bei 12 uhr 15 und 17 sekunden die beiden einträge, dann wieder bei 14 uhr 16 und 7 sekunden usw...

also da scheint irgendwas zu sein, was in mein system will. aber das problem ist, dass ich nicht weiß, was das ist.
achja übrigens: mein eingeschränktes konto heißt "Robert" und das admin-konto heißt halt "Admin". der computername lautet ropps. deswegen macht mir vor allem die erste meldung [1] unter anwendung sorgen, weil da der admin als benutzer angegeben wird :(
ich hoffe ich hab alle nötigen informationen angegeben und dass mir jemand sagen kann, was da los ist :(

mfg,ropps

---

Geschrieben von beamer3 am 21.03.2007 um 16:10:

 

Hi,

Hast du ein Backup?
Ob du einen Virus hast kannst du so herausfinden:

1. Systemwiederherstellung deaktivieren.
2. Auf die Seite von F-Secure gehen und einen Online Scan durchführen ( Logfile hier posten). Alles was er findet löschen lassen.
3. Lade dir von kaspersky.de den kostenlosen Trial Virenscanner herunter und lass deinen Pc damit im abgesicherten Modus scannen. Ebenfalls alles löschen was er findet.
4. Am Besten du überprüfst deinen Computer dann noch mit einer Boot Cd. Das wäre zum Beispiel Knoppix. Es gibt ja sehr viele DOS Scanner in den Heft Cd´s einiger Hefte am Kiosk.

Gehe außerdem auf die Seite: Hijackthis
Lade dir dort die neueste Version herunter und erstelle ebenfalls ein Logfile. Dies kannst du auf der gleichen Homepage überprüfen. Wenn du nicht sicher bist, einfach hier posten...


beamer3

---

Geschrieben von Ropps am 22.03.2007 um 20:14:

 

Zitat:

Original von beamer3 Hi, Hast du ein Backup? Ob du einen Virus hast kannst du so herausfinden: 1. Systemwiederherstellung deaktivieren. 2. Auf die Seite von F-Secure gehen und einen Online Scan durchführen ( Logfile hier posten). Alles was er findet löschen lassen. 3. Lade dir von kaspersky.de den kostenlosen Trial Virenscanner herunter und lass deinen Pc damit im abgesicherten Modus scannen. Ebenfalls alles löschen was er findet. 4. Am Besten du überprüfst deinen Computer dann noch mit einer Boot Cd. Das wäre zum Beispiel Knoppix. Es gibt ja sehr viele DOS Scanner in den Heft Cd´s einiger Hefte am Kiosk. Gehe außerdem auf die Seite: Hijackthis Lade dir dort die neueste Version herunter und erstelle ebenfalls ein Logfile. Dies kannst du auf der gleichen Homepage überprüfen. Wenn du nicht sicher bist, einfach hier posten... beamer3

hi, danke für die antwort erstmal.
leider hatte ich probleme deine anweisungen auszuführen.
ein backup hab ich glaub ich nicht.

zu 1.) falls du damit meinst, den systemwiederherstellungsdienst unter "ausführen/services.msc" auf deaktiviert zu stellen, der ist sowieso deaktiviert. meinst du das?

zu 2.) ich kann diesen virenscanner nur mit dem internet explorer starten (ich benutze opera). der internet explorer meldet mir dann aber "insufficient rights to use activex controls! please check you user rights and internet explorer security settings". hab aber bei "extras ---> internetoptionen" nix gefunden um activex zuzulassen. kann das auch daran liegen dass ich als eingeschränkter benutzer on bin ? ich will mich nicht als admin anmelden fürs inet =(

die anderen anweisungen hätte ich zwar ausführen können, weiß aber nicht ob die reihenfolge wichtig ist, die du da angegeben hast, kann ja sein ...

---

Geschrieben von Heaven am 22.03.2007 um 21:18:

 

Hallo Ropps,

Hijackthis kannst du auch einfach so ausführen, dazu musst du keine Reihenfolge einhalten. Sollte die Auswertung einen Schädling ergeben, poste sie bitte hier.

Zu der Systemwiederherstellung: Mach einen Rechtsklick auf Arbeitsplatz -> Eigenschaften -> Register 'Systemwiederherstellung' und setze den Haken bei 'Systemwiederherstellung auf allen Laufwerken deaktivieren'. Den Dienst in services.msc zu deaktiviern, müsste aber auf das Gleiche hinauslaufen.

Tipp 3 & 4 von beamer3 kannst du noch ausprobieren.

Und ja, es kann sein dass du im Internet Explorer keine Einstellungen ändern kannst, wenn du ein eingeschränktes Benutzerkonto verwendest.

cu
Heaven

---

Geschrieben von Ropps am 24.03.2007 um 14:22:

 

huhu,

also ich hab mir die kaspersky testversion runtergeladen, update ausgeführt und dann nen virenscan im abgesicherten modus durchgeführt - ohne befund.

den online scan konnt ich nicht durchführen und ne boot cd hab ich leider nicht, hab die beiden punkte übersprungen (!?).

hier ist mein hijackthis-log:

Logfile of HijackThis v1.99.1
...

irgendwas verdächtiges dabei ? die automatische auswertung von der website hat jedenfalls nichts angezeigt.
mfg, ropps

ps : *rofl* der smily is ja echt geil ^^ --->

---

Geschrieben von Florian am 24.03.2007 um 14:34:

 

Zitat:

irgendwas verdächtiges dabei ?

nein

bist du sicher das dieses Logfile komplett ist?

---

Geschrieben von Ropps am 24.03.2007 um 14:37:

 

ja, ich habe ziemlich viele dienste deaktiviert und halte alles mölichst im kleinen rahmen. aber ich merk grad, dass die warnungen wahrscheinlich nichts mit einem virus zu tun haben. bin grad am googeln und die meisten probleme lösen sich grade auf, muss aber noch n bisschen weiterlesen ...

---

Geschrieben von JT452 am 24.03.2007 um 23:34:

 

Dann lass uns bitte an deinen Lösungen teilhaben.

---

Geschrieben von Peschel am 25.03.2007 um 00:37:

 

@Ropps

Zitat:

so, also nach dem ersten neustart hab ich erstmal nen virenscan durchgeführt. der hat keinen virus gefunden aber 2 warnungen ausgespuckt

dein Scanner kann keinen Bootsektor auslesen und die Auslagerungsdatei und die Datei für den Ruhezustand sind sowieso gesperrt

alles weitere findest du hier und hiermit kannst du weiter forschen

die Meldung primary master drive fails solltest du auf jeden Fall weiterverfolgen, dazu hatten wir hier auch schon mal was: klick

---

Geschrieben von Ropps am 26.03.2007 um 09:02:

 

jo, dass das zwei dateien von windows sind hab ich mittlerweile auch rausgefunden . hab die ruhezustands-funktion jetzt sowieso deaktivert, weshalb die hiberfil.sys auch nicht mehr benötigt wird.

auf deinen ersten link bin ich auch über google (---> andere leute mit gleichem problem) gekommen, konnte damit allerdings nicht soviel anfangen. also mit der ursachenerklärung. da steht:

Windows XP versucht, für jedes auf der Willkommensseite angezeigte Konto eine begrenzte Anmeldung durchzuführen, um zu bestimmen, ob der Benutzer nach einem Kennwort gefragt werden soll. Für jedes angezeigte Konto wird ein Anmeldeversuch protokolliert.

kannst du mir das vielleicht etwas genauer erklären?
die lösung von microsoft find ich irgendwie banane: also die wollen ja, dass man entweder den klassischen anmeldebildschirm verwendet oder die protokollierung deaktiviert -.-'
gibts da keine bessere lösung?
ich fänds viel besser, wenn man xp einfach verbieten könnte dieses anmelde dingsbums durchzuführen (hab halt nicht so ganz verstanden was xp da versucht)

danke übrigens für den zweiten link

und die meldung primary master drive fails kam nur 2 mal nach diesem absturz (mittlerweile isser nicht mehr abgestürzt). nie bei nem kaltstart oder sonst irgendwas.

mfg,ropps



edit: achja, noch was nebenbei: sehr viele udp-blocks meiner firewall beziehen sich auf die ports 102x - 103x ... sind diese ports bekannt? weil die in dem workshop-artikel zur sygate firewall nicht erwähnt werden... auch bei geblockten port scans handelt es sich fast immer um diese ports.


Edit von Moderator:
Da trotz mehrfacher Nachfrage keine Reaktion mehr vom Threadersteller erfolgte, wird der Thread vorerst geschlossen.
Per PN kann er bei Bedarf wieder geöffnet werden.

-closed-

Gruß

Binky