Hallo, habe z.Z. einen PC mit Windows NT4.0 SP6a, der sich leider völlig ungeschützt über ein Modem mehrere Viren, Würmer und Trojaner eingefangen hat.
Konnte die meisten mit NAV 2000 identifizieren und isolieren, darunter Varianten von MUMA-A und B. Nur ein Prozess, der u.a. den Norton Antivirus kurz nach dem Start beendet, solange er aktiv ist, bereitet mir extreme Schwierigkeiten.
-MSIEXEC128.EXE-
Hab die Registry des Rechners und die gesamte Festplatte sowie mit sämtlichen Suchmaschinen das Internet danach durchsucht - ohne Ergebnis. Der Witz ist, der Prozess wird beim Systemstart gestartet und in der Taskliste gelistet, die Datei ist aber nirgends auf der HDD oder als Eintrag in der Registry vorhanden. Stoppt man den Prozess manuell, läuft der Rechner scheinbar wieder normal und Norton AV lässt sich auch wieder starten. Hat irgend jemand schon mal von diesem Virus oder was immer das auch ist, gehört?
starten. Hat irgend jemand schon mal von diesem Virus oder was
immer das auch ist, gehört?
Davon gehört? Nein. Aber nach einem derart massiven Befall ist die einzig taugliche Reaktion eh die vollständige Neuinstallation. Und die Änderung aller Passwörter, die an diesem PC in Gebrauch waren.
Gruss,
Schorsch
Salü herwolf
Hallo, habe z.Z. einen PC mit Windows NT4.0 SP6a, der sich
leider völlig ungeschützt über ein Modem mehrere Viren, Würmer
und Trojaner eingefangen hat.
Tja, wenn er geschützt gewesen wäre, hätte er sich auch nichts eingefangen. Und wenn er sich doch geschützt was eingefangen hätte, wärs dennoch leider…
Was ich Dir damit sagen will ist, dass ein solcher Fall grobfahrlässig ist. Ein Compi der online geht, ist von einem NW-Spezi zu präparieren oder zumindest ein Firewall muss her.
Zweitens fängt man sich diese Schädlinge nicht so leicht. Am schnellsten wenn man sich an Orten wie P2P Börsen mit Clients wie Kazann herumtreibt. Das ist ebenfalls grobfahrlässig.
Drittens hat die NT-Linie von MS ein ausgefeiltes Rechtesystem. Wenn Du online gehen willst, dann konfigurire den Account mit „Gast“ Rechten. Falls Du mit Administratorprivilegien online gehst, wäre das der dritte grobfahrlässige Aspekt und ich müsste Dir kündigen…
Konnte die meisten mit NAV 2000 identifizieren und isolieren,
darunter Varianten von MUMA-A und B.
Norton ist für Tronjaner und Würmer nicht die erste Wahl. Verwende Spybot und / oder Ad Aware.
Nur ein Prozess, der u.a. den Norton Antivirus kurz nach dem Start :beendet, solange er :aktiv ist, bereitet mir extreme Schwierigkeiten.
-MSIEXEC128.EXE-
Wieso macht er Dir Mühe? Was macht er denn? Wie kommst Du zu der Schlussfolgerung das er dieses oder jenes macht?
Hab die Registry des Rechners und die gesamte Festplatte sowie
mit sämtlichen Suchmaschinen das Internet danach durchsucht -
ohne Ergebnis.
Was hat Deine Registry mit dem Internet zu tun? Wenn ich etwas auf dem Internet suche, dann suche ich es nicht in der Registry und umgekehrt? Vielleicht besser erstmal hinsetzen, Panik abklingen lassen und nachdenken?
Der Witz ist, der Prozess wird beim Systemstart
gestartet und in der Taskliste gelistet,
Mittels Autoruns siehst Du, was beim Start gestartet wird:
http://www.sysinternals.com/ntw2k/freeware/autoruns…
die Datei ist aber
nirgends auf der HDD oder als Eintrag in der Registry vorhanden.
Wie kommst Du zu dieser Aussage? Wie hast Du diesen Prozess verifiziert / analysiert? Prozessnamen sind ja nicht zwingend mit dem Dateinamen der EXE Datei identisch. Diesen Prozess-Viewer kann ich empfehlen:
http://www.sysinternals.com/ntw2k/freeware/procexp.s…
Stoppt man den Prozess manuell, läuft der Rechner
scheinbar wieder normal
Und was ist abnormal? Beobachtungen und Fakten bitte.
und Norton AV lässt sich auch wieder starten. Hat irgend jemand schon : mal von diesem Virus oder was immer das auch ist, gehört?
Ich gehe mal vom sogenannten Dau Virus aus…
Installiere auf jeden Fall den Installer für NT4 nochmals
http://www.microsoft.com/downloads/details.aspx?disp…
Grüsse Peter
Hallo Peter,
vielen Dank erstmal für Deine konstruktive Hilfe und die Links, aber Belehrungen darüber, was in diesem Falle mit dem PC falsch gelaufen ist, brauche ich nicht, das weiss ich inzwischen selber. Und mich hier indirekt als DAU bezeichnen zu lassen, hab ich eigentlich nicht nötig. Schliesslich kann nicht jeder MSCE oder ähnliches sein. Vielleicht solltes Du Dir eine etwas weniger herablassende Ausdrucksweise aneignen, soviel dazu.
Hab die Registry des Rechners und die gesamte Festplatte sowie
mit sämtlichen Suchmaschinen das Internet danach durchsucht -
ohne Ergebnis.Was hat Deine Registry mit dem Internet zu tun? Wenn ich etwas
auf dem Internet suche, dann suche ich es nicht in der
Registry und umgekehrt? Vielleicht besser erstmal hinsetzen,
Panik abklingen lassen und nachdenken?
Das war vielleicht etwas missverständlich ausgedrückt, hatte mit diversen Suchmaschinen nach dem Begriff „msiexec128“ gesucht, um Informationen darüber zu bekommen und absolut nichts dazu gefunden. Daher meine Anfrage in diesem Forum.
Vorher hab ich natürlich auch die Registry des Rechners und auch sämtliche Dateien auf dem Rechner nach diesem Begriff durchsucht, um zu sehen wo der Prozess herkommt oder von welchen Programmen er gestartet wird. Leider war das auch ohne Ergebnis. Und um es nochmal zu wiederholen: Solange der Prozess läuft, lässt sich ausgerechnet der Norton AV nicht starten bzw. wird nach kurzer Zeit ohne Zutun beendet, während Norton AV nach Beendigung dieses Prozesses „normal“ läuft und sich z.B. ein kompletter Scan der HDD duchführen lässt. Daher mein Verdacht , dass das möglicherweise ein Virus, Wurm oder was auch immer ist.
Aber ich weiss es halt nicht, finde nichts dazu im Internet und wollte hier einfach nur Informationen oder Hilfestellungen zu meiner Fragestellung, aber keine Belehrungen mit erhobenem Zeigefinger!
Hi drambeldier,
der Name ist so korrekt wiedergegeben, der MS Installer ist mir wohl bekannt, aber der isses nicht.
Trotzdem danke!
Gruss
Herbert
Das denke ich mittlerweile auch, trotzdem danke!
Gruss
herwolf
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Schliesslich kann
nicht jeder MSCE oder ähnliches sein.
Hallo herwolf,
auch wenn du keine Belehrungen brauchst: es heisst immer noch Minesweeper Consultant and Solitair Expert (MCSE) und nicht Microsoft Sucks more Crude than Evilness (MSCE).
Wir wollen ja fair bleiben!
Schorsch
keine Zeit für lamentieren…
Salü Herwolf
Statt zu jammern, dass ich einen Oberlehrerton habe solltest Du die von mir gegeben Anaylsen und Informationen lesen, nachdenken und umsetzen…
Nur weil man einen Computer einschalten kann, heisst das noch nicht das man nicht selber ein paar Überlegungen, logisch und präzsise, anstellen sollte. Und wie Sherlock Holmes schon meinte: "fangen sie am Anfang an und erzählen sie ausführlich und chronologisch…
Da ja alles furchtbarschnell gehen muss und auf dem Teller serviert werden muss, nochmals und zum letzten Mal, die Punkte von Posting 1, die Du als Hausaugabe (Gruss vom OLehrer…) angehen solltest:
-
Problem
Wenn mein Verständnis der Sprache korrekt ist, dann ist Dein Problem im ersten Posting ein Prozess, der ein anderes Programm „terminiert“. Damit solltest Du logischerweise ins Windows 2000 / XP / 2003" Brettt. Naheliegend könnte man ja auch auf ein anderes Antivirenprogramm wechseln, da die blöde SW eine Macke hat, nicht wahr? Aber wahrscheinlich bist Du hier, weil Dir irgendwie „mulmig“ zu Mute ist, weil Du ahnst das das ganze komplexer sein könnte. Ev. sogar 2 weg Schnittstellen zu Abläufen und Benutzern hat… -
suche
Name des Prozesses ist nicht zwingend identisch mit der Datei, welche einen Prozess ausführt. Daher nimmt man einen Prozessexplorer und analysiert einen Prozess. Z.B. den von Sys-Internals:
http://www.sysinternals.com/ntw2k/freeware/procexp.s…
Danach mit der rechten Maustaste die Datei anklicken, „Eigenschaften“ weil es ja sicher ein deutsches Windows ist, „Dateiinfo“ anwählen. Wenn dort nicht MS Windows steht, dann könnte man die Datei umbenennen (Extension: „.xxx“) an- und abmelden der NT-Instanz und dann mal sehen was geschieht. -
NAV
Da ihr auf einem Firmen-PC sicherlich keine Raubkopien im Einsatz habt, könnte man den Symantecsupport anfragen. B.t.w. gibt es in NAV meines Wissens mehr Optionen als nur NAV an / abstellen. Diese würde ich vorsorglich dort mitangeben. -
suchen
Nebst Registry und Internet könntest Du in den Newsgroups nach Informationen suchen - z.B. mit der Freeware „Free Agent“ bzw. google. -
Sicherheit
Wenn dieser Geschäfts-PC eine von Dir nicht näher bezeichnete Zeit ungeschützt dem Internet angeschlossen war, von Dir nicht näher bezeichnete Aktivitäten (P2P, browsen, Sexsites, etc.) ausführte und Du auch über die Benutzerrechte keine Angaben machen kannst, so ist das einzig sichere diesen PC neu zu installieren. Und geschützt wieder ans Netz zu lassen. Wie der Onkel Doktor, können auch die Virenprogramme, keine Gesundheit garantieren und wie Mutti schon meinte: „Vorsorge ist besser“!
Last but not least:
In Deiner nähe findest sicher einen NT-Spezialisten, der sich mit seinem kleinen Geschäft über Wasser hält. Meistens haben diese Leute jahrelang Erfahrungen und Wissen gesammelt, um genau solche Aufgaben in kürzester Zeit umzusetzen. Daher vielleicht auch die Dir möglicherweise unverschämt scheinde Honorarforderungen…
viel Glück
Peter
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]