Unbekannte Infektion

Internet Internet Sicherheit
#1

Hallo,

seit zwei Tagen spinnt mein Rechner und ich kann die Ursache nicht finden. Weil mir die Problem zuerst bei Word aufgefallen sind, habe ich das zunächst unter „Office-Software allgemein“ gepostet [http://www.wer-weiss-was.de/cgi-bin/forum/showarticl… ] aber mittlerweile sieht es viel eher nach einer Infektion mit einem Wurm/Virus/Trojaner oder was auch immer aus. Ich arbeite mit Windows 2000 Server SP4 (mit den Patches von letzter Woche) und lasse nebenbei McAfee mit täglicher Autoaktualisierung laufen. Die Symptome sind folgende:

  1. Fehlermeldung beim Start von Word: „Dieses Dokument konnte nicht registriert werden. Es können keine Verknüpfungen von anderen Dokumenten zu diesem hergestellt werden“

  2. Fehlermeldungen beim Start von Excel: „Objekte verknüpfen und einbetten ist nicht möglich.“ + 2x "Beim Initialisieren der VBA Bibliotheken (14) ist ein Fehler aufgetreten.

  3. Fehlermeldung beim Einfügen in Excel: „Microsoft EXCEL kann die Datei nicht einfügen.“

  4. Fehlermeldung beim Kopieren in Paint: „Das System kann die angegebene Datei nicht finden.“

  5. Fehlermeldungen beim ReInstallieren des SP „sp4iis | Es kann keine Verbindung mit der Metabasis hergestellt werden.“ + „Die Scriptzuordnung von ism.dll konnte nicht entfernt werden. Das Service Pack Setup wird abgebrochen.“

  6. Fehlermeldung beim Aktualisieren von McAfee: "Eigenschaften von VirusScan AutoUpdate - AutoUpdate | Fehler beim Initailisieren des Common Updater-Teilsystems. Stellen Sie sicher, dass der McAfee framework-Dienst läuft. McAfee Common Framework hat einen Fehler ausgegeben: 80070002 @ 2

  7. Kopieren/Einfügen in Word funktioniert nicht.

  8. Drag&Drop funktioniert nicht

  9. „Start/Suchen/Nach Dateien oder Ordnern…“ funktioniert nicht (vom Windows Explorer aus geht es aber)

  10. „Windows Update“ bei www.microsoft.com startet nicht

  11. Die Ordner „C:\Programme“, „Netzwerk“, „Systemsteuerung“ und „Drucker“ werden nur im abgesichten Modus korrekt dargestellt.

Das sind die Fehler, die mir bislang aufgefallen sind und das deutet doch alles ganz stark auf eine Infektion hin. Allerdings findet McAfee (natürlich im abgesichten Modus und mit einer aktuellen SuperDat, die ich auf einem anderen Rechner heruntergeladen habe) absolut nichts. Da von einem anderen Rechner in unserem Netzwerk ungefähr seit dem Zeitpunkt, bei dem bei mir die ersten Probleme auftraten, massenweise W32/Netsky-D und W32/Netsky-P verschickt wurden, habe ich sicherheitshalber FxNetsky auf mein System losgelassen, aber auch dabei ist erwartungsgemäß nichts herausgekommen. Ich habe unter http://www.trojaner-board.de auch schon die Ergebnisse von HijackThis und eScan gepostet [http://www.trojaner-board.de/showthread.php?t=16294 ] aber da konnte mir bislang auch niemand helfen. Ich hoffe, daß hier irgendjemand eine Idee hat, was ich noch tun kann, um das System zu retten. Ich habe die Installations-CDs zwar schon zurecht gelegt, aber bevor ich weiß, was mich da heimsucht und wie ich es mir in Zukunft vom Hals halte, ist auch eine Neuinstallation keine sichere Lösung.

#2

Hallo!
Wenn du in Zukunft sicher arbeiten möchtest,dann kann ich dir nur:http://www.dingens.org empfehlen,dazu die Windows eigene Firewall aktiv laufen lassen,ein aktuelles Antivirenproggi.Und keine Personal Firewall einsetzen!Damit wirst du keine Probleme mehr haben,eine 100%ige Sicherheit gibt es nie.Wenn du das System neuaufsetzt,dann erstell jetzt keine Disketten mehr.Und Infos über Sicherheit bekommst du hier:http://www.ntsvcfg.de/linkblock.html
Gruß Frank

P.S.Bei deinen Problemen die du aufgelistet hast,ist eine Neuauflage unumgänglich.

#3

Hallo MrStubid

seit zwei Tagen spinnt mein Rechner und ich kann die Ursache
nicht finden. Weil mir die Problem zuerst bei Word aufgefallen

[…]

letzter Woche) und lasse nebenbei McAfee mit täglicher
Autoaktualisierung laufen.

Ich habe mir mal die Logfile im TrojanerBoard angesehen und komme zu dem Schluß, dein System ist perfekt kompromittiert. Offensichtlich sind mehrere wesentliche Dateien des Systems ausgetauscht und finden nun nach dem Update nicht mehr ihre Schnittstellen im System.

Hahahahi (nein, eigentlich darf man darüber nicht lachen)

Mit anderen Worten: Das System gehört seit langen nicht mehr deinem Unternehmen oder deiner Organisation und ihm wurde durch das Update der Rest gegeben. Du solltest dich beim bisherigen Nutzer entschuldigen, da er nicht mehr auf die Daten des PC so einfach zugreifen kann. Hoffentlich ist dein Unternehmen keine Behörde, das hätte erhebliche Rechtsprobleme zur Folge.

Die Symptome sind folgende:

Können wir uns sparen, hier hast du nur beschrieben was geschieht, wenn durch Malware ausgetauschte Dateien ihre Schnittstellen im System nicht mehr finden. Es handelt sich um ein Musterbeispiel eines kompromittierten PC !!!

Da von einem
anderen Rechner in unserem Netzwerk ungefähr seit dem
Zeitpunkt, bei dem bei mir die ersten Probleme auftraten,
massenweise W32/Netsky-D und W32/Netsky-P verschickt wurden,
habe ich sicherheitshalber FxNetsky auf mein System
losgelassen, aber auch dabei ist erwartungsgemäß nichts
herausgekommen.

Was habt ihr eigentlich erwartet, das McAffee das System rettet? Er kann höchsten den bisherigen PC-Nutzer leicht behindern. Die ursprünglichen Installationsdateien existieren schon lange nicht mehr und wurden vermutlich vom jetzigen Inhaber des Systems vorsichtshalber gelöscht. Gelöscht könnte auch vor einiger Zeit ein Scanner haben, natürlich ohne das Problem zu beheben.

irgendjemand eine Idee hat, was ich noch tun kann, um das
System zu retten.

Was soll da noch gerettet werden? Bedenke dabei, das nach deiner Beschreibung auch andere PC’s des Netzes geschädigt sein können.

Was zu machen ist, wird hier beschrieben: http://de.wikipedia.org/wiki/Kompromittierung Das dies bei weiten nicht übertrieben ist, kannst du hier nachlesen: http://www.microsoft.com/technet/community/columns/s… Nicht einmal der reichste Man of the World hat eine bessere und effektivere Lösung. Eine Nutzung des Systems durch Schadsoftware unterbinden kann bekannter Maßen keine komplexe Software.
Lediglich hier kannst du ernstliche Hilfe erwareten: http://brain.yubb.de/

der hinterwäldler

#4

Guten Tag

Dein PC ist in einem Netzwerk das kürzlich von Viren / Trojaner befallen wurde.

Wurde die Ursache des Befalles gefunden und die entsprechenden Massnahmen getroffen?
Ist der Netzerkverantwortliche sicher, dass der Infektionsherd aus seinem Netz entfernt wurde?

Wenn Du eine der obigen Fragen mit Nein beantworten musst, dann verlieren wir nur Zeit mit der Reparatur Deiner Windowsinstallation.
Früher oder später hast Du dieses Problem wieder.

Ich schlage folgenes Vorgehen vor:
Installiere auf Deinem PC die folgenden kostenlosen Tools:

AD-Aware Personal Edition
http://www.download.com/Ad-Aware-SE-Personal-Edition…
Signaturen
http://download.lavasoft.de.edgesuite.net/public/def…

Sys-Internal Autoruns
http://www.sysinternals.com/ntw2k/freeware/autoruns…

Sys-Internal Process Viewer
http://www.sysinternals.com/ntw2k/freeware/procexp.s…

F-Prot Antivirus for DOS
http://www.f-prot.com/download/home_user/

Du kannst diese Tools auf einem PC mit funktionierenden Internetzugang
downloaden und auf CD brennen. Die Signaturdatei bei AD-Aware benötigst Du, weil mit der Installation nicht die akutelleste Datei installiert wird. Und da Dein PC ev. keine Internetverbindung aufbauen kann, macht es Sinn diese ebenfalls zu sichern.

Sichere Deine Daten
Wenn diese Tools installiert sind, dann lege die CD für MS - Office und Windows 2000 Professionell bereit. Deinstalliere MS-Office auf Deinem PC.

Starte den Windows 2000 Professionell im abgesicherten Modus.
Dazu musst Du wiederholt die F8 Taste drücken.

Starte AD-Aware und mache einen „Perform Full System Scan“.
Notiere Dir allfällig gefundene Malware (Trojaner, Würmer, etc.)
Danach lösche alle gefundenen Einträge.

Starte den Process Viewer. Überprüfe sorgfältig ob Du einen dieser Namen entdeckst. Wenn ja, klicke den Prozess an und notiere Dir (im unteren Teil), welche Dateien dieser Prozess geladen hat.
Beende diese Prozesse.

Starte Autoruns. Blende alle Microsoft Einträge aus (Menu).
Deaktiviere alle! Einträge. Anmerkung: deaktivieren kannst Du, wenn Du einmal auf die Option links klickst. D.h. der Eintrag ist dann noch da , aber inaktiv.

Starte F-Prot, konfiguriere F-Prot so, dass er infizierte Dateien automatisch löscht, wenn er sie nicht desifizieren konnte.

Starte Windows erneut im abgesicherten Modus. Überprüfe das System erneut mit AD-Aware und F-Prot auf Schädlinge. Gehe danach auf www.windowsupdate.com und aktualisiere Deine Windowsinstallation.
Installiere anschliessend die Wiederherstellungskonsole auf Deinem PC:
Ausführen -> CMD -> Windows 2000 CD einlegen -> wechsle auf der CD in das Verzeichnis „i386“ -> winnt32 /cmdcons.

Wenn bis jetzt alles geklappt hat und die Scanner nichts gefunden haben, dann kannst Du normal aufstarten, MS-Office installieren, auf www.officeupdate.com gehen und MS Office aktualisieren.

Viel Erfolg.

Grüsse
JTKirk

* * * * * * * * * * * * * * * * * * * * * * * * * * * *
Was weiss ich eigentlich?
Michel de Montaigne (1533 - 1592)
* * * * * * * * * * * * * * * * * * * * * * * * * * * *

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#5

Vielen Dank für die Antworten.

Daß ich um eine Neuinstallation nicht herumkomme, dachte ich mir ja schon, aber ich hatte ursprünglich die Hoffnung, wenigstens die Ursache für meine Probleme ausfindig zu machen, um zu verhindern, daß mir das nochmal passiert. Jetzt habe ich Win2000 komplett heruntergeschmissen, die Platte neu partitioniert und formatiert, WinXP installiert, die System-Firewall so dicht gemacht wie es eben ging, diverse Anti-Vieren, -Adware und -Trojaner-Programme installiert und hoffe damit eine Weile Ruhe zu haben. Im Nachhinein kann ich mich nur dazu beglückwünschen, eine Woche vorher sämliche Daten auf (immerhin 15) CDs gebrannt zu haben (die meine Virenscanner für sauber halten - was ja leider nicht viel zu sagen hat). So konnte ich das Ganze wenigstens mit einer gewissen Gelassenheit angehen.

#6

ruf doch mal beim Microsoft Support an löl (owT)
.