[klawitter]

problem: massive performance-probleme, simple aktionen wie startmenue aufrufen brauchen bereits ewig, arbeiten absolut unmöglich

befallende rechner: xp home, xp pro, vista home prem. (alles 32bit), windows 7 64 bit

checks: hardware alles ordnungsgemäss (taktraten, kernzahl, speichertimings, hdd-modi...), keine prozesse mit hoher auslastung etc, netzwerkdurchsatz gering, usw. - alles scheint völlig normal.

mögl. ursache:

habe ende letzter woche einen rechner für einen nachbarn neu aufgesetzt, der auf dem alten massive performance probleme hatte (5 jahre alt, desktop übersäht mit crapware, 'ungepflegt', keine updates etc, das übliche halt.) haben die dateien extern gesichert. dann mein fehler: habe die gesicherten daten auf einem meiner rechner 'geparkt', da die neuinstallation auf der platte erfolgen sollte, auf die er gesichert hatte.

noch am selben abend ging dieser rechenr in die knie. hatte aber eh vor, ihn neu aufzusetzen. nur schnell noch die mp3- und wma-bibliothek des nachbarn auf meinen server kopiert (hat bereits stunden gedauert), rest seiner daten auf dvd gesichert => ja, ich habe viel zu spät reagiert, weiss nicht warum...

seit gestern läuft kein rechner im haus mehr mit halbwegs erträglicher performance (habe die musikdateien natürlich in meine bibliothek integriert, von da aus gehen sie an alle rechner im haus...). nur mein server mit WHS und mein notebook mit server 2008 scheinen nicht betroffen.

weder avira premium 2009 noch kaspersky 2008 finden etwas, wobei die scans ewig daueren.

brauche jetzt ganz schnell einen oder mehrere richtig gute livescanner (edit) scanner für ein lifesystem für viren, rootkits, trojaner, bot und was auch immer an fieser malware. will zuerst das musik archiv auf dem server scannen um dann auf den anderen rechnern geziehlt suchen zu können.

klawitter

Dieser Beitrag wurde von klawitter bearbeitet: 15. Januar 2009 - 15:20

[Sanches]

Du willst wirklich auf einem befallenen System ein Rootkitscanner laufen lassen? Dann frohes schaffen.

Desweiteren würde mich mal interessieren, weshalb du die Daten auf deinem Livesystem parkst, mit Administrationsrechten unterwegs bist und du bspw. keine Hashsummen von den sauberen Dateien angelegt hast?!

[Spiderman]

Live Scanner sind gut, wenn man noch nicht befallen ist.

Eine Internet Verbindung wenn man bereits befallen ist, macht es nur noch schlimmer.

Ein ganzes Netzwerk mit Server wieder clean zu bekommen, da gibt es nur eines, Netzwerkverbindungen lösen, auf allen Rechnern die letzte saubere Sicherung aufspielen.

Am sichersten ist die Hochsicherheit Konfiguration, die haben aber die wenigsten Benutzer:

Hochsicher (SSLF). In dieser Umgebung ist die Sicherheit so wichtig, dass ein Verlust an Funktionalität und Handhabbarkeit des Systems akzeptabel ist. Zum Beispiel werden Computer des Militärs und des Nachrichtendienstes in dieser Art Umgebung betrieben.

Handbuch: http://www.microsoft.com/germany/technet/s...xp/default.mspx

Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 14. Januar 2009 - 18:32

[klawitter]

ich hab mich falsch ausgedrückt, sry: nein, ich meine keinen livescanner, das ist natürlich blödsinn. ich meine einen oder besser mehrere scanner für ein livesystem.

datenwiederherstellung ist kein problem, meine datensicherung hält einen satz aller daten vom netz physisch getrennt vor.

natürlich bin ich, bzw. auch meine familie, auf den xp-rechnern als admin unterwegs. xp ist im eingeschränkten modus schlicht nicht zu gebrauchen. ich kann nicht bei jeder textur oder zeichensatz-installation den benutzer wechseln und auch nicht drei mal die woche als 'admin' irgend eine belanglosigkeit an den rechnern meiner kinder einstellen. das mit dem vistarechner ist reiner zufall, der war als admin angemeldet um ein benutzerkonto für den multimedia-betrieb mit entsprechenden einschränkungen und rechten lokal und auf dem server zu erstellen. bevor das fertig war, klingelte mein nachbar.

die befallenen rechner habe ich vom netz getrennt. ich habe einen standalonerechner aufgebaut zum scannen der serverplatte. da dort (wg. eingeschränktem user) keine adminrechte laufen (genauso wie auf dem notebook) ist es da wohl nicht zum ausbruch gekommen, ich denke aber, dass der virus oder was auch immer über diese bibliothek und den server verteilt worden ist.

es hilft nichts, die backups zurückzuspielen, wenn ich nicht genau weis, seit wann und wo sich der erreger versteckt hat /hält.


@senior sanches:

dass es hirnrissig war, die daten unbesehen auf einen (admin)-rechner von mir zu spielen, weiss ich. ich habe diesbezüglich um hilfe aber nicht um kommentare gebeten. bitte verzichte zukünftig auf deine schlaubergereien diesbezüglich, vor allem wenn sie zur lösung des problems nicht beisteuern und keinem anderen zweck als einer überflüssigen selbstdarstellung des verfassers zu dienen.

zur erklärung
mein nachbar war in not mit einem ruinierten windows, denn er braucht den rechner für seine buchhaltung und steuer etc. in diesem fall war schlicht meine hilfsbereitschaft grösser als meine vorsicht.


punkt.

kann mir nun jemand taugliche scanner empfehlen, die ich z.b. in bartpe einbinden könnte?

klawitter

[bardelot]

http://www.bootcd.us...ns_Complete.php
und
http://www.reatogo.de/REATOGO.htm

[tavoc]

Versuche mal diese hier: http://www2.tu-berli...irus.shtml#boot

Dabei natürlich scannen wenn die Netzwerkverbindungen deaktiviert sind.

Ansonsten hilft unter Windows:

Spybot Search an Destroy
Hijackthis


mit BartPE hab ich nich soviel Erfahrung...

Dieser Beitrag wurde von tavoc bearbeitet: 14. Januar 2009 - 23:25

[Sanches]

klawitter sagte:

ich habe diesbezüglich um hilfe aber nicht um kommentare gebeten. bitte verzichte zukünftig auf deine schlaubergereien diesbezüglich, vor allem wenn sie zur lösung des problems nicht beisteuern und keinem anderen zweck als einer überflüssigen selbstdarstellung des verfassers zu dienen.

Danke das du dir das Recht einräumst, mich anzugiften.

Anhand deiner Beiträge in diesem Forum sollte dir die Gefahr bekannt sein, deswegen erschließt sich mir nicht der Sinn deiner fahrlässigen Handlung. Wenn dem Senior klawitter natürlich nicht bewusst ist, dass auf dem kompromittierten System jeglicher Versuch mit irgendwelchen Tools oder Programmen gegen die Malware oder dem Rootkit zu agieren völliger Schwachsinn ist, möge man sich bitte bewusst machen wozu ein Rootkit bspw. im Stande ist.

Zu Antwort auf deiner Erklärung gebe ich dir einen Tipp: Koppicilin von der c't könnte dir helfen. Da dein Windowssystem nicht im Betrieb und somit die Malware oder womöglich das Rootkit inaktiv ist. In der aktuellen c't sollte die neue Version vorhanden sein oder du nimmst den Vorgänger Knoppicilin 6.0.

Und grob fahrlässiges Handeln, sollte man nicht entschuldigen. Da kannst du mich noch so oft angiften.

[Leshrac]

Jeez, klawitter the killer

Das ist die gerechte strafe dafuer, kontaminierte dateien auf einen netzwerkrechner zu laden.

Einfachste loesung: Packe die daten deines nachbarn auf irgend einen alten PC, der ueber keine netzwerkanbindung verfuegt. Dort kannst du dann i.e. mit Knoppicillin eine reinigung versuchen.
Die ganzen netzwerkrechner: Format all, backups laden. Sicherste und wohl auch schnellste methode.

[klawitter]

wie wahr und weise gesprochen, leshrac...

ich beende diesen tag mit meinem neuen leitspruch: solange meine intelligenz ausreicht, mich vor den folgen meiner eigenen dummheiten zu bewahren...die andere hälfte zu dem spruch lass ich mir dann morgen einfallen.

habe einen rechner (system) über das server-backup wiederhergestellt, die viralen daten sind erst mal auf eine andere platte gewandert. nach einspielen der musikbibliothek aus dem letzten hard-backup (nur daten, pre-nachbar) scheint alles o.k. zu sein.

habe beim scannen der 'giftplatte' bis jetzt noch nichts wirklich finden können - aber zeitlich passen halt nachbars daten. ich hoffe inständig, dass der verursacher nicht woanders, älter und im hard-backup ist. werde zum gegentest morgen den neu augesetzten rechner mit nachbars daten füttern. wenn der anfängt zu lahmen, ist es auch ohne fund durchgestanden.


@ sanches: aber sieh es mir bitte nach, dass dein kommentar in der situation genau das war, was ich am wenigsten brauchen konnte. und das mit malware, rootkit etc und livescan: jaischwais! meinte ja auch scanner und livesystem. aber danke trotzdem für den hinweis auf knoppicilin, bin selbst nicht drauf gekommen ->panik schieben halt, war genau das, was ich wollte.

kasteien und geisseln werde ich mich wg. meiner doofheit jetzt aber nicht.

für heute reichts mir, nacht leuts

klawitter

Dieser Beitrag wurde von klawitter bearbeitet: 15. Januar 2009 - 01:48

[Tiggz]

Zitat (klawitter: 14.01.2009, 20:59)

natürlich bin ich, bzw. auch meine familie, auf den xp-rechnern als admin unterwegs. xp ist im eingeschränkten modus schlicht nicht zu gebrauchen.

Du kannst aber auch als Admin IE, Firefox, Opera u.s.w. mit eingeschränkten Rechten betreiben:
http://www.uni-rostock.de/Rechenzentrum/sw...tRestrict.shtml

und:

UAC für XP: http://www.replaceuac.com/

Dieser Beitrag wurde von Tiggz bearbeitet: 15. Januar 2009 - 06:56

[klawitter]

danke tiggz, schaue mir das tool mal an. aber ohnehin ist es bei mir ja auf die art und weise passiert, wie wohl in 95% aller fälle: das tor für den schädling habe ich selbst aufgemacht.

naja, ein gutes hat es: jetzt mache ich mich endlich mal über eine neues (und sichereres aber überschaubares) passwortsystem.

habe nach wie vor in den daten nix gefunden, aber der testrechner streikt jetzt, nachdem ich nachbars medienbibliothek geladen und dem mediaplayer hinzugefügt habe.

der nächste test ist jetzt noch mal mit kompletter wiederherstellung pre nachbar über den server, von dem die entsprechenden daten ja mittlerweile entfernt sind. wenns dann läuft, hab ich a.) mehr glück als b.) verstand gehabt und auf dem server schlummert nix giftiges mehr. die neueren systemsicherungen werde ich dann löschen und das notebook wird jetzt platt gemacht und bekommt windows 7. dann schlummert auch da nix mehr. und noch was: der rechner meiner einen tochter lief zwar in dem verdächtigen zeitraum, sie hat aber die medienbibliothek des wmplayers nicht aktualisiert (war noch gar nicht der pfad zu den mp3s auf dem (recht neuen) server eingerichtet). zeigt auch jetzt keine ausfallerscheinungen.

klawitter