WinFuture-Forum.de: Merkwürdiges Verhalten Winxphe - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Windows XP
  • 2 Seiten +
  • 1
  • 2

Merkwürdiges Verhalten Winxphe


#1 Mitglied ist offline   joschi19820 

  • Gruppe: aktive Mitglieder
  • Beiträge: 91
  • Beigetreten: 14. Januar 08
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 19. Januar 2008 - 22:32

Hallo,

hatte heute ein sejr merkwürdiges verhalten...soweit mir einer sustimmen möchte.

Ich hatte Windows heruntergefahren.......als ich nach ner halben stunde merkte das meine Festplatte schön am arbeiten ist.....ich fande das komisch das der PC überhaupt an war. Ich machte meinen Monitor an dann erschien der klassische Anmeldedialog unter Windows XP Home.....hm normalerweise habe ich den Willkommensdialog.....naja wie auch immer da stand das ein anderer Benutzer diesen PC verwendet.....was ich erstmal komisch fand......und bekam die Mitteillung das nur ein Administrator den PC entsperren könnte....als ich aber im Feld Benutzername und Kennwort etwas eingeben wollte ging das gar nicht weil diese grau unterlegt waren......da kam mir nur eins in den Kopf sofort ausmachen inkl. Stromversorgung. So was meint Ihr dazu? Keine Ahnung wenn es ein Sicherheitsrelevantes Thema ist hätte ich es auch unter Thema Sicherheit gepostet.
0

Anzeige



#2 Mitglied ist offline   robusoe 

  • Gruppe: aktive Mitglieder
  • Beiträge: 155
  • Beigetreten: 12. September 07
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Hessen

geschrieben 19. Januar 2008 - 23:05

Hallo,

hast Du deisen Beitrag mit einem 2.PC verfasst?

Wenn ja...

- 1.PC vom I-Net Trennen
- im abgesicherten Modus starten
- aktuellen Virenscanner, Spybot und Hijackthis drüber laufen lassen

Sieht ganz so aus, als ob Dein Rechner übernommen und in einem Bot-Netz befinden würde.

Kannst versuchen, Deine Daten mit einer LIVE-CD z.B. Knoppix zu retten - wäre da aber vorsichtig.

Solltest Du ein IMAGE haben - zurückspielen.

Ansonsten hilft nur eins... - platt machen und neu aufsetzen.

Gruß
Rolf
Eingefügtes Bild
Powered by Windows 7
0

#3 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.022
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 19. Januar 2008 - 23:12

Da, wenn es wirklich ein Schädling sein sollte, deine Daten sowieso teilweise weg/verseucht sind, versuch mal in den abgesicherten Modus zu starten (beim booten F8 drücken), und von dort aus zu ermitteln was da vor sich ging.
Trenne aber in jedem Fall den Rechner erstmal vom Internet, und, falls die Möglichkeit besteht lege dir ein Backup an, um notfalls zumindest noch ein paar Daten retten zu können. Eine Live-Cd würde sich dafür, wie schon erwähnt, anbieten, da damit zumindest an der Festplatte nichts verändert wird.

Dieser Beitrag wurde von Samstag bearbeitet: 19. Januar 2008 - 23:12

0

#4 Mitglied ist offline   joschi19820 

  • Gruppe: aktive Mitglieder
  • Beiträge: 91
  • Beigetreten: 14. Januar 08
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 19. Januar 2008 - 23:32

Hallo......erstmal zum 2.PC ich habe meinen Beitrag nicht von einem 2.PC gemacht habe nur einen! Wie auch immer du darauf kommst.

Also habe es mal gemacht. Habe alles was ich im Moment an sicherheitslösungen habe mit den aktuellsten Definitionen ausgeführt. Hijackthis hatte bei mir keinerlei merkwürdigen sachen angezeigt. Als nächstes kam avast im intensiven Modus erst ofline dann im Bootmodus. Danach einen komplett scan mit s-suqared anti-malware auch keine ergebnisse nur ein Tracing cookie. Danach folgten noch gmer und avg anti rootkit...ebenfalls nicht gefunden ad-aware und windows defender auch nicht. So mehr weiss ich im moment auch nicht was da sein könnte.
0

#5 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.022
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 19. Januar 2008 - 23:38

Es gibt im Endeffekt zwei mögliche Lösungen:
1.: Du hast dir Malware eingefangen, dann würde dein Rechner neu aufgesetzt gehören.
2.: Dein Rechner ist während des herunterfahrens abgestürzt, hat sich aufgrund dessen neu gestartet, hat dann eine Festplattenüberprüfung durchgeführt und ist dann im Anmeldebildschirm stehengeblieben.

Ich vermute ja Lösung 2, kann aber Lösung 1 nicht ausschliessen. Beobachte also auf jeden Fall die nächsten Wochen mal genauestens den Taskmanager wegen unbekannten/verdächtigen Prozessen, und poste hier mal ein Hijackthislog zur Überprüfung.
0

#6 Mitglied ist offline   robusoe 

  • Gruppe: aktive Mitglieder
  • Beiträge: 155
  • Beigetreten: 12. September 07
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Hessen

geschrieben 19. Januar 2008 - 23:40

Beitrag anzeigenZitat (joschi19820: 19.01.2008, 22:32)

......und bekam die Mitteillung das nur ein Administrator den PC entsperren könnte....als ich aber im Feld Benutzername und Kennwort etwas eingeben wollte ging das gar nicht weil diese grau unterlegt waren......


.. aus diesem Grund.

Hast Du z.B. einen DSL Manager installiert und kannst nachvollziehen, ob bei eigener Inaktivität weiterhin Aktivitäten (Up- oder Downloads) von Deinem PC erfolgen?

Gruß
Rolf
Eingefügtes Bild
Powered by Windows 7
0

#7 Mitglied ist offline   joschi19820 

  • Gruppe: aktive Mitglieder
  • Beiträge: 91
  • Beigetreten: 14. Januar 08
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 19. Januar 2008 - 23:42

Aber wenn man einem Bot-Net angehört was ein viertel aller pc sein soll das merkt man ja so auf anhieb ja gar nicht wie auch immer hijackthis kann ich mal direkt anhängen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:30, on 19.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Downloads\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Webseite mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url="http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200589984906"]http://www.update.microsoft.com/microsoftu...b?1200589984906[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url="http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab"]http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0C76ADF-EE37-4B4F-88FA-1C4384574613}: NameServer = 192.168.2.1
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7141 bytes


Ich reiche nochmal den gmer log nach.

GMER 1.0.13.12551 - [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2008-01-19 23:49:14
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwConnectPort
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwCreateFile
SSDT			sptd.sys																			  ZwCreateKey
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwCreatePort
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwCreateSection
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwCreateThread
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwDeleteFile
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwDeleteKey
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwDeleteValueKey
SSDT			sptd.sys																			  ZwEnumerateKey
SSDT			sptd.sys																			  ZwEnumerateValueKey
SSDT			sptd.sys																			  ZwOpenKey
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwOpenProcess
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwOpenSection
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwOpenThread
SSDT			sptd.sys																			  ZwQueryKey
SSDT			sptd.sys																			  ZwQueryValueKey
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwSetContextThread
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwSetInformationFile
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwSetValueKey
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwShutdownSystem
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwTerminateProcess
SSDT			\?\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys									   ZwUnloadKey
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwWriteFile
SSDT			\SystemRoot\System32\DRIVERS\cmdmon.sys											   ZwWriteFileGather

---- Kernel code sections - GMER 1.0.13 ----

?			   C:\WINDOWS\system32\drivers\sptd.sys												  Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text		   USBPORT.SYS!DllUnload																 F739462C 5 Bytes  JMP 867641C8 
?			   C:\WINDOWS\system32\Drivers\uphcleanhlp.sys										   Das System kann die angegebene Datei nicht finden.

---- User code sections - GMER 1.0.13 ----

.text		   C:\Programme\Comodo\Firewall\CPF.exe[2120] ntdll.dll!LdrLoadDll					   7C9261CA 3 Bytes  [ FF, 25, 1E ]
.text		   C:\Programme\Comodo\Firewall\CPF.exe[2120] ntdll.dll!LdrLoadDll + 4				   7C9261CE 2 Bytes  [ 05, 5F ]
.text		   C:\Programme\Comodo\Firewall\CPF.exe[2120] kernel32.dll!LoadLibraryExW				7C801AF1 6 Bytes  JMP 5F08001E 
.text		   C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!DialogBoxParamW		  7E37555F 5 Bytes  JMP 444DF2C1 C:\WINDOWS\system32\IEFRAME.dll
.text		   C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!DialogBoxIndirectParamW  7E382032 5 Bytes  JMP 4467166F C:\WINDOWS\system32\IEFRAME.dll
.text		   C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!MessageBoxIndirectA	  7E38A04A 5 Bytes  JMP 446715F0 C:\WINDOWS\system32\IEFRAME.dll
.text		   C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!DialogBoxParamA		  7E38B10C 5 Bytes  JMP 44671634 C:\WINDOWS\system32\IEFRAME.dll
.text		   C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!MessageBoxExW			7E3A05D8 5 Bytes  JMP 4467157C C:\WINDOWS\system32\IEFRAME.dll
.text		   C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!MessageBoxExA			7E3A05FC 5 Bytes  JMP 446715B6 C:\WINDOWS\system32\IEFRAME.dll
.text		   C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!DialogBoxIndirectParamA  7E3A6B50 5 Bytes  JMP 446716AA C:\WINDOWS\system32\IEFRAME.dll
.text		   C:\Programme\Internet Explorer\iexplore.exe[2364] USER32.dll!MessageBoxIndirectW	  7E3B62AB 5 Bytes  JMP 44501676 C:\WINDOWS\system32\IEFRAME.dll

---- Kernel IAT/EAT - GMER 1.0.13 ----

IAT			 \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt]			   [F776F06C] sptd.sys
IAT			 pci.sys[ntoskrnl.exe!IoDetachDevice]												  [F776F018] sptd.sys
IAT			 pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]									 [F77919AE] sptd.sys
IAT			 atapi.sys[ntoskrnl.exe!IoConnectInterrupt]											[F776F06C] sptd.sys
IAT			 atapi.sys[HAL.dll!READ_PORT_UCHAR]													[F7758AD4] sptd.sys
IAT			 atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]											[F7758C1A] sptd.sys
IAT			 atapi.sys[HAL.dll!READ_PORT_USHORT]												   [F7758B9C] sptd.sys
IAT			 atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]										   [F7759748] sptd.sys
IAT			 atapi.sys[HAL.dll!WRITE_PORT_UCHAR]												   [F775961E] sptd.sys
IAT			 \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]				   [F78B56D0] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]					[F78B5730] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]			 [F78B5950] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]			   [F78B5910] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]			  [F78B5910] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]				   [F78B5730] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]				  [F78B56D0] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]			[F78B5950] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]			  [F78B5950] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]				[F78B5910] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]					 [F78B5730] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]					[F78B56D0] inspect.sys
IAT			 \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]			   [F78B5910] inspect.sys
IAT			 \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]				   [F78B56D0] inspect.sys
IAT			 \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]					[F78B5730] inspect.sys
IAT			 \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]			 [F78B5950] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]					 [F78B56D0] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]					  [F78B5730] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]				 [F78B5910] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]			  [F78B5950] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]				[F78B5910] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]					 [F78B5730] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]					[F78B56D0] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]			   [F78B5910] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]			 [F78B5950] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]				   [F78B56D0] inspect.sys
IAT			 \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]					[F78B5730] inspect.sys

---- Devices - GMER 1.0.13 ----

Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE												  867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE												   867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_READ													867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE												   867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION									   867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION										 867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA												867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA												  867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS										   867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION								867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION								  867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL									   867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL									 867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL										  867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN												867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL											867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP												 867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY										  867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY											867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA											 867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA											   867631E8
Device		  \FileSystem\Ntfs \Ntfs IRP_MJ_PNP													 867631E8

AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE												  [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE									   [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE												   [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_READ													[B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE												   [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION									   [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION										 [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA												[B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA												  [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS										   [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION								[B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION								  [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL									   [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL									 [B8A1EF76] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL										  [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL								 [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN												[B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL											[B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP												 [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT										 [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY										  [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY											[B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_POWER												   [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL										  [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE										   [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA											 [B8A1D812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA											   [B8A1D812] aswMon2.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE												[BAF3AA6A] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE									 [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE												 [BAF3AA16] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_READ												  [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_WRITE												 [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION									 [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION									   [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA											  [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA												[BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS										 [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION							  [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION								[BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL									 [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL								   [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL										[BAF3A94A] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL							   [BAF3A85E] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN											  [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL										  [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP											   [BAF3A9B8] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT									   [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY										[BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY										  [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_POWER												 [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL										[BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE										 [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA										   [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA											 [BAF3AB12] cmdmon.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE												[F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE									 [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE												 [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_READ												  [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_WRITE												 [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION									 [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION									   [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA											  [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA												[F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS										 [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION							  [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION								[F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL									 [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL								   [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL										[F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL							   [F79722C0] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN											  [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL										  [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP											   [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT									   [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY										[F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY										  [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_POWER												 [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL										[F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE										 [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA										   [F79728E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA											 [F79728E6] aswTdi.SYS

Device		  \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CREATE										86529308
Device		  \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CLOSE										 86529308
Device		  \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_DEVICE_CONTROL								86529308
Device		  \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_INTERNAL_DEVICE_CONTROL					   86529308
Device		  \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_POWER										 86529308
Device		  \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_SYSTEM_CONTROL								86529308
Device		  \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_PNP										   86529308
Device		  \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CREATE										86529308
Device		  \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CLOSE										 86529308
Device		  \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_DEVICE_CONTROL								86529308
Device		  \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_INTERNAL_DEVICE_CONTROL					   86529308
Device		  \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_POWER										 86529308
Device		  \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_SYSTEM_CONTROL								86529308
Device		  \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_PNP										   86529308

---- EOF - GMER 1.0.13 ----


Zitat

.. aus diesem Grund.

Hast Du z.B. einen DSL Manager installiert und kannst nachvollziehen, ob bei eigener Inaktivität weiterhin Aktivitäten (Up- oder Downloads) von Deinem PC erfolgen?

Gruß
Rolf


Das T-Online zeugs will ich eigentlich nicht. Ausserdem gehe ich über den DSL Router online. Da gibt es den OnlineControl von T-online würde ich eher installieren.

Dieser Beitrag wurde von Urne bearbeitet: 20. Januar 2008 - 00:03
Änderungsgrund: Mal die Logs geboxt. Urne

0

#8 Mitglied ist offline   robusoe 

  • Gruppe: aktive Mitglieder
  • Beiträge: 155
  • Beigetreten: 12. September 07
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Hessen

geschrieben 20. Januar 2008 - 00:15

mmh,

weis i.M. auch keinen weiteren Rat.

Habe mal die Files bei ProcessLibrary grob gecheckt - nichts verdächtiges....

Auch wenn Du nicht auf T-Online stehst, wie ist eigentlich egal: - gibt es I-Net Aktivitäten ohne dass Du irgendeine Aktion ausführst?

Gruß
Rolf
Eingefügtes Bild
Powered by Windows 7
0

#9 Mitglied ist offline   joschi19820 

  • Gruppe: aktive Mitglieder
  • Beiträge: 91
  • Beigetreten: 14. Januar 08
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 20. Januar 2008 - 00:33

Nein ist mir nichts aufgefallen...komisch...ich merke nur das die festplatte bei abwesenheit sehr aktiv wird obwohl eigentlich nichts laufen dürfte ...ich habe ausserdem einen bootschutz rein gemacht der alle verbindungen von aussen blockiert wenn die firewall nicht gestartet ist. In der Sicherheitslog vom Router kann ich auch nichts entdecken zumindest nichts ausergewöhnliches. Tja ich weiss auch nicht mehr.
0

#10 Mitglied ist offline   robusoe 

  • Gruppe: aktive Mitglieder
  • Beiträge: 155
  • Beigetreten: 12. September 07
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Hessen

geschrieben 20. Januar 2008 - 00:49

Beitrag anzeigenZitat (joschi19820: 20.01.2008, 00:33)

Nein ist mir nichts aufgefallen...komisch...ich merke nur das die festplatte bei abwesenheit sehr aktiv wird obwohl eigentlich nichts laufen dürfte ...ich habe ausserdem einen bootschutz rein gemacht der alle verbindungen von aussen blockiert wenn die firewall nicht gestartet ist. In der Sicherheitslog vom Router kann ich auch nichts entdecken zumindest nichts ausergewöhnliches. Tja ich weiss auch nicht mehr.


... könnte sein....

Ich häng Dir mal einen LINK an.

http://computer.t-on...2/13598742.html

Ich hoffe zwar nicht, dass dem so ist, aber wenn, dann hat kein Virenscanner, Spybot, Hijackthis oder ähnliches eine Chance.

Dann hilft wirklich nur noch neu aufsetzen oder ein Image zurückspielen.

Gruß
Rolf

Dieser Beitrag wurde von robusoe bearbeitet: 20. Januar 2008 - 00:52

Eingefügtes Bild
Powered by Windows 7
0

#11 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 20. Januar 2008 - 10:34

Lieber joschi19820

Was sagt dein menschlicher Verstand und deine angeborene Intelligenz zu einem solchen, gar nicht so merkwürdigen Verhalten? Du hast offensichtlich deinen Verstand abgeschaltet und die Kontrolle über das System einer Software übergeben. Eine brauchbare KI wird es vermutlich erst in 100 Jahren geben. Bis dahin mußt du noch wohl oder übel mit dem bissl Schwabbelmasse unter der Schädeldecke zufrieden geben. Worüber wunderst du dich eigentlich? So schnell geht es eben mal.

Wenn ich mich richtig erinnere, hast du bei der letzten PFW-Diskussion auf dem Sicherheitsbrett dir mit großer Lippe ein paar Tüten Chips und Peanuts (Link gefällig) geholt. Ich nehme mal stark an, das du dabei versäumt hast dein System vom Internet zu trennen und es unbeaufsichtigt weiterlaufen lassen. In dieser Zeit kam ein Worm durch das Window(s) gekrochen und hat von deinem PC Besitz ergriffen. Zudem von dir der IÄ und OjE statt wie immer von uns propagiert, TB und FF mit ABP und NoScript verwendet wird. Du hast bis zum heutigen Tage Lernresistenz zur Schau getragen. Selbst MS sagt zu der Software, das sie bestens zur Replikation von Malware geeignet ist.

Mal ganz ehrlich: Wenn ich mich derart überlegen auf dem Brett geäußert hätte, würde ich mich in Grund und Boden schämen und ein paar Stunden später nicht über eine Kompromittierung zu berichten. Ich hätte wenigstens das Dings unverzüglich Platt gemacht und neu installiert und mich danach ganz still schweigend in die letzte Ecke des Internet mit :D verkrochen. So jedoch ist dein nagelneuer Server mit Eigenleben eine ernste Gefahr für alle User und nicht nur für dich. Wir können nun deine Teilnahme am genannten Thread noch nachträglich als Trollerei einorden.

Die Kompromittierung eines Systems ist unter den Bedingungen des DSL innerhalb von 20 Sekunden vollzogen. Ein auslösendes Hölzernes Pferdchen wirst du bei moderner Malware vergeblich suchen, es wurde nach der Installation und Konfiguration des Servers von der nachgeladenen Software gelöscht. Wenn du Glück hast, könntest du das Dings noch in der Systemwiederherstellung finden. Aber wie gesagt, dazu gehört Glück und der Autor der Malware hat liederlich gearbeitet.

Lieber Joschi,
die für diesen Vorgang gültige FAQ findest du unter dieser Adresse: http://faq.jors.net/virus und ich würde zukünftig die Sicherheitssoftware von http://brain.yubb.de/ verwenden. Die hat bei mir noch nie versagt.

Für alle anderen ungläubigen Anwender sogenannter Sicherheitssoftware:
Wirkt diese Lektion zur Computersicherheit wenigsten jetzt oder seid ihr noch immer Taub auf diesem Ohr?

--------------------------------------

Ich kann die Argumentation einiger User nicht verstehen. Ca. 2,5 Mio kostenlosen Vollversionen, welche zum Erstellen eines Partitionsbackup brauchbar waren, sind in deutschen Restmülltonnen verschwunden. Selbst in dieser Minute lässt sich mit ein klein wenig natürlicher Intelligenz ein brauchbares Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Tweaker, Scanner, PFWs und Removertools "En gros" verwendet.

Dieser Beitrag wurde von Hinterwäldler bearbeitet: 20. Januar 2008 - 10:46

0

#12 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.022
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 20. Januar 2008 - 10:41

Beitrag anzeigenZitat (Hinterwäldler: 20.01.2008, 10:34)

Wirkt diese Lektion zur Computersicherheit wenigsten jetzt oder seid ihr noch immer Taub auf diesem Ohr?

Lass mal die Kirche im Dorf. Noch ist nicht erwiesen das es sich überhaupt um Malware handelt. Sicher, die Möglichkeit ist vorhanden, aber ebenso gut ist es möglich das einfach Windows einen Fehler aufweist, es z.b. aufgrund eines Updates den Festplattencache neu einliest, was ja bekanntlich auch ewig dauert.
Genau das sollte man jetzt herausfinden, schon, um im Falle des Falles, eine erneute Kompromitierung verhindern zu können und die Sicherheitslücke zu schliessen.
Und glaub mir, ich setze keine extra Sicherheitssoftware ein, meine "Sicherheitssoftware" besteht zum grossen Teil sogar aus dem deinstallieren von Software, also unterlasse doch einfach solche Verallgemeinerungen :D

Hatten wir das nicht ausserdem schonmal? Man sollte nicht immer gleich vom schlimmsten ausgehen, man sollte nur die Möglichkeit in Erwägung ziehen und entsprechende Schritte einleiten, also z.b. den Rechner sicherheitshalber vom Inet trennen und mal ein Backup anlegen, um weiteren Schaden einzugrenzen, um notfalls wenigstens noch ein paar Daten retten zu können.

@TE: Hast du in der Ereignisanzeige schon mal nachgeschaut, ob da etwas zu den Aktivitäten steht?

Dieser Beitrag wurde von Samstag bearbeitet: 20. Januar 2008 - 10:46

0

#13 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 20. Januar 2008 - 10:59

Beitrag anzeigenZitat (Samstag: 20.01.2008, 10:41)

Zitat

Wirkt diese Lektion zur Computersicherheit wenigsten jetzt oder seid ihr noch immer Taub auf diesem Ohr?
Und glaub mir, ich setze keine extra Sicherheitssoftware ein, meine "Sicherheitssoftware" besteht zum grossen Teil sogar aus dem deinstallieren von Software, also unterlasse doch einfach solche Verallgemeinerungen :D

Warum hast du überreagiert? Wenn es so ist wie du schreibst, dann brauchst du dich doch nicht angesprochen fühlen? :D

Zitat

Hatten wir das nicht ausserdem schonmal? Man sollte nicht immer gleich vom schlimmsten ausgehen, man sollte nur die Möglichkeit in Erwägung ziehen und entsprechende Schritte einleiten, also z.b. den Rechner sicherheitshalber vom Inet trennen und mal ein Backup anlegen, um weiteren Schaden einzugrenzen, um notfalls wenigstens noch ein paar Daten retten zu können.

Das Restore eines Images einer Startpartition dauert bei mir 10 Minuten. Damit wird jede Diskussion auf dem Brett überflüssig. Wenn jeder Anwender verantwortungsbewusst handeln würde, bräuchten wir uns über derartige merkwürdige Fehler, in welchem eine Malware auf einem PC im Stanbymodus versucht, eine Verbindung zum Internet während der Nachtzeit herzustellen, nicht im geringsten erwähnen.

------------------------------

Nur Feiglinge sichern ihre Startpartition in einem Image. Wahre Helden von heute stellen sich der Herausforderung und benutzen Tweaker, PFWs, Scanner und Removertools. Sie waren bis gestern damit noch sehr zufrieden.
Ich bin ein Feigling.

0

#14 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.022
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 20. Januar 2008 - 11:09

Beitrag anzeigenZitat (Hinterwäldler: 20.01.2008, 10:59)

Warum hast du überreagiert?

Weil du angreifend und verallgemeinernd schreibst? Weil du anscheinend nicht wahrhaben willst das deine tollen Weisheiten nicht die absolute Wahrheit darstellen, sondern es auch noch andere Möglichkeiten gibt? Weil du einfach alle Leute über einen Kamm zu scheren versuchst, obwohl das gar nicht möglich ist?

Zitat

Das Restore eines Images einer Startpartition dauert bei mir 10 Minuten. Damit wird jede Diskussion auf dem Brett überflüssig.

Na, offenbar nicht. Ich wiederhole mich: Was bringt es mir, wenn ich mein Backup innert 10 Minuten neu einspielen kann, wenn ich nicht weiss wo die Sicherheitslücke ist?
Du schreibst ja selbst:

Zitat

Die Kompromittierung eines Systems ist unter den Bedingungen des DSL innerhalb von 20 Sekunden vollzogen.

Soll das jetzt heissen ich kann meinen Rechner hochfahren, 20 Sekunden dran rumspielen, dann den Rechner vom Netz trennen, 10 Minuten zum Backup einspielen, hochfahren, 20 Sekunden usw.?
Das kann doch nicht wirklich dein Ernst sein, oder? Bevor ich mein System plattmache trenn ich den Rechner vom Inet, lege mir ein Backup vom Ist-Zustand an und finde dann heraus wo der Fehler herkam. Kam er wirklich von Malware überprüft man erstmal wie diese auf das System gekommen ist, ansonsten hat man nämlich tatsächlich immer nur besagte 20 Sekunden bis er erneut kompromittiert ist und man sein Backup einspielen kann.
Hey, ich hab nichts gegen deine Tipps, im grossen und ganzen hast du ja recht. Du solltest sie vielleicht nur noch etwas weiter ausbauen :D
0

#15 Mitglied ist offline   joschi19820 

  • Gruppe: aktive Mitglieder
  • Beiträge: 91
  • Beigetreten: 14. Januar 08
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 20. Januar 2008 - 11:21

Also ich hatte ja meinen PC heruntergefahren und nicht in den Standby versetzt. Dasd nochmal dazu. Ausserdem ´tu ich sehr viel für die Sicherheit und bitte leute mit dem Post "Brain" sollten sich ein eigenes Forum eröffnen. Wie auch immer ich kann mir das nicht erklären. Alle Prüfmethoden führten mir zur keiner Aussage. Ich werde das ganze mal beobachten.
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0