Rechner gekidnappt?

[Haremhab 10]

hallo habe gestern abend eine merkwürdige geschichte erlebt, eine sehr ärgerliche sogar.

 

kurz zu meinem sys habe winxp prof + sp1 + alle kritische patches bis jan/2005. es ist keine firewall installiert, jedoch alle ports geschlossen (regelmäßig mit portscaner gecheckt).

da es kein netzwerkrechner ist, habe ich im netzwerk nur den TCP/IP protokoll installiert (netbios ist deaktiviert).

 

 

ich habe im eventmanager ein paar fehlermeldungen beim jeden start, es sind zwei insgesamt, mit den nummern 2002 und 2004.

ich habe dann gelesen, man solle mit dem tool EXCTRLST.EXE, die performance counters

deaktivieren möge, dann würde sich das problem legen, so die habe ich dann deaktviert. wozu sind die eigentlich gut? und ist es ratsam zu deaktivieren?

 

und plötzlich kam eine meldung wie Das System wird heruntergefahren. Das Herunterfahren wurde ausgelöst

von NT-Autorität/System ausgelöst.

 

Der Systemprozess C:\WINNT\System32\lsass.exe" wurde unerwartet mit

dem Statuscode 1073741819 beendet.

Das System wird heruntergefahren und neu gestartet. :shock:

Auf jeden fall LSASS.EXE.

 

 

der rechner fuhr runter, dann hoch und plötzlich hatte ich eine menge spyware und trojaner auf meinem rechner. ihr hättet meinen prozess-manager sehen sollen, es wimmelte nur von kleinen .exes. :shock: :(

 

ich dachte ich kriege die krise. :mad:

 

kann mir mal einer von euch erklären, wie das passiern konnte, ich bin immer noch am entfernen einiger hartnäckiger ad-ware! :mad: ich habe auch von diesem hijacking gehört, bin ich den opfer einen solchen hi-jackings geworden? zu dem zeitpunkt hatte ich aber den internetexplorer gar nicht benutzt, den benutze ich sowieso (fast)gar nicht!

[Haraldino 10]

Der Systemprozess C:\WINNT\System32\lsass.exe" wurde unerwartet mit

dem Statuscode 1073741819 beendet.

 

das sagt MS dazu:

 

http://support.microsoft.com/?scid=kb;de;300038&spid=1131&sid=global

 

und hier noch eine Beschreibung zum Sasser-Wurm

 

http://www.bsi.bund.de/av/vb/sasser.htm

 

mfg Haraldino

[Haremhab 10]

ichb habe aber windows xp + sp1 und kein windows 2000.

[Haraldino 10]

Hi Haremhab,

 

wie sieht es denn mit einem Virusscanner aus??

 

wenn nicht, dann lade Dir mal die Stinger.exe herunter und führe sie aus.

http://translate.google.com/translate?hl=de&sl=en&u=http://vil.nai.com/vil/stinger/&prev=/search%3Fq%3Dstinger.exe%26hl%3Dde%26lr%3D

 

mfg Haraldino

[Haremhab 10]

habe gdata antivrienkit2004,MicrosoftAntiSpyware.exe,stinger.exe, spybot-search&destroy und ad-aware 6.0 mit diesen tools habe ich denn größten dreck von der platte geräumt, obwohl es gibt noch einen der sich hartnäckig wieder in die reg hineinschreibt (ad-ware).

 

für mich stellt sich viel mehr die frage, wie konnte es soweit kommen, in anbetracht der obigen fakten?

[saracs 10]

es ist keine firewall installiert, jedoch alle ports geschlossen (regelmäßig mit portscaner gecheckt).

 

no risk no fun oder was? :D :rolleyes: mich würde mal interessieren wie du deine ports alle geschlossen hast ohne firewall und dann auch noch surfen kannst :suspect:

 

für mich stellt sich viel mehr die frage, wie konnte es soweit kommen, in anbetracht der obigen fakten?

 

ist die frage ernst gemeint? keine firewall = kein schutz, egal was du für sonstige antiviren/trjaner/adware progs am laufen hast. die dinger sind nicht 100% sicher, irgendwas kommt immer durch ;)

 

kauf dir eine vernünftige hardware firewall, oder zumindest eine software. irgendwas hauptsache firewall!

 

gruss saracs

 

ps: service pack 2 solltest du dir bei gelegenheit vllt auch mal installieren ;)

[Haremhab 10]

no risk no fun oder was? :D :rolleyes: mich würde mal interessieren wie du deine ports alle geschlossen hast ohne firewall und dann auch noch surfen kannst :suspect:

 

 

 

ist die frage ernst gemeint? keine firewall = kein schutz, egal was du für sonstige antiviren/trjaner/adware progs am laufen hast. die dinger sind nicht 100% sicher, irgendwas kommt immer durch ;)

 

kauf dir eine vernünftige hardware firewall, oder zumindest eine software. irgendwas hauptsache firewall!

 

gruss saracs

 

ps: service pack 2 solltest du dir bei gelegenheit vllt auch mal installieren ;)

 

nun laut dem port-scanner (alles war aus, netbios etc.) auf jeden fall waren alle tcp-ports dicht, da ich meinen rechner regelmäßig nach trojanern/viren scanne, kann es von dieser seite keine gefahr geben (es gab sie auf meinem rechner nicht!). wie konnte sich demnach soviel spyware/trojaner/viren denn plötzlich auf meinem rechner einnisten? auch hatte ich die meisten patches für winxp+sp1 drauf, auch gegen sasser und co. wirklich sehr merkwürdig und alles begann mit diesem Lsass-prozess, und dem runterfahren des rechners. :suspect:

[schotte 10]

hallo,

werte dein system mal mit hijackthis aus.

http://www.hijackthis.de

den inhalt der log datei kannst du auch auf der seite auswerten.

des weiteren kann ich nur adwareaway und xpclean5.6 empfehlen.

und dann solltest du dir auch mal das durchlesen http://oschad.de/wiki/index.php/Kompromittierung

 

mfg schotte

[Haremhab 10]

ich habe das bereits ausgewertet, schau mal:

 

http://www.hijackthis.de/logfiles/0750ea25fc105490ec2e04c6c82d674a.html

 

nur ich kann sie nicht löschen, dieses O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - D:\WINDOWS\EliteToolBar\EliteToolBar.dll

 

und

O4 - HKLM\..\Run: [kalvsys] D:\windows\system32\kalvmlj32.exe

 

das erste ist bereist nach einem rboot wieder auf meinem rechner

 

und das zweite (kalvsys) ist nach ca. 10 sekunden nach dem löschen mit einem eintrag in der reg wieder auf meinem rechner.

:shock:

 

also ich habe es schon mit Ms antispywaretool versucht, wie auch spybot serach&destroy nix hilft um dies einträge dauerhaft zu enfernen, alles ist nach einem reboot wieder da!

[spielernr4 10]

überprüfe doch mal deine iexplore Add-Ons, vielleicht kannst du da diese komische toolbar ausschalten. oder schalte die browsererweiterungen von drittanbietern in den internetoptionen aus.

[Haremhab 10]

iexplore Add-Ons>wo ist das genau?

die browsererweiterungen von drittanbietern in den internetoptionen ausschalten> habe ich bereits gemacht!

[schotte 10]

hallo,

mache mal bitte was ich dir gepostet habe.

 

mfg

schotte

[Haremhab 10]

habe ich gemacht, siehe

http://www.hijackthis.de/logfiles/0750ea25fc105490ec2e04c6c82d674a.html

 

da wurden zwei extreme gefunden, leider lassen die sich nicht deaktiviren, nach einem rebotot sind die wieder da.

 

wo kann ich xpclean und adwareaway erhalten, möglichst aktuelle versionen?

[schotte 10]

hallo,

hijackthis mal im abgesicherten modu fixen lassen.

 

Download der anderen programme

http://www.xpclean.de

http://www.adwareaway.com

ein bischen mehr fantasie :D

 

mfg

schotte

[Gast freak]

hmmm mal ne frage? was bringt ne hardware firewall gegen spyware? man kann da ja nur rulez von trusted, dmz und internet definieren, sowie ports sperren und zulassen. Da aber ein gescheites tool ja port 80 benützt ist dies für die katze. oder nicht?