Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Virus löscht ntoskrnl.exe und verlangsamt das System

Mitglied: sfera-haiza

sfera-haiza (Level 1) - Jetzt verbinden

25.10.2007, aktualisiert 18.10.2012, 9122 Aufrufe, 15 Kommentare

Undzwar hatte ich ein screenshot Tool angeklickt und zack schon hatte ich das Desaster. NOD32 schaltete sich ab und Symatic beendete sich auch.
Von nunan as System langam.
Es wurden alle NOD32 dateien gelöscht. Ich scannte von einem zweitem PC aus mit NOD32 den Programme Ordner und den Windows Ordner doch der zeigte nix an nur ein Par dateien die er nicht scannen konnte da sie verwendet wurden.
Dann packte ich mir den Ordner von NOD32 auf den betroffenen PC und die Exe Dateien wurden sofort gelöscht. Als ich sie umbenannte konnte ich sie draufpacken und z.T. ausführen aber nur z.B. da Programmteile nicht gefunden wurde ( warscheinlich durch die falschen namen). Habe ich die Dateien mit dem Attribut versehen "Verschlüsselt" konnte ich die Datei in den Originalnamen umwandeln doch das normale Programmsymbol verschwand und es kam das einer DOS Anwendung. Als ich NOD startete zeigte er an, dass die Datei möglicherweise von einem Virus befalen wurde konnte aber nix machen.

Dann wollte ich gerade hier den Bericht schreiben und zack war der PC aus, bzw. ich sah nurnoch das Hintergrundbild.

(Hinweis meine OS ist Windows Server 2003 umdie es geht)
Ok, neu gebootet bzw versucht, denn sobald ich Win zu starten kam der Fhler:
Windows kann nicht gestartet werden , da die folgende Datei fehlt oder beschädigt ist:
<Windows root > \system32\ntoskrnl.exe

Ok, ich startete als mit Winternals Admin Pack um zu schauen was da ist und was nicht. ntoskrnl fehlte komplett.
Ok ich holte sie mir von einem Zweitpc und legte sie drauf und starte Win neu und es klappte (klappt gerade noch).
Jetzt hatte ich den Verdacht auf Funlove aber der soll ja wohl garnicht die ntoskrnl.exe löschen.

Welcher kanns noch sein?
Mitglied: Gagarin
25.10.2007 um 16:56 Uhr
Ich wuerde dir mal raten mit einer bootbaren Linuxversion (Knoppix) zustarten und damit einen Virenscan durchzufuehren.
Bitte warten ..
Mitglied: sfera-haiza
25.10.2007 um 17:03 Uhr
Ich habe SuSE Linux 10.2 nebenher installiert drauf.

Ich brauche dahingehend Antworten , dass ich einen Remover brauche. Um welchen kann es sich handeln?

Der Aktuelle und auch geupdatete NOD32 von einem anderen PC aus hatte keine Viren gefunden, dass ist ja das komische.

Die Speicherauslastung liegt bei 1,52GB, das System ist lahm wie eine Ente. Dann war eben wieder die ntoskrnl.exe gelöscht worden vom Virus.
Bitte warten ..
Mitglied: Gagarin
25.10.2007 um 17:13 Uhr
Okay nochmal,

auch wenn du Linux drauf haben solltest. Du bist der Meinung das dein System komprimitiert ist. Also gehst du von einem System welches definitiv infiziert ist auf die Jagd. Das ist bei Knoppix der Fall. Wenn du dir die Knoppix CD oder ein andere Derivat erstellst laedst du dir vorher natuerlich die neusten Definitionen runter.

Damit Scannst du dann dein System und hoffst (!) das eine der AV Awendung die auf der CD sind auch es schafft die Malware zu beseitigen.

Ansonsten holst du deine Datensicherung raus und installierst den Server neu. Das ist meistens die einfachere Methode.
Bitte warten ..
Mitglied: sfera-haiza
25.10.2007 um 17:48 Uhr
Ok ich versuche es mit dem Knoppix, ist die Version: KNOPPIX_V5.1.1DVD-2007-01-04-DE.iso tatsächlich die neuste?
Bitte warten ..
Mitglied: Gagarin
25.10.2007 um 18:37 Uhr
Die Definitionsdateien der AV Software muss aktuell sein, nicht die Knoppix version.

Informiere dich auf der Knoppixseite oder bei Googel ob es nicht auch fuer Virensuche optimierte Knoppix Geschichten gibt. Ich weiss das C't sowas rausgebracht hatte.
Bitte warten ..
Mitglied: thekingofqueens
25.10.2007 um 19:54 Uhr
Also gehst du von einem
System welches definitiv infiziert ist auf
die Jagd.

Da fehlt doch definitiv ein Wort?

Informiere dich auf der Knoppixseite oder bei Googel ob es nicht auch fuer Virensuche optimierte
Knoppix Geschichten gibt. Ich weiss das C't sowas rausgebracht hatte.

Und das System das du suchst heisst Knoppicillin.
Bitte warten ..
Mitglied: Gagarin
25.10.2007 um 20:21 Uhr
@thekingofqueens

Ja du hast recht! Es tut mir ja leid. Mea Culpa. Aber recht habe ich trotzdem.
Bitte warten ..
Mitglied: sfera-haiza
25.10.2007 um 20:23 Uhr
Also lade ich gerade mit meiner DVD die falsche Version?

Ich habe das System gerade laufen im Diagnosesystemstartmodus laufen also nur die wichtigsten Dienste am laufen.
Ich habe dem Kernel ein Paar andere Atribute gegeben, bisweilen bleibt sie auf der Platte.
Bitte warten ..
Mitglied: gnarff
26.10.2007 um 01:14 Uhr
Hallo sh,
welcome back!

Wie heißt das Screenshot Tool bzw. die Datei über die Du Deine Windows 2003 Workstation mal wieder infizieren durftest?

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
26.10.2007 um 01:57 Uhr
K.a. welche es genau war ich googelte einfach nach "screenshot tool freeware download".

So nun bleibts System stabil nur irgentwie muss noch was drauf sein welches die Installation von Anti Viren Programmen verhindert , denn wenn ich die Files aufspiele werden sie gelöscht.

Kann man herausbekommen welche Instanz das macht? Mus doch eigendlich auch nen Dienst sein der läuft der normal nicht laufen dürfte.. Ein Virus wurde von einem Onlinescanner gefunden und entfernt: W32/bagle.KMworm der saß in der Win\exefld\

Nur wie witer bin ich am überlegen das Koppix von CT habe ich geladen und teste es mal morgen.
Bitte warten ..
Mitglied: gnarff
26.10.2007 um 03:20 Uhr
Der W32/Bagle.KM auch bekannt unter den Namen
Email-Worm.Win32.Bagle.fy (Kaspersky), W32/Bagle.fb@MM (McAfee), W32.Beagle.FF@mm (Symantec), Worm/Bagle.GK (Avira), W32/Mitglieder.TL (F-Prot), W32/Bagle-KM (Sophos), Worm:Win32/Bagle.EG@mm (Microsoft)

laedt einen Trojaner mit Rootkit-Funktionen nach, den TROJ_ROOTKIT.FN auch bekannt unter den Namen
NTRootKit-W (McAfee), Trojan.Rootserv (Symantec), RKit/Bagle.GL (Avira), W32/Rootkit.CN (F-Prot), W32/Bagle-KN (Sophos), VirTool:Win32/Rootkit.B (Microsoft)

Letztgenannten deshabilitierst Du zuerst, danach kannst du die Bagle-Reste aufkehren.

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
28.10.2007 um 12:51 Uhr
Ich hatte es nicht in den Griff bekommen ich installierte neu.
Bitte warten ..
Mitglied: thekingofqueens
28.10.2007 um 13:19 Uhr
Ich hatte es nicht in den Griff bekommen ich
installierte neu.

Bei Virenbefall eh die beste Lösung.
Bitte warten ..
Mitglied: gnarff
28.10.2007, aktualisiert 18.10.2012
Ich hatte es nicht in den Griff bekommen ich installierte neu.

Das hatten wir ja schon mal:
So das Ende vom Lied: Es half nur Neuinstallation
Der Virus wurde nicht entdeckt.
https://www.administrator.de/forum/komischer-virus-oder-wurm-67798.html# ...

Du wirst einzusehen haben, dass 2003 Server nicht dazu taugt als Workstation eingesetzt zu werden...

saludos
gnarff
Bitte warten ..
Mitglied: sfera-haiza
28.10.2007 um 17:48 Uhr
Doch wird weiterhin als solches eingesetzt.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner

Wie löscht man Startzentrale.de Startseite-Virus?

gelöst Frage von BrevikViren und Trojaner5 Kommentare

Hallo Leute! Bestimmt könnt Ihr mir mit meinem PC-Problem helfen. Also, wenn ich ins Internet gehe und meinen Browser ...

Erkennung und -Abwehr

Cerber Virus im System - Welche Schritte zuerst?

Frage von heisenberg4Erkennung und -Abwehr7 Kommentare

Hallo, in unserem Firmennetzwerk befindet sich seit heute früh ein Virus. Auf den Laufwerken wo jeder drauf kann, sind ...

Linux

Webdav verlangsamt backup

gelöst Frage von markus-soLinux6 Kommentare

Hallo! Ich habe meine ersten Schritte mit webdav aus einem Raspberry Pi probiert und bin hier auf ein Problem ...

Windows Server

Ntoskrnl.exe Fehlermeldung virtueller Server

gelöst Frage von markaurelWindows Server3 Kommentare

Hallo zusammen und bitte um eure Hilfe! Gestern hat sich mein Server "verabschiedet". Ich hab einen Windows 2003 Standard ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner2 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 1 TagRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1022 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
Frage von Marcel1989Datenbanken17 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte16 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...