Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

[win2k] Trojaner eingefangen? Administrator-Password wird ständig geändert!

Frage Sicherheit Viren und Trojaner

Mitglied: grotti74

grotti74 (Level 1) - Jetzt verbinden

06.03.2006, aktualisiert 07.04.2006, 7787 Aufrufe, 12 Kommentare

Nerviges Problem! Zeitweise wird ständig das Administrator-Password geändert! OS = Win2K Prof., Home-PC, mit Breitband-Internetanschluß.

Jo, ich hoffe irgendeiner von euch kann mir da helfen. Brauche den Rechner eben auch beruflich und deswegen kann ich mir 3-Tages-Installieraktionen im Moment nicht leisten.

Zur Organisation: habe ZWEI Windows 2000 Prof., d. h. ich habe zwei C:\ Partitionen auf verschiedenen Festplatten, so dass ich ins "alte" Win2K (IDE-Platte) und ins "neue" Win2K (SATA-Platte) booten kann; was mir im Moment mehr als nur nützlich ist, da ich in der Lage bin, mein Admin-Passwort aus der neuen Installation zu löschen wenn es wieder diese mir unbekannte Malware (??) geändert hat.

Übliche Verdächtige natürlich schon bemüht: ad-aware, hijackthis, rootkit detector etc. - fanden NICHTS.

Habe auch das Adminpassword mit einer Horde von Sonderzeichen (! & % ^ $) gespickt, es war leider trotzdem wieder irgendwann geändert. (hatte es mir sogar auf einen Zettel geschrieben, um sicherzugehen, dass ich es nicht vergesse.

Ich tippe auf - MALWARE. Malware, die so raffiniert im System verankert sein muss, dass sie an die \winnt\system32\config\SAM herankommt. Das muss ihr erstmal einer nachmachen.

Wenn ich wüsste nach WAS ich suchen / googlen könnte, wäre ich u. U. schon weiter.
Hat noch jemand das Problem [gehabt]?

TIA
-grotti
Mitglied: 16568
06.03.2006 um 11:30 Uhr
Wenn Du die bisher üblichen Verdächtigen durch hast, würde ich, als "Böser" ein Rootkit probieren (rootkit detector is ned wirklich gut, ich schick Dir dafür gerne mal was zum Testen... .

Dazu ist aber unter w2k die Suche in der Registry mit regedt32.exe nötig.
Der normale Registry-Editor zeigt da im Autostart nix an.

Gibt von Sysinternals da ein Prog, um den Rechner daraufhin mal zu testen.


Ansonsten würde ich Dir empfehlen:

- zweites Userkonto mit Admin-Recht erstellen
- eScan runterladen
- sich als 2. Admin anmelden
- eScan suchen lassen

wenn der dann auch nix findet...

Hm, dann würde ich salopp sagen:

- entweder Pech
- oder Du hast ein Prob mit Deinem Dateisystem
- andere Möglichkeit, die ich aber hoffentlich ausschließen kann: Du hast auf Deiner SATA-Platte Zeugs rumgimmeln



Lonesome Walker
Bitte warten ..
Mitglied: BumperMan
06.03.2006 um 11:50 Uhr
liegt vlt ein fehler mit deinem dateisystem vor? befindet sich die sam datei nicht am ende oder am anfang des datenträgers und hier liegt vlt. ein fehler, das die datei nicht korrekt oder dauerhaft gespeichert werden kann?
Bitte warten ..
Mitglied: grotti74
07.03.2006 um 02:22 Uhr
Danke erstmal an alle soweit.
a² hab ich jetzt drauf, der fand allerdings auf meiner IDE-Platte mehr als auf der SATA ;)

Dieses Rootkit-Tool wär es vielleicht.
Ich hab RootkitREVEALER, das meinst du wohl, konnte mir nur den komplizierten Namen nicht merken, dann hab ich ihn "... detector" getauft

HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
Das dürfte der Daemon Tools sein, der per Rootkit arbeitet, damit er low-level auf die CD kommt. Das kann man ihm nicht verübeln.
Bitte warten ..
Mitglied: grotti74
07.03.2006 um 02:25 Uhr
Äh..Dateisystemfehler? Vor der Trojaner-Attacke ging doch immer alles, und ich kam auch mit dem PW bei mir rein.
Natürlich ist die SAM jetzt auf der SATA-Platte woanders, da ich sie ja indirekt von der IDE aus gelöscht hatte, um wieder in mein Windows zu kommen ;)
Bitte warten ..
Mitglied: gnarff
07.03.2006 um 02:56 Uhr
tja, das hoert sich fuer mich an als ob du das system auf die platte gebracht hast und munter mit deinem admin - konto ins internet gegangen bist. dann habe ich aditional den eindruck dass du deine downloads und sonstigen daten munter auf der selben partition speicherst - das ist straeflicher leichtsinn.
wenn dein admin-pass andauernd zurueckgesetzt wird kannst du davon ausgehen dass du die kontrolle verloren hast und es ist wenig anzuraten diesen rechner noch weiter einzusetzen, besonders dann nicht wenn du ihn in der firma oder fuer deine arbeit benutzen willst.
wenn du nicht mit absoluter sicherheit den "uebeltaeter" lokalisieren kannst bzw. seinen namen ermitteln kannst sind ominoese saeuberungsaktionen als zu unsicher zu bewerten und werden dich im nachhinein mehr als nur die "3-tagesinstallieraktion" kosten.
daher mein rat: beiss in den sauren apfel, backup alles was du kannst oder musst und setz das system neu auf. wenn du die platten neu formatierst machs nicht mit windows-bordmitteln, sondern benutze die festplattentools des festplattenherstellersherstellers.
(>nur fuer den fall das es kein prob mit SAM ist)
Bitte warten ..
Mitglied: grotti74
07.03.2006 um 10:31 Uhr
Devicehersteller?!! Low-Level-Format also willst du von mir? Nein danke, dann nehme ich so ein Secure-Erase-Tool, weil LLF dauert ne Ewigkeit bei so großen Platten.

*WAS* vielleicht ne Idee wär, ist, meinen Rechner mal zu monitorn - gibt's da ein Tool das mir zumindest während der Geschäftszeiten ( = Abwesenheit) per Logfile mitteilt, wenn da jemand remote auf dem Rechner am Werkeln ist?

sozusagen [15:31 - remote logon from 99.88.77.55 detected ]

Dann sollte es ja eine Möglichkeit sein, auf den Trichter zu kommen, was da los ist.

Zum Thema Partition: FALSCH geraten. Der ganze System-Kram auf C:, Tools STETS auf D:, alles andere auf den übrigen Partitionen. Bin kein DAU der _eine_ C:\ Partition mit 150 GB hat und sonst nichts.

Apropos "Kontrolle verloren": nun wenn ich ein ultrakompliziertes Admin-Password verwende mit o. g. Sonderzeichen, wird der Angreifer schon einmal mit Crack-Tools nichts ausrichten können, selbst nicht auf einer 3.5 GHz Dual-CPU Maschine mit 2 gig RAM
Bitte warten ..
Mitglied: 16568
07.03.2006 um 10:50 Uhr
^^ nimm ma gnarff's Aussage ned so ernst...

Monitoring-Tools gibbet zuhauf.
Aber eigentlich wird auch von Windows mitprotokolliert, wer sich wann wo und wie angemeldet hat. (oder irre ich mich da???)



Gruß

Lonesome Walker
PS: Wenn Du wirklich wissen willst, was mit Deiner Kiste los ist, PN me, dann guck ich mal von außen, was man da so alles machen kann. Hat mich irgendwie neugierig gemacht
Bitte warten ..
Mitglied: gnarff
07.03.2006 um 23:04 Uhr
@lonesome @grotti74 -ich habe es nur unter dem aspekt der daten- und betriebssicherheit betrachtet. wenn ein kunde mich beauftragt dieses prob zu loesen und ich kann es nicht mit 100% sicherheit, weil zb. eine malware sich so geschickt auf dem system verankert hat, dass man sie nicht restlos entfernen kann, dann setze ich alles neu auf.
es ist ja so, dass du exakt bestimmen musst was dir da auf die platte gekommen ist.
das mit der 150 gb partition hoert sich schick an, schoen zu hoeren dass du nicht alles auf eine geschmissen hast.
wir haben hier allerdings mittelstaendische firmenkunden, deren admins machen das so..man weiss ja nie...man muss immer vom schlimmsten ausgehen..nur der paranoide siegt! ;)
Bitte warten ..
Mitglied: grotti74
24.03.2006 um 13:42 Uhr
gnarff: ja, das hab ich auch schon erlebt mit den 1-Partitionen-"Admins". Möchte ja nicht allzu frech werden, somit nur andeutungsweise: vor paar Jahren noch schraubend unter Kfz gelegen, dann Umschulung auf "IT-Experte" usw. ;)

propp: muß ich leider verneinen.
Ich Depp sitz jetzt auch schon wieder in der Firma und hab vergessen, heute morgen @home den Online-Kaspersky anzuschmeißen, der findet da z. T. Dinge auf der Mühle... ;)
Werde das mal Montagmorgen machen, dann den Tag durchlaufen lassen und abends nach der Arbeit berichte ich mal, was er da alles gefunden hat
Bitte warten ..
Mitglied: gnarff
25.03.2006 um 19:55 Uhr
nein, grotti, die haben das hier 5 jahre studiert, manche von denen sogar in der usa, haben ein schickes uni-diplom...

saludos
gnarff
Bitte warten ..
Mitglied: grotti74
07.04.2006 um 10:44 Uhr
okay gnarff, hätte noch schreiben sollen "ein großteil derer ... "
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 7
gelöst Windows Administrator-Konto wieder aktivieren (13)

Frage von Fenris14 zum Thema Windows 7 ...

Windows Userverwaltung
gelöst Lokalen Administrator über das Netzwerk verteilen (7)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Viren und Trojaner
Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung

Link von VGem-e zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...