Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

[win2k] Trojaner eingefangen? Administrator-Password wird ständig geändert!

Frage Sicherheit Viren und Trojaner

Mitglied: grotti74

grotti74 (Level 1) - Jetzt verbinden

06.03.2006, aktualisiert 07.04.2006, 7837 Aufrufe, 12 Kommentare

Nerviges Problem! Zeitweise wird ständig das Administrator-Password geändert! OS = Win2K Prof., Home-PC, mit Breitband-Internetanschluß.

Jo, ich hoffe irgendeiner von euch kann mir da helfen. Brauche den Rechner eben auch beruflich und deswegen kann ich mir 3-Tages-Installieraktionen im Moment nicht leisten.

Zur Organisation: habe ZWEI Windows 2000 Prof., d. h. ich habe zwei C:\ Partitionen auf verschiedenen Festplatten, so dass ich ins "alte" Win2K (IDE-Platte) und ins "neue" Win2K (SATA-Platte) booten kann; was mir im Moment mehr als nur nützlich ist, da ich in der Lage bin, mein Admin-Passwort aus der neuen Installation zu löschen wenn es wieder diese mir unbekannte Malware (??) geändert hat.

Übliche Verdächtige natürlich schon bemüht: ad-aware, hijackthis, rootkit detector etc. - fanden NICHTS.

Habe auch das Adminpassword mit einer Horde von Sonderzeichen (! & % ^ $) gespickt, es war leider trotzdem wieder irgendwann geändert. (hatte es mir sogar auf einen Zettel geschrieben, um sicherzugehen, dass ich es nicht vergesse.

Ich tippe auf - MALWARE. Malware, die so raffiniert im System verankert sein muss, dass sie an die \winnt\system32\config\SAM herankommt. Das muss ihr erstmal einer nachmachen.

Wenn ich wüsste nach WAS ich suchen / googlen könnte, wäre ich u. U. schon weiter.
Hat noch jemand das Problem [gehabt]?

TIA
-grotti
Mitglied: 16568
06.03.2006 um 11:30 Uhr
Wenn Du die bisher üblichen Verdächtigen durch hast, würde ich, als "Böser" ein Rootkit probieren (rootkit detector is ned wirklich gut, ich schick Dir dafür gerne mal was zum Testen... .

Dazu ist aber unter w2k die Suche in der Registry mit regedt32.exe nötig.
Der normale Registry-Editor zeigt da im Autostart nix an.

Gibt von Sysinternals da ein Prog, um den Rechner daraufhin mal zu testen.


Ansonsten würde ich Dir empfehlen:

- zweites Userkonto mit Admin-Recht erstellen
- eScan runterladen
- sich als 2. Admin anmelden
- eScan suchen lassen

wenn der dann auch nix findet...

Hm, dann würde ich salopp sagen:

- entweder Pech
- oder Du hast ein Prob mit Deinem Dateisystem
- andere Möglichkeit, die ich aber hoffentlich ausschließen kann: Du hast auf Deiner SATA-Platte Zeugs rumgimmeln



Lonesome Walker
Bitte warten ..
Mitglied: BumperMan
06.03.2006 um 11:50 Uhr
liegt vlt ein fehler mit deinem dateisystem vor? befindet sich die sam datei nicht am ende oder am anfang des datenträgers und hier liegt vlt. ein fehler, das die datei nicht korrekt oder dauerhaft gespeichert werden kann?
Bitte warten ..
Mitglied: grotti74
07.03.2006 um 02:22 Uhr
Danke erstmal an alle soweit.
a² hab ich jetzt drauf, der fand allerdings auf meiner IDE-Platte mehr als auf der SATA ;)

Dieses Rootkit-Tool wär es vielleicht.
Ich hab RootkitREVEALER, das meinst du wohl, konnte mir nur den komplizierten Namen nicht merken, dann hab ich ihn "... detector" getauft

HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
Das dürfte der Daemon Tools sein, der per Rootkit arbeitet, damit er low-level auf die CD kommt. Das kann man ihm nicht verübeln.
Bitte warten ..
Mitglied: grotti74
07.03.2006 um 02:25 Uhr
Äh..Dateisystemfehler? Vor der Trojaner-Attacke ging doch immer alles, und ich kam auch mit dem PW bei mir rein.
Natürlich ist die SAM jetzt auf der SATA-Platte woanders, da ich sie ja indirekt von der IDE aus gelöscht hatte, um wieder in mein Windows zu kommen ;)
Bitte warten ..
Mitglied: gnarff
07.03.2006 um 02:56 Uhr
tja, das hoert sich fuer mich an als ob du das system auf die platte gebracht hast und munter mit deinem admin - konto ins internet gegangen bist. dann habe ich aditional den eindruck dass du deine downloads und sonstigen daten munter auf der selben partition speicherst - das ist straeflicher leichtsinn.
wenn dein admin-pass andauernd zurueckgesetzt wird kannst du davon ausgehen dass du die kontrolle verloren hast und es ist wenig anzuraten diesen rechner noch weiter einzusetzen, besonders dann nicht wenn du ihn in der firma oder fuer deine arbeit benutzen willst.
wenn du nicht mit absoluter sicherheit den "uebeltaeter" lokalisieren kannst bzw. seinen namen ermitteln kannst sind ominoese saeuberungsaktionen als zu unsicher zu bewerten und werden dich im nachhinein mehr als nur die "3-tagesinstallieraktion" kosten.
daher mein rat: beiss in den sauren apfel, backup alles was du kannst oder musst und setz das system neu auf. wenn du die platten neu formatierst machs nicht mit windows-bordmitteln, sondern benutze die festplattentools des festplattenherstellersherstellers.
(>nur fuer den fall das es kein prob mit SAM ist)
Bitte warten ..
Mitglied: grotti74
07.03.2006 um 10:31 Uhr
Devicehersteller?!! Low-Level-Format also willst du von mir? Nein danke, dann nehme ich so ein Secure-Erase-Tool, weil LLF dauert ne Ewigkeit bei so großen Platten.

*WAS* vielleicht ne Idee wär, ist, meinen Rechner mal zu monitorn - gibt's da ein Tool das mir zumindest während der Geschäftszeiten ( = Abwesenheit) per Logfile mitteilt, wenn da jemand remote auf dem Rechner am Werkeln ist?

sozusagen [15:31 - remote logon from 99.88.77.55 detected ]

Dann sollte es ja eine Möglichkeit sein, auf den Trichter zu kommen, was da los ist.

Zum Thema Partition: FALSCH geraten. Der ganze System-Kram auf C:, Tools STETS auf D:, alles andere auf den übrigen Partitionen. Bin kein DAU der _eine_ C:\ Partition mit 150 GB hat und sonst nichts.

Apropos "Kontrolle verloren": nun wenn ich ein ultrakompliziertes Admin-Password verwende mit o. g. Sonderzeichen, wird der Angreifer schon einmal mit Crack-Tools nichts ausrichten können, selbst nicht auf einer 3.5 GHz Dual-CPU Maschine mit 2 gig RAM
Bitte warten ..
Mitglied: 16568
07.03.2006 um 10:50 Uhr
^^ nimm ma gnarff's Aussage ned so ernst...

Monitoring-Tools gibbet zuhauf.
Aber eigentlich wird auch von Windows mitprotokolliert, wer sich wann wo und wie angemeldet hat. (oder irre ich mich da???)



Gruß

Lonesome Walker
PS: Wenn Du wirklich wissen willst, was mit Deiner Kiste los ist, PN me, dann guck ich mal von außen, was man da so alles machen kann. Hat mich irgendwie neugierig gemacht
Bitte warten ..
Mitglied: gnarff
07.03.2006 um 23:04 Uhr
@lonesome @grotti74 -ich habe es nur unter dem aspekt der daten- und betriebssicherheit betrachtet. wenn ein kunde mich beauftragt dieses prob zu loesen und ich kann es nicht mit 100% sicherheit, weil zb. eine malware sich so geschickt auf dem system verankert hat, dass man sie nicht restlos entfernen kann, dann setze ich alles neu auf.
es ist ja so, dass du exakt bestimmen musst was dir da auf die platte gekommen ist.
das mit der 150 gb partition hoert sich schick an, schoen zu hoeren dass du nicht alles auf eine geschmissen hast.
wir haben hier allerdings mittelstaendische firmenkunden, deren admins machen das so..man weiss ja nie...man muss immer vom schlimmsten ausgehen..nur der paranoide siegt! ;)
Bitte warten ..
Mitglied: grotti74
24.03.2006 um 13:42 Uhr
gnarff: ja, das hab ich auch schon erlebt mit den 1-Partitionen-"Admins". Möchte ja nicht allzu frech werden, somit nur andeutungsweise: vor paar Jahren noch schraubend unter Kfz gelegen, dann Umschulung auf "IT-Experte" usw. ;)

propp: muß ich leider verneinen.
Ich Depp sitz jetzt auch schon wieder in der Firma und hab vergessen, heute morgen @home den Online-Kaspersky anzuschmeißen, der findet da z. T. Dinge auf der Mühle... ;)
Werde das mal Montagmorgen machen, dann den Tag durchlaufen lassen und abends nach der Arbeit berichte ich mal, was er da alles gefunden hat
Bitte warten ..
Mitglied: gnarff
25.03.2006 um 19:55 Uhr
nein, grotti, die haben das hier 5 jahre studiert, manche von denen sogar in der usa, haben ein schickes uni-diplom...

saludos
gnarff
Bitte warten ..
Mitglied: grotti74
07.04.2006 um 10:44 Uhr
okay gnarff, hätte noch schreiben sollen "ein großteil derer ... "
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Petya Virus eingefangen
Frage von FFSephirothViren und Trojaner14 Kommentare

Hallo zusammen, ein Kunde von mir hat den Petya Virus, also sein Laptop. Jetzt habe ich folgende Konstellation: Ich ...

Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Viren und Trojaner
Wie stellt man fest ob man evtl. sich einen Verschlüsselungstrojaner eingefangen hat?
Frage von srx2010Viren und Trojaner10 Kommentare

Hi zusammen, ich habe einen Rechner mit Windows 7 und immer aktuell gehaltener Gdata Internet Security. Mache ausserdem jede ...

Microsoft
Password management
Frage von TECHGENEMicrosoft3 Kommentare

Guten Tag, jeder kennt das Problem des Password-Management der User. Unser Helpdesk verliert täglich viel Zeit um Passwörter von ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 13 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 18 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 18 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...