Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows XP TCP-IP reparieren

Frage Internet Webbrowser

Mitglied: Tomahawk88

Tomahawk88 (Level 1) - Jetzt verbinden

08.11.2008, aktualisiert 13.11.2008, 9913 Aufrufe, 12 Kommentare

Nach Infizierung des Rechners kein Internet mehr möglich.

Moin moin,

nach der manuellen Entfernung von der Malware AntivirusPro 2009 und der Restspuren ist weiterhin kein Internet möglich. Seit dem das Schadprogramm den Rechner belegt hat, melden die Browser "Seite kann nicht angezeigt werden" oder "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde".

Die Verbindung zum Netz ist auf jeden Fall da, DHCP mit DNS-Server werden vom Router zugewiesen und es sind auch keine manuellen Einträge in den Einstellungen vorhanden. Der Rechner hat WXP Pro SP3, den IE6 und FF3. Pings auf den Router, google.de oder Root-Server klappen. POP, SMTP, FTP, Telnet oder ICQ funktionieren auch. Nur Internetseiten können nicht angezeigt werden. Man sieht kurz dass er die IP-Adresse unten link in der Statusleiste anzeigt, aber dann kommt sofort die Fehlermeldung. Das merkwürdige ist, dass, wenn man schnell ist beim Starten von Windows, man eine kurze Zeit surfen kann (also ein zwei Aufrufe oder ca. 10 Sekunden). Die Startseite von Google funktioniert fast immer auch nach Löschen der Temporary Internetfiles. Die Windows-Firewall ist deaktiviert und sonst ist keine installiert. Antivirenprogramme finden nix und diverse AntiSpyware-Tools können entweder nicht installiert werden, weil sie aus dem Internet Updates brauchen oder finden ebenfalls nix. Reset der TCP-Stacks brachte leider auch keinen Erfolg und die Routing-Tabellen sind sauber. Ganz anderer Standort interessiert den Rechner ebenso wenig wie eine andere Netzwerkkarte. Den Rechner will ich nicht neu aufsetzen, da ich mich sonst nicht an dieses Forum wenden brauch. Viele andere Foren haben ettlichen ähnliche Anfragen, doch keiner wurde richtig gelöst und bei vielen sind wirklich nutzlose Antworten. Ich hoffe dass unter Euch hilfreiche Tipps zu erhaschen sind.
Vielen Dank schonmal im Voraus.
Mitglied: Tomahawk88
08.11.2008 um 18:47 Uhr
Zusatz:
Habe mal einen neuen User mit eingeschränkten Rechten erstellt und siehe da: Der kann problemlos surfen....noch ein weiterer Benutzer dagegen mit vollen Rechten nicht. Gleiches Problem. Da wird wohl was mit Adminrechten ausgeführt oder geändert. Eine DLL habe ich mit procexp.exe von Sysinternals bereits versucht zu finden. Doch da werden nur ordentliche geladen.
Bitte warten ..
Mitglied: brammer
08.11.2008 um 19:17 Uhr
Hallo,

was du dir zerschossen hast kann ich dir auch nicht sagen, aber ich weiß was ich in solchen fällen mache:
Daten sichern.
Platt machen.
Neu aufsetzen!

Darüberhinaus würde ich für weitere Situationen wie diese Empfehlen den Rechner einmal sauber aufzusetzen, Ein Image zu ziehen und dann im Zweifelsfall nur das Image wieder herstellen. Geht schneller und funktioniert einwandfrei.

brammer
Bitte warten ..
Mitglied: Tomahawk88
08.11.2008 um 19:44 Uhr
Moin brammer,

eigentlich habe ich auf hilfreiche Kommentare gehofft, nicht solche, die in nahezu allen anderen Foren zu lesen sind. Wenn ich den Rechner neu aufsetzen will, hätte ich das bereits getan und mich nicht an dieses Forum gewendet. Der Kunde nutzt leider viele kleine Programme und das Neuaufsetzen will ich mir vorerst sparen. Klar hat er die Malware reingelassen. Aber ich gebe noch nicht auf.
Das muss noch mit anderen Mitteln zu lösen sein.
Bitte warten ..
Mitglied: brammer
08.11.2008 um 20:18 Uhr
Hallo,

gut wenn du um das neuaufsetzen herum kommen willst, kannst du versuchen mittels BartPE oder Knoppix den Rechner von einer "sauberen" System zu scannen.
Auch mit einer Reparaturinstallation kannst du erfolg haben, aber anscheinend ist die Malware ja noch nicht wirklich verschwunden.

Hast du identifizieren können welche Schädlinge auf dem Rechner waren?
Wenn ja, kannst du versuchen von verschiedenen Anti Viren Herstellern Removal Tools für den speziellen Schädling zu kriegen und den Rehcner damit säubern.
Nur, wenn das alles nicht klappt, mahc dich mit dem Gedanken vertraut den Rechner neu auf zu setzen.
Nach meiner Erfahrung sind solche Reparaturen Zeitaufwendiger und weniger erfolgreich als eine komplette Neuinstallation, den oftmals kann man das System dabei noch optimieren und richtig auf Vordermann bringen.

brammer
Bitte warten ..
Mitglied: Petrof
09.11.2008 um 03:46 Uhr
Hallo,

einen Versuch ist folgendes Wert:

http://www.netzwerktotal.de/netzwerkfaq/faq85.htm

In jedem Fall kann ich mich Brammer nur anschließen!

Gruß
Peter
Bitte warten ..
Mitglied: Tomahawk88
09.11.2008 um 08:30 Uhr
Moin Petrof,

das Tool hinter Deinem Link ist nur 3,5 kB groß und Windows quitiert den Startbefehl mit der Meldung dass es keine zulässige Win32-Anwendung sei. Ich habe mir die Platte geklont und setze die originale jetzt neu auf. Aber den Fehler will ich auch irgendwann lösen.
Bitte warten ..
Mitglied: Tomahawk88
09.11.2008 um 10:37 Uhr
So, nun funktioniert es wieder....

die geklonte Festplatte habe ich in einem anderen Rechner nach Viren durchsuchen lassen und es wurde ein Rootkit entdeckt, den Avira BDS/TDss.G.22 schimpft. Die Dateien, von denen eine TDSSserv.sys heißt, wurden scheinbar als Gerätetreiber geladen. In der Registry war ein entsprechender LEGACY-Eintrag.
Ende der Geschichte: Im abgesicherten Modus nur mit der Konsole gestartet, den Cracker-Mist gelöscht, Registry-Einträge entfernt und nun läuft er wieder OHNE NEUAUFSETZEN! Geht doch!
Übrigens sind diese schmutzigen Dateien im Windows-Explorer des infizierten PCs nicht aufgeführt worden, was die Suche umso schwieriger gemacht hat. Echt übel solch kriminelle Energie, die sowas ausbrütet.
Bitte warten ..
Mitglied: 36213
10.11.2008 um 18:52 Uhr
Frage: Du schreibst:

Übrigens sind diese schmutzigen Dateien im Windows-
Explorer des infizierten PCs nicht aufgeführt worden,
was die Suche umso schwieriger gemacht hat. Echt übel
solch kriminelle Energie, die sowas ausbrütet.

Auch bei "Ansicht "alle", ... etc? Das wäre für mich mal was neues...
Bitte warten ..
Mitglied: Tomahawk88
10.11.2008 um 20:01 Uhr
Wir sind doch alle sicherlich vom Fach, oder?
Natürlich habe ich alle Dateien eingeblendet, und zwar wirklich "ALLE". Das ist einer der ersten Einstellungen, die ich an einem Windows-Rechner ändere.
Für mich war das übrigens auch was neues. Es ist immer wieder erstaunlich was sich diese kranken Produzenten einfallen lassen um ihre Schadsoftware resistenter zu machen.
Bitte warten ..
Mitglied: 36213
10.11.2008 um 21:22 Uhr
Entschuldige bitte diese "blöde" Frage, meinen Dank vorab.
Im "DOS"-Modus konntest Du diese aber sehen, wie es aussieht.

Im abgesicherten Modus nur mit der Konsole gestartet,
den Cracker-Mist gelöscht, Registry-Einträge entfernt

Auf dem "anderen" Rechner oder mit der infizierten Platte?

Wenn letzteres: Du konntest diese Dateien also im "'DOS'-Modus" sehen?

Du merkst, ich bin mehr als nur interessiert daran.
Bitte warten ..
Mitglied: Tomahawk88
11.11.2008 um 08:54 Uhr
Im Abgesicherten Modus habe ich nicht nach den Dateien geschaut. Ich habe das Antivirenprogramm erneuert, damit das auch Rootkits entdecken kann und es wurde an mehreren Orten sofort fündig. Nicht nur die TDsserv.sys und seine Brüder in System32, sondern auch direkt unter Windows noch eine *.drv - Datei. Da die Dateien sofort gelöscht werden konnte, gehe ich davon aus dass diese in dem Moment noch nicht aktiv waren.
Der Rest war dann ein Kinderspiel. Nur erstmal darauf kommen.
Bitte warten ..
Mitglied: gammaplayer
13.11.2008 um 18:45 Uhr
Also im Grunde hätte man weiterhin dazu raten müssen, das System sauber neu aufzusetzen aber gut. Jedem das seine. Man weiß schließlich nie, ob nciht doch noch etwas zurückgeblieben ist.

Ich hätte mir ne Knoppicillin-CD geschnappt, davon gebootet und dann die 3 (oder warens 4?) Virenscanner darauf aktualisiert und mal n Vollscan gemacht.

Zum Explorer und keine Dateien sehen kann ich nur sagen, dass, wenn du dir n Rootkit gefangen hast, dies normal ist. Das ist genau das, was Rootkits machen. Sich in entsprechende Abfragen nach Prozessen oder Ordnerinhalten dazwischenklemmen und Spuren vorzuenthalten, so dass sie nicht erkannt werden können. Da hilft dann meist nur noch das Booten von einem sauberen Medium (die AV-Software kann evtl. durch die Rootkit-Methodik ausgetrickst werden) und dann den Rechner mal zu scannen.

Naja ansonsten noch viel Spaß. Kommt davon wenn man mit Admin-Rechten durch die Gegend springt
(nich böse gemeint ;))
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(1)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows 10
gelöst Windows 10 - Domänen Benutzerprofil reparieren (2)

Frage von cuilster zum Thema Windows 10 ...

Windows XP
gelöst WPA2 unter Windows XP SP1 nutzen? (10)

Frage von bestelitt zum Thema Windows XP ...

Windows XP
Kann man noch neue Notebooks für Windows XP kaufen ? (9)

Frage von DieterJansen zum Thema Windows XP ...

Windows Netzwerk
SMBv2 in Windows 7 - Windows XP - Windows Server 2003 Domäne deaktivieren (4)

Frage von Mario.Steinberg zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...