XP zugespammt...

[Notterich]

Moin Leute!

Hab folgendes Problem mit einem Rechner welchen ich gestern abend bei Freunden abgeholt habe.

Windows XP Home Edition SP1 (Aldi PC)

Leider war dieser Rechner ohne Firewall hinter ner Eumex 404 ISDN Anlage im Internet und ist nun zugespammt mit allemöglichen ******progs. (Spam usw...)

Nunja ich habe den Rechner heute morgen mal angemacht und habe mich normal über ein vorhandenes Benutzerkonto angemeldet.

Sobald sich das OS läd, laden sich unmengen von Spy und Spamprogs mit und die Performance geht in den Keller...

Im Gerätemanager wird kein einziges Gerät angezeigt und in der Systemsteuerung kann ich keine Einstellungen mehr anwählen.

Gibts eine Möglichkeit die Progs komplett vom Rechenr zu schmeissen und gleichzeitig die Benutzerkonten und Daten zu erhalten???

Vielleicht SP2 drüberinstallieren??

Falls ihrh nähere Infos braucht bidde nachfragen!

Notterich schwört auf das Fachinformatiker Forum :beagolisc

:e@sy :nett:

[cane]

Da ist alles außer einer neuinstallation Zeitverschwendung. Außerdem ists eine neuinstallation ja schnell und einfach da Medion meines Wissens Recovery-medien mitliefert.

Dann Treiber aktualisieren und SP2 sowie alle Patches drauf, automatische Updates und einen Virenscanner installieren. Fertig

Bist Du in ein, zwei Stunden fertig - das manuelle Rumprobieren wird deutlich länger dauern...

mfg

cane

[Notterich]

hmmm... okay aber das problem dabei ist,

dass die einwahldaten für die ISDN Internetverbindung nicht mehr vorhanden sind, d.h. nurnoch im Rechner drin ...

Weißt du vll. wo ich die da rauskriegen könnte?

Als Virenscanner würde ich AntiVir nutzen...

Macht zusätzlich ne Softwarefirewall wie z.B. Zone Alarm sinn?

Grüße

Notterich

[User-Root]

Meine Empfehlung zur Prävention:

"Ad-Aware"von Lavasoft und "Spybot S&D" gegen die ganzen Spyprogramme.

"Tiny Personal Firewall" Als Softwarefirewall mit geringem Prozessorzeit-Hunger

"AntiVir" gegen Viren

Zum Glück alles kostenlos zu finden unter http://softseek.com

Ok heisst mittlerweile ZDNET aber softssek kann ich mir besser merken.

Neuinstallation hängt vom Erfahrungsgrad ab. Es ist möglich die gesamten Starteinträge von Spam und Spy in der Registry mit dem Spybot herauszufiltern. Man muss nur wissen was was ist.

Einfacher ist aber die Neuinstallation. Davor solltest du aber die Daten Sichern. Vorsorglich alle Ordner(händisch) nach wichtigen Daten durchforsten.Dabei den Ordner "Dokumente und Einstellungen" nicht vergessen( mit den darin enthaltenen versteckten und system Dateien)! Dann den Driverguide ( http://www.driverguidetoolkit.com/ ) zum Sichern der Treiber in einem Seperaten Ordner durchlaufen lassen( kann man nutzen, wenn man einen Treiber nicht/nichtmehr findet; funktioniert in 95% aller Fälle). Dann noch Benutzernamen, Kennwörter und Programme notieren. Neuinstallieren mit den Programmen und Gerätetreibern( Drucker nicht vergessen)

Dann die Benutzer wieder eintragen und jeden ein mal Anmelden und Abmelden. Danach als Admin einloggen und die Benutzerordner "Dokumente und Einstellungen" zurückkopieren. Dabei die Dateien "ntuser.pol" und die "ntuser.ini" nicht Überschreiben. Es werden die neu vom System angelegten Versionen benötigt. Dann noch die Sicherheitseinstellungen Anpassen für die einzelnen Benutzer Ordner.

Fertig. Den Rest macht dann der User selbst. Vorteil der Methode: Selbst das Outlook und sämliche vom User eingetragenen Office-Einstellungen bleiben erhalten.

Die Einwahldaten kann man vom ISP mittels Social Engineering erfragen( z.B. Hotline). Auslesen aus dem System: k.A.

[Notterich]

Dankeschön für die wie immer schnelle Antwort!

:uli :uli

Ich hoffe dass die einzelnen Benutzerprofile so übernommen werden wie sie vorher waren dass wäre nicht schlecht...

Die Treiber kann ich so komplett übernehmen?

Weilsch die ISDN Anlage von zuhause leider nicht testen kann...

Grüße

Notterich

[User-Root]

Dankeschön für die wie immer schnelle Antwort!

:uli :uli

Ich hoffe dass die einzelnen Benutzerprofile so übernommen werden wie sie vorher waren dass wäre nicht schlecht...

Die Treiber kann ich so komplett übernehmen?

Weilsch die ISDN Anlage von zuhause leider nicht testen kann...

Grüße

Notterich

Das Hintergrundbild fehlt für gewöhnlich. aber das ist ja wie gesagt vom User leicht zu berichtigen.

Die Treiber werden direkt aus der *inf vom system ausgelesen und die darin eingetragenen Dateien direkt in den "Backup Ordner" kopiert. hatte allerdings schon schlechte Erfahrungen mit Treibern, welche eine *.exe im Treiber enthalten hatte. Die wurde nicht mit gesichert. Bei Systray-Exe'n ist das wenig tragisch. Bei Scannersoftware kann das aber massive Probleme verursachen. Als Notlösung( bevor garnix geht) ist der Driverguide aber das beste was einem passieren kann.

[hommling]

Moin!

Also eine Neuinstallation und -konfiguration dauert immer lange, selbst mit Recovery CD - man bedenke allein die vielen Einstellungen, die im Zweifelsfall in den Anwendungsprogrammen getätigt worden sind!

An Deiner Stelle würde ich mir wirklich ein Zeitlimit setzen, ab dem Du selbst sagst: Ich habe alles mir Mögliche versucht und die Kiste läuft immer noch nicht rund. Eine Neuinstallation hilft Dir in ähnlichen Situationen auch nicht, die Funktionsweise der Spy- bzw. Malware zu verstehen.

Mein Vorschlag: Lade Dir ein Linux-Livesystem auf CD-ROM mit eingebauten Virenscannern á la Knoppicillinherunter.

Hiermit kannst Du eingeschleuste Viren u.ä. beseitigen oder wenigstens isolieren. Anschließend kannst Du Windows im Abgesicherten Modus starten und unerwünschte Programme, die sich automatisch starten entfernen.

Wie gesagt: Neuinstallieren ist nicht immer die beste Lösung!

Gruß

hommling

[cane]

Wie gesagt: Neuinstallieren ist nicht immer die beste Lösung!

Im privatbereich kann man machen was man will - im unternehmen ist IMHO alles andere als neuinstallation der pure Wahnsinn. Wenns dann noch ein kunde ist und der rechner ist nicht korrekt desinfiziert und es kommt zum Schadensvorfall kann der Kunde den Dienstleister sicherlich auch verklagen - dieser hätte IMHO schließlich wissen müssen das Viren die mit administrativen rechten eingefallen sind nicht immer entfernt werden können.

mfg

cane

[hades]

Analysiere das System mit HiJackThis und poste das Logfile.

Daneben von einem garantiert virenfreiem Medium auf Viren scannen (z.B. mit der bootbaren-knoppicillin-CD aus der ct 23/05) und auch mal Adaware+SpyBotSD auf den Rechner loslassen.

Allerdings ist bei einem verseuchten System eine Neuinstallation immer die sicherste und meist auch die schnellste Loesung.

[hellslawyer]

Weil's wohl mittlerweile besser dahin passt:

<--- MOVED to Security

[Notterich]

Danke für eure Posts...

Hab den Rechner soweit wieder fit gemacht.

Leider taucht aber jetzt nen neuer Fehler auf:

Fehler

Registry data not found !

Keine Fehlerbeschreibung dabei oder ein Fehlercode nur diese nackte Info.

Könnt ihr vll. nen Tool empfehlen zum scannen der Registry welches den Fehler gleich auch ausmerzen kann??

Grüße

Moritz

[Chief Wiggum]

Nur mal zur Begriffserklärung: Spam bezeichnet einzig und allein unerwünschte Werbung, im Usenet, Chat, Foren und per Mail. http://de.wikipedia.org/wiki/Spam

Du meinst sicher Infektionen durch Viren, Würmer und Spyware.

Fehler

Registry data not found !

An welcher Stelle? Läuft Windows noch?

Keine Fehlerbeschreibung dabei oder ein Fehlercode nur diese nackte Info.

Könnt ihr vll. nen Tool empfehlen zum scannen der Registry welches den Fehler gleich auch ausmerzen kann??

Ereignisanzeige zeigt auch nichts?

Als Tool zur Analyse bei einem Systembefall empfiehlt sich hicjackthis. Links zum Programm gibt es in der Linkliste hier im Forenbereich. Poste bitte mal ein Logfile!

[Notterich]

Das Problem hat sich durch recherchen von selbst gelöst:

Der Fehler Registry data not found kommt von einem nicht

korrekt installierten Keyboardtreiber welcher Hotkey Funktionen unterstützt...

Treiber deinstalliert und neu draufgeschmissen Prob gelöst.

Aber trozdem danke für deinen Post @ Chief Wiggum

Schönen Abend

Notterich