grka
Goto Top

Nach Virus Netzwerkprobleme

Nach Virus Security Essentials 2010 bin ich am verzweifeln

Hi

ich habe hier einen Rechner von einem Bekannten, auf dem war der Security Essentials Virus drauf. Ich habe ihn nach Anleitung entfernt (http://www.trojaner-board.de/82927-security-essentials-2010-entfernen.h ..) und hier bei mir geht der PC ohne Probleme inzwischen. Virus ist weg und Rechner kommt ins Netz.

Jetzt habe ich das gute Stück zurückgebracht, angeschlossen und... er kommt nicht mehr ins Netz. Router ist anpingbar, ich kann auch ein ping auf www.t-online.de machen, aber der Browser meldet, daß er die Seite nicht findet. Über WLAN kommt der Laptop ins Netz, aber der LAN PC will nicht. Der Router wurde nicht verändert, nachdem ich den PC gestern abgebaut habe. Woran kann das liegen? Wieso funktioniert es hier? einzigster Unterschied ist, daß er bei mir hier via DHCP die IP 192.168.0.x hat und dort 192.168.178.x Können da noch irgendwelche Reste in der Registry sein, die nur Netzspez. sind?

Grüße
grka

Content-ID: 142615

Url: https://administrator.de/forum/nach-virus-netzwerkprobleme-142615.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

aqui
aqui 11.05.2010 um 13:57:44 Uhr
Goto Top
Ein paar mehr Informationen als diese oberflächlichen wären schon hilfreich face-sad Hast du...
  • mit ipconfig -all einmal gecheckt ob er korrekte Gateway und vor allen Dingen DNS IP Adressen bekommt ?
  • Was sagt ein nslookup t-online.de in der Eingabeaufforderung ?? Wird das richtig aufgelöst in eine IP ?
  • Kannst du nackte IP Adressen statt Namen im Browser ansurfen um etwaige DNS Probleme zu umgehen wie z.B. www.spiegel.de = 195.71.11.67 oder www.heise.de = 193.99.144.85 ??
  • Hast du mal einen alternativen Browser versucht wie den Firefox http://download.mozilla.org/?product=firefox-3.6.3&os=win&lang= ... ???

Wie du siehst hast du so gut wie nichts überprüft...oder teilst und das nicht mit face-sad
IT-Arsonist
IT-Arsonist 11.05.2010 um 14:04:36 Uhr
Goto Top
moin,

hab ich auch schon ein paar mal gehabt nach trojanern etc, zieh dir mal folgendes tool.

http://www.pcworld.com/downloads/file/fid,25701-order,1-page,1-c,alldow ...

das tool ist spitze. beim entfernen von viren und co kannst du es haben das die TCP/IP protokolle beschädigt worden sind. das ausführen von WinsockXPFix.exe dürfte dieses problem beheben. "WinsockXPfix" stellt die dateien, die mit der verbindung zu TCP/IP-netwerken in zusammenhang stehen, wieder her.

mfg
SamvanRatt
SamvanRatt 11.05.2010 um 14:06:22 Uhr
Goto Top
Hi
ich hatte so einen ähnlichen Fall mal auf einem WTS Dort hat ein Virus sich in den IP Stack eingemischt und ping, tracert, netstat, ... gingen einwandfrei nur bestimmte liefen nicht (pop/smtp/ftp/browser jeder Art). Wurde aber im abges. Modus gearbeitet lief es; das lag am verwendeten Admin User (Inst User);
benutzt du den selben User wie er nun? Meine Behebung war damals mit viel Arbeit (filemon, tracemon, regmon) verbunden um dann eine dll Filterdatei zu finden, die selbst kein Virus ist aber eben von dem benutzt wurde. Es gibt aber eine NT TCP Reparatur, bzw ein Skript welches den TCP/IP Stack komplett resetet und damit die Integrität wieder herstellt. Kann ich sicher raussuchen, evtl findest du ihn auch mit den Begriffen im Netz
Gruß
Sam
grka
grka 11.05.2010 um 14:11:15 Uhr
Goto Top
Hi

IPconfig sieht identisch aus mit dem PC wo's geht. anderer Browser funktioniert auch nicht. Ich hab den PC jetzt wieder mitgenommen und eben feststellen dürfen, daß er sich wohl wieder infiziert hat in dem anderen Netz. Ich werde jetzt erstmal den PC neu aufräumen und mich dann wieder an das Problem machen ARGH
SamvanRatt
SamvanRatt 11.05.2010 um 14:24:00 Uhr
Goto Top
Hattest du keinen AV danach installiert? Ich kenne zwar die Problematik mit den 80EUR Rechnern (will kein Geld ausgeben, der alte tuts noch, Gibts das auch kostenlos), aber wenn man dann mal die Daten/FUnktion liebgewonnen hat, war es nie ein Problem die 30-50EUR für einen (mir vertrauten) Virenscanner zu "gewinnen". Eine Firewall (die mir nicht vertrauten AVs) haben das zumeist ja direkt dabei und Panda/Kaspersky kostet mit 30EUR nicht wirklich viel im Vergleich zu meinem McShield
grka
grka 11.05.2010 um 15:09:20 Uhr
Goto Top
Doch ist AntiVir drauf & aktuell, aber der hat nix erkannt. Hab jetzt alle Reg Einträge wieder raus und installiert SP3 für XP. Keine Ahnung wo das Ding jetzt herkam.
grka
grka 11.05.2010 um 15:15:49 Uhr
Goto Top
Ich frag mich auch wie das Ding jetzt zurückkommen konnte und wie ich das verhindern kann...
SamvanRatt
SamvanRatt 11.05.2010 um 15:55:05 Uhr
Goto Top
Na AntiVir ist mein Hauptauftragsgeber (sprich ist installiert, kostet nichts und entsprechend was wert) wenn's um Vireninfektion geht. Wie gesagt ich nutze ausschließlich McAfee (habe aber schon andere bei Anwendern gesehen) und Sophos, da sie im Geschäftsumfeld einfach guten Support leisten.
Thema Infektion: da bleiben ja nur von außen (wie Blaster & Co) oder von innen via Dateien/Sticks, CD, ...
Viren sind bewunderswert effiziente und hardnäckige Software. Obwohl ich als recht effizient gelte, brauche ich auch bei einigen Fällen (expira) z.B. schon mal 3h bis ich wieder clean bin und alle Infektionsquellen durch habe (so mit RettungsCD booten, bereinigen, fertig ist ja nichts wenn man massenweise Löcher im OS hat die eine Funktion behindern wie bei dir): ich such dir gerne den Patch für TCPIP raus. Nutz doch mal die alternativen Scanner (Testinstallation, ....) um dich clean zu bekommen, bzw am besten via OFfline CD oder HD in sicheren Rechner umbauen.
Gruß
Sam
Ravers
Ravers 11.05.2010 um 16:15:44 Uhr
Goto Top
Das Tool wovon IT-Arsonist schreibt ist echt gut, falls die Verbindung nicht funktioniert.

Woher kommt der Virus SCHON wieder?? ....
Beim Entfernen hast du ja sicherlich im abgesicherten Modus gestartet und die Systemwiederherstellung deaktiviert??! face-wink
Weiterhin hast du ja danach sicherlich entsprechende Patches von MS eingespielt??!

Im anderen Netz sollten alle PC`s gesäubert werden, ist dir denk ich klar??! Auch wenn Sie nicht entsprechende Symtome des Viruses aufweisen!

mfg
Ravers
grka
grka 11.05.2010 um 18:51:17 Uhr
Goto Top
So bin wieder da. PC war hier sauber, neuste Patches waren drauf, alles lief super. auch ein mehrfaches Starten brachte keine Änderung. Ich also frohen Mutes losgezogen und was soll ich sagen? PC angeschlossen, gestartet und dieser ###dreck installiert sich wieder!!!! Woher kommt der Mist? Wir haben extra drauf geachtet daß alle PCs im Netz aus sind und nur der neue PC angeschlossen ist. Aber sobald der Netzwerkstecker steckt kommt der Mist wieder. face-sad Hab im Netz geschaut, da ist nirgends die Rede von, daß die SW sich wieder installiert... woran kann das noch liegen? Patches sind wie gesagt drauf und hier kam das Ding nicht wieder....
grka
grka 11.05.2010 um 18:52:39 Uhr
Goto Top
Zitat von @Ravers:
Beim Entfernen hast du ja sicherlich im abgesicherten Modus gestartet und die Systemwiederherstellung deaktiviert??! face-wink
Hab die Sachen mit dem ERDComander gelöscht.
IT-Arsonist
IT-Arsonist 12.05.2010 um 09:14:49 Uhr
Goto Top
morgen,

der erdcomander sagt mir jetzt nichts. aber jeder hat ja so seine eigenen tools.... wichtig ist aber das die systemwiederherstellung deaktiviert ist. sonst kommt der kram immer wieder. kontrollier mal den pc mit "hijackthis" das log kannst du bei dennen auf der seite auswerten lassen. gibste einfach bei google ein. hijack logauswertung.
...svchost mal überprüfen ob da noch was drunter ist.
...cryptische sachen aus dem systemstart nehmen.
...temp datenlöschen

ist "Security Essentials 2010" das teil was einem vorgaukelt ein antiviren prog zu sein? bin mir nicht mehr sicher... aber ich meine das teil hatte sogar nen eigenen ordener unter programme oder program files... auch einfach weg hauen.

mfg
aqui
aqui 12.05.2010 um 12:12:52 Uhr
Goto Top
Spiel dir den Wireshark Sniffer oder Windows Netmonitor
http://www.microsoft.com/downloads/details.aspx?displaylang=en&Fami ...
http://www.wireshark.org/
auf den Rechner.
Starte dann einen Paket Capture bevor du den PC ans Netz hängst und sieh dir dann an wer da was sendet wenn der PC am Netz ist.
So weisst du im Handumdrehen SICHER was da passiert...alles andere ist das_hier.