grotti74
Goto Top

win2k Trojaner eingefangen? Administrator-Password wird ständig geändert!

Nerviges Problem! Zeitweise wird ständig das Administrator-Password geändert! OS = Win2K Prof., Home-PC, mit Breitband-Internetanschluß.

Jo, ich hoffe irgendeiner von euch kann mir da helfen. Brauche den Rechner eben auch beruflich und deswegen kann ich mir 3-Tages-Installieraktionen im Moment nicht leisten.

Zur Organisation: habe ZWEI Windows 2000 Prof., d. h. ich habe zwei C:\ Partitionen auf verschiedenen Festplatten, so dass ich ins "alte" Win2K (IDE-Platte) und ins "neue" Win2K (SATA-Platte) booten kann; was mir im Moment mehr als nur nützlich ist, da ich in der Lage bin, mein Admin-Passwort aus der neuen Installation zu löschen wenn es wieder diese mir unbekannte Malware (??) geändert hat.

Übliche Verdächtige natürlich schon bemüht: ad-aware, hijackthis, rootkit detector etc. - fanden NICHTS.

Habe auch das Adminpassword mit einer Horde von Sonderzeichen (! & % ^ $) gespickt, es war leider trotzdem wieder irgendwann geändert. (hatte es mir sogar auf einen Zettel geschrieben, um sicherzugehen, dass ich es nicht vergesse.

Ich tippe auf - MALWARE. Malware, die so raffiniert im System verankert sein muss, dass sie an die \winnt\system32\config\SAM herankommt. Das muss ihr erstmal einer nachmachen.

Wenn ich wüsste nach WAS ich suchen / googlen könnte, wäre ich u. U. schon weiter.
Hat noch jemand das Problem [gehabt]?

TIA
-grotti

Content-ID: 27478

Url: https://administrator.de/forum/win2k-trojaner-eingefangen-administrator-password-wird-staendig-geaendert-27478.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Dani
Dani 06.03.2006 um 11:19:57 Uhr
Goto Top
16568
16568 06.03.2006 um 11:30:14 Uhr
Goto Top
Wenn Du die bisher üblichen Verdächtigen durch hast, würde ich, als "Böser" ein Rootkit probieren (rootkit detector is ned wirklich gut, ich schick Dir dafür gerne mal was zum Testen... face-wink.

Dazu ist aber unter w2k die Suche in der Registry mit regedt32.exe nötig.
Der normale Registry-Editor zeigt da im Autostart nix an.

Gibt von Sysinternals da ein Prog, um den Rechner daraufhin mal zu testen.


Ansonsten würde ich Dir empfehlen:

- zweites Userkonto mit Admin-Recht erstellen
- eScan runterladen
- sich als 2. Admin anmelden
- eScan suchen lassen

wenn der dann auch nix findet...

Hm, dann würde ich salopp sagen:

- entweder Pech
- oder Du hast ein Prob mit Deinem Dateisystem
- andere Möglichkeit, die ich aber hoffentlich ausschließen kann: Du hast auf Deiner SATA-Platte Zeugs rumgimmeln face-smile


Lonesome Walker
BumperMan
BumperMan 06.03.2006 um 11:50:58 Uhr
Goto Top
liegt vlt ein fehler mit deinem dateisystem vor? befindet sich die sam datei nicht am ende oder am anfang des datenträgers und hier liegt vlt. ein fehler, das die datei nicht korrekt oder dauerhaft gespeichert werden kann?
grotti74
grotti74 07.03.2006 um 02:22:06 Uhr
Goto Top
Danke erstmal an alle soweit.
a² hab ich jetzt drauf, der fand allerdings auf meiner IDE-Platte mehr als auf der SATA ;)

Dieses Rootkit-Tool wär es vielleicht.
Ich hab RootkitREVEALER, das meinst du wohl, konnte mir nur den komplizierten Namen nicht merken, dann hab ich ihn "... detector" getauft face-smile

HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
Das dürfte der Daemon Tools sein, der per Rootkit arbeitet, damit er low-level auf die CD kommt. Das kann man ihm nicht verübeln. face-smile
grotti74
grotti74 07.03.2006 um 02:25:57 Uhr
Goto Top
Äh..Dateisystemfehler? Vor der Trojaner-Attacke ging doch immer alles, und ich kam auch mit dem PW bei mir rein.
Natürlich ist die SAM jetzt auf der SATA-Platte woanders, da ich sie ja indirekt von der IDE aus gelöscht hatte, um wieder in mein Windows zu kommen ;)
gnarff
gnarff 07.03.2006 um 02:56:53 Uhr
Goto Top
tja, das hoert sich fuer mich an als ob du das system auf die platte gebracht hast und munter mit deinem admin - konto ins internet gegangen bist. dann habe ich aditional den eindruck dass du deine downloads und sonstigen daten munter auf der selben partition speicherst - das ist straeflicher leichtsinn.
wenn dein admin-pass andauernd zurueckgesetzt wird kannst du davon ausgehen dass du die kontrolle verloren hast und es ist wenig anzuraten diesen rechner noch weiter einzusetzen, besonders dann nicht wenn du ihn in der firma oder fuer deine arbeit benutzen willst.
wenn du nicht mit absoluter sicherheit den "uebeltaeter" lokalisieren kannst bzw. seinen namen ermitteln kannst sind ominoese saeuberungsaktionen als zu unsicher zu bewerten und werden dich im nachhinein mehr als nur die "3-tagesinstallieraktion" kosten.
daher mein rat: beiss in den sauren apfel, backup alles was du kannst oder musst und setz das system neu auf. wenn du die platten neu formatierst machs nicht mit windows-bordmitteln, sondern benutze die festplattentools des festplattenherstellersherstellers.
(>nur fuer den fall das es kein prob mit SAM ist)
grotti74
grotti74 07.03.2006 um 10:31:04 Uhr
Goto Top
Devicehersteller?!! Low-Level-Format also willst du von mir? Nein danke, dann nehme ich so ein Secure-Erase-Tool, weil LLF dauert ne Ewigkeit bei so großen Platten.

*WAS* vielleicht ne Idee wär, ist, meinen Rechner mal zu monitorn - gibt's da ein Tool das mir zumindest während der Geschäftszeiten ( = Abwesenheit) per Logfile mitteilt, wenn da jemand remote auf dem Rechner am Werkeln ist?

sozusagen [15:31 - remote logon from 99.88.77.55 detected ]

Dann sollte es ja eine Möglichkeit sein, auf den Trichter zu kommen, was da los ist.

Zum Thema Partition: FALSCH geraten. Der ganze System-Kram auf C:, Tools STETS auf D:, alles andere auf den übrigen Partitionen. Bin kein DAU der _eine_ C:\ Partition mit 150 GB hat und sonst nichts.face-smile

Apropos "Kontrolle verloren": nun wenn ich ein ultrakompliziertes Admin-Password verwende mit o. g. Sonderzeichen, wird der Angreifer schon einmal mit Crack-Tools nichts ausrichten können, selbst nicht auf einer 3.5 GHz Dual-CPU Maschine mit 2 gig RAM face-smile
16568
16568 07.03.2006 um 10:50:16 Uhr
Goto Top
^^ nimm ma gnarff's Aussage ned so ernst... face-big-smile

Monitoring-Tools gibbet zuhauf.
Aber eigentlich wird auch von Windows mitprotokolliert, wer sich wann wo und wie angemeldet hat. (oder irre ich mich da???)


Gruß

Lonesome Walker
PS: Wenn Du wirklich wissen willst, was mit Deiner Kiste los ist, PN me, dann guck ich mal von außen, was man da so alles machen kann. Hat mich irgendwie neugierig gemacht face-big-smile
gnarff
gnarff 07.03.2006 um 23:04:49 Uhr
Goto Top
@lonesome @grotti74 -ich habe es nur unter dem aspekt der daten- und betriebssicherheit betrachtet. wenn ein kunde mich beauftragt dieses prob zu loesen und ich kann es nicht mit 100% sicherheit, weil zb. eine malware sich so geschickt auf dem system verankert hat, dass man sie nicht restlos entfernen kann, dann setze ich alles neu auf.
es ist ja so, dass du exakt bestimmen musst was dir da auf die platte gekommen ist.
das mit der 150 gb partition hoert sich schick an, schoen zu hoeren dass du nicht alles auf eine geschmissen hast.
wir haben hier allerdings mittelstaendische firmenkunden, deren admins machen das so..man weiss ja nie...man muss immer vom schlimmsten ausgehen..nur der paranoide siegt! ;)
grotti74
grotti74 24.03.2006 um 13:42:13 Uhr
Goto Top
gnarff: ja, das hab ich auch schon erlebt mit den 1-Partitionen-"Admins". Möchte ja nicht allzu frech werden, somit nur andeutungsweise: vor paar Jahren noch schraubend unter Kfz gelegen, dann Umschulung auf "IT-Experte" usw. ;)

propp: muß ich leider verneinen.
Ich Depp sitz jetzt auch schon wieder in der Firma und hab vergessen, heute morgen @home den Online-Kaspersky anzuschmeißen, der findet da z. T. Dinge auf der Mühle... ;)
Werde das mal Montagmorgen machen, dann den Tag durchlaufen lassen und abends nach der Arbeit berichte ich mal, was er da alles gefunden hat face-smile
gnarff
gnarff 25.03.2006 um 19:55:08 Uhr
Goto Top
nein, grotti, die haben das hier 5 jahre studiert, manche von denen sogar in der usa, haben ein schickes uni-diplom...

saludos
gnarff
grotti74
grotti74 07.04.2006 um 10:44:44 Uhr
Goto Top
okay gnarff, hätte noch schreiben sollen "ein großteil derer ... " face-smile