win2k Trojaner eingefangen? Administrator-Password wird ständig geändert!
Nerviges Problem! Zeitweise wird ständig das Administrator-Password geändert! OS = Win2K Prof., Home-PC, mit Breitband-Internetanschluß.
Jo, ich hoffe irgendeiner von euch kann mir da helfen. Brauche den Rechner eben auch beruflich und deswegen kann ich mir 3-Tages-Installieraktionen im Moment nicht leisten.
Zur Organisation: habe ZWEI Windows 2000 Prof., d. h. ich habe zwei C:\ Partitionen auf verschiedenen Festplatten, so dass ich ins "alte" Win2K (IDE-Platte) und ins "neue" Win2K (SATA-Platte) booten kann; was mir im Moment mehr als nur nützlich ist, da ich in der Lage bin, mein Admin-Passwort aus der neuen Installation zu löschen wenn es wieder diese mir unbekannte Malware (??) geändert hat.
Übliche Verdächtige natürlich schon bemüht: ad-aware, hijackthis, rootkit detector etc. - fanden NICHTS.
Habe auch das Adminpassword mit einer Horde von Sonderzeichen (! & % ^ $) gespickt, es war leider trotzdem wieder irgendwann geändert. (hatte es mir sogar auf einen Zettel geschrieben, um sicherzugehen, dass ich es nicht vergesse.
Ich tippe auf - MALWARE. Malware, die so raffiniert im System verankert sein muss, dass sie an die \winnt\system32\config\SAM herankommt. Das muss ihr erstmal einer nachmachen.
Wenn ich wüsste nach WAS ich suchen / googlen könnte, wäre ich u. U. schon weiter.
Hat noch jemand das Problem [gehabt]?
TIA
-grotti
Jo, ich hoffe irgendeiner von euch kann mir da helfen. Brauche den Rechner eben auch beruflich und deswegen kann ich mir 3-Tages-Installieraktionen im Moment nicht leisten.
Zur Organisation: habe ZWEI Windows 2000 Prof., d. h. ich habe zwei C:\ Partitionen auf verschiedenen Festplatten, so dass ich ins "alte" Win2K (IDE-Platte) und ins "neue" Win2K (SATA-Platte) booten kann; was mir im Moment mehr als nur nützlich ist, da ich in der Lage bin, mein Admin-Passwort aus der neuen Installation zu löschen wenn es wieder diese mir unbekannte Malware (??) geändert hat.
Übliche Verdächtige natürlich schon bemüht: ad-aware, hijackthis, rootkit detector etc. - fanden NICHTS.
Habe auch das Adminpassword mit einer Horde von Sonderzeichen (! & % ^ $) gespickt, es war leider trotzdem wieder irgendwann geändert. (hatte es mir sogar auf einen Zettel geschrieben, um sicherzugehen, dass ich es nicht vergesse.
Ich tippe auf - MALWARE. Malware, die so raffiniert im System verankert sein muss, dass sie an die \winnt\system32\config\SAM herankommt. Das muss ihr erstmal einer nachmachen.
Wenn ich wüsste nach WAS ich suchen / googlen könnte, wäre ich u. U. schon weiter.
Hat noch jemand das Problem [gehabt]?
TIA
-grotti
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 27478
Url: https://administrator.de/forum/win2k-trojaner-eingefangen-administrator-password-wird-staendig-geaendert-27478.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
12 Kommentare
Neuester Kommentar
Hi,
schau mal hier vorbei:
http://www.emsisoft.de/de/support/faq/?id=10
http://www.zdnet.de/downloads/weekly/20/weekly_411-wc.html
http://board.protecus.de/t14074.htm
Hoffe, es ist was dabei!
Gruß
Dani
schau mal hier vorbei:
http://www.emsisoft.de/de/support/faq/?id=10
http://www.zdnet.de/downloads/weekly/20/weekly_411-wc.html
http://board.protecus.de/t14074.htm
Hoffe, es ist was dabei!
Gruß
Dani
Wenn Du die bisher üblichen Verdächtigen durch hast, würde ich, als "Böser" ein Rootkit probieren (rootkit detector is ned wirklich gut, ich schick Dir dafür gerne mal was zum Testen... .
Dazu ist aber unter w2k die Suche in der Registry mit regedt32.exe nötig.
Der normale Registry-Editor zeigt da im Autostart nix an.
Gibt von Sysinternals da ein Prog, um den Rechner daraufhin mal zu testen.
Ansonsten würde ich Dir empfehlen:
- zweites Userkonto mit Admin-Recht erstellen
- eScan runterladen
- sich als 2. Admin anmelden
- eScan suchen lassen
wenn der dann auch nix findet...
Hm, dann würde ich salopp sagen:
- entweder Pech
- oder Du hast ein Prob mit Deinem Dateisystem
- andere Möglichkeit, die ich aber hoffentlich ausschließen kann: Du hast auf Deiner SATA-Platte Zeugs rumgimmeln
Lonesome Walker
Dazu ist aber unter w2k die Suche in der Registry mit regedt32.exe nötig.
Der normale Registry-Editor zeigt da im Autostart nix an.
Gibt von Sysinternals da ein Prog, um den Rechner daraufhin mal zu testen.
Ansonsten würde ich Dir empfehlen:
- zweites Userkonto mit Admin-Recht erstellen
- eScan runterladen
- sich als 2. Admin anmelden
- eScan suchen lassen
wenn der dann auch nix findet...
Hm, dann würde ich salopp sagen:
- entweder Pech
- oder Du hast ein Prob mit Deinem Dateisystem
- andere Möglichkeit, die ich aber hoffentlich ausschließen kann: Du hast auf Deiner SATA-Platte Zeugs rumgimmeln
Lonesome Walker
tja, das hoert sich fuer mich an als ob du das system auf die platte gebracht hast und munter mit deinem admin - konto ins internet gegangen bist. dann habe ich aditional den eindruck dass du deine downloads und sonstigen daten munter auf der selben partition speicherst - das ist straeflicher leichtsinn.
wenn dein admin-pass andauernd zurueckgesetzt wird kannst du davon ausgehen dass du die kontrolle verloren hast und es ist wenig anzuraten diesen rechner noch weiter einzusetzen, besonders dann nicht wenn du ihn in der firma oder fuer deine arbeit benutzen willst.
wenn du nicht mit absoluter sicherheit den "uebeltaeter" lokalisieren kannst bzw. seinen namen ermitteln kannst sind ominoese saeuberungsaktionen als zu unsicher zu bewerten und werden dich im nachhinein mehr als nur die "3-tagesinstallieraktion" kosten.
daher mein rat: beiss in den sauren apfel, backup alles was du kannst oder musst und setz das system neu auf. wenn du die platten neu formatierst machs nicht mit windows-bordmitteln, sondern benutze die festplattentools des festplattenherstellersherstellers.
(>nur fuer den fall das es kein prob mit SAM ist)
wenn dein admin-pass andauernd zurueckgesetzt wird kannst du davon ausgehen dass du die kontrolle verloren hast und es ist wenig anzuraten diesen rechner noch weiter einzusetzen, besonders dann nicht wenn du ihn in der firma oder fuer deine arbeit benutzen willst.
wenn du nicht mit absoluter sicherheit den "uebeltaeter" lokalisieren kannst bzw. seinen namen ermitteln kannst sind ominoese saeuberungsaktionen als zu unsicher zu bewerten und werden dich im nachhinein mehr als nur die "3-tagesinstallieraktion" kosten.
daher mein rat: beiss in den sauren apfel, backup alles was du kannst oder musst und setz das system neu auf. wenn du die platten neu formatierst machs nicht mit windows-bordmitteln, sondern benutze die festplattentools des festplattenherstellersherstellers.
(>nur fuer den fall das es kein prob mit SAM ist)
^^ nimm ma gnarff's Aussage ned so ernst...
Monitoring-Tools gibbet zuhauf.
Aber eigentlich wird auch von Windows mitprotokolliert, wer sich wann wo und wie angemeldet hat. (oder irre ich mich da???)
Gruß
Lonesome Walker
PS: Wenn Du wirklich wissen willst, was mit Deiner Kiste los ist, PN me, dann guck ich mal von außen, was man da so alles machen kann. Hat mich irgendwie neugierig gemacht
Monitoring-Tools gibbet zuhauf.
Aber eigentlich wird auch von Windows mitprotokolliert, wer sich wann wo und wie angemeldet hat. (oder irre ich mich da???)
Gruß
Lonesome Walker
PS: Wenn Du wirklich wissen willst, was mit Deiner Kiste los ist, PN me, dann guck ich mal von außen, was man da so alles machen kann. Hat mich irgendwie neugierig gemacht
@lonesome @grotti74 -ich habe es nur unter dem aspekt der daten- und betriebssicherheit betrachtet. wenn ein kunde mich beauftragt dieses prob zu loesen und ich kann es nicht mit 100% sicherheit, weil zb. eine malware sich so geschickt auf dem system verankert hat, dass man sie nicht restlos entfernen kann, dann setze ich alles neu auf.
es ist ja so, dass du exakt bestimmen musst was dir da auf die platte gekommen ist.
das mit der 150 gb partition hoert sich schick an, schoen zu hoeren dass du nicht alles auf eine geschmissen hast.
wir haben hier allerdings mittelstaendische firmenkunden, deren admins machen das so..man weiss ja nie...man muss immer vom schlimmsten ausgehen..nur der paranoide siegt! ;)
es ist ja so, dass du exakt bestimmen musst was dir da auf die platte gekommen ist.
das mit der 150 gb partition hoert sich schick an, schoen zu hoeren dass du nicht alles auf eine geschmissen hast.
wir haben hier allerdings mittelstaendische firmenkunden, deren admins machen das so..man weiss ja nie...man muss immer vom schlimmsten ausgehen..nur der paranoide siegt! ;)