8
Windows 2k3 - Virus - Malware Problem
hallo allerseits & ein schönes 2006
es scheint wohl eine neue sicherheitslücke im internetexplorer zu geben, für dies noch keinen patch gibt, oder aber ich war zu langsam zum patchen.
seis drumm, ich habe in jedem fall folgendes problem: eine seite, die ich mit dem internet explorer geöffnet habe, enthielt malware, die sich (ohne nachfrage) installiert hat. das ärgerliche daran ist, das diese malware wohl nicht windows 2003 kompatibel ist.
das programm hat sich irgendwo in die system registry zum mit-start bei exe (vll. auch .com,.bat,.scr,.pif...) dateien eingetragen. dieser eintrag scheint aber nicht zu funktionieren, das heisst ich erhalte bei dem versuch ein programm zu starten eine fehlermeldung. ich kann mich also weder anmelden, noch sonstwie programme starten, oder dienste übers netzwerk installieren. das einzige, was geht ist: zugriff auf das dateisystem und die registry übers netzwerk.
diese "autostart"-technik wurde erstmals bei subseven (remote administrations "tool" (trojaner virus)) verwendet. allerdings kenne ich die gängigen startmethoden auswendig:
formatieren kommt nur als letzte rettung in frage.
meine frage hier an euch ist: sind euch registry schlüssel bekannt, die auf windows 2003 dazu führen, das ein programm mit ausgeführt wird, jedesmal, wenn man versucht eine ausführbare datei zu starten, und die mit fehler 5 (zugriff verweigert) endet? meiner vermutung nach funktioniert diese technik bei windows xp ohne weiteres, da diese malware ja eigentlich unentdeckt bleiben will.
danke.
nicht erwünscht sind folgende antworten:
- windows suxx.
- nimm linux.
- wer nimmt schon ie?
- was intressiert mich das?
- woher soll ich das wissen?
- wayne!
- ich kenne auch nur die methoden, die du genannt hast.
- installier das und das. (ich kann nix installieren, da keine programme ausgeführt werden können!)
desweiteren wäre es nett, wenn auf nonsense posts, die eventuell auftauchen nicht eingegangen wird.
danke.
es scheint wohl eine neue sicherheitslücke im internetexplorer zu geben, für dies noch keinen patch gibt, oder aber ich war zu langsam zum patchen.
seis drumm, ich habe in jedem fall folgendes problem: eine seite, die ich mit dem internet explorer geöffnet habe, enthielt malware, die sich (ohne nachfrage) installiert hat. das ärgerliche daran ist, das diese malware wohl nicht windows 2003 kompatibel ist.
das programm hat sich irgendwo in die system registry zum mit-start bei exe (vll. auch .com,.bat,.scr,.pif...) dateien eingetragen. dieser eintrag scheint aber nicht zu funktionieren, das heisst ich erhalte bei dem versuch ein programm zu starten eine fehlermeldung. ich kann mich also weder anmelden, noch sonstwie programme starten, oder dienste übers netzwerk installieren. das einzige, was geht ist: zugriff auf das dateisystem und die registry übers netzwerk.
diese "autostart"-technik wurde erstmals bei subseven (remote administrations "tool" (trojaner virus)) verwendet. allerdings kenne ich die gängigen startmethoden auswendig:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOn
ce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]
und auch der trick damals bei subseven sich in:
[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]
einzutragen wurde nicht verwendet.
(CURRENT_USER ist unwichtig, das die symptome systemweit sind!)
meine frage hier an euch ist: sind euch registry schlüssel bekannt, die auf windows 2003 dazu führen, das ein programm mit ausgeführt wird, jedesmal, wenn man versucht eine ausführbare datei zu starten, und die mit fehler 5 (zugriff verweigert) endet? meiner vermutung nach funktioniert diese technik bei windows xp ohne weiteres, da diese malware ja eigentlich unentdeckt bleiben will.
danke.
nicht erwünscht sind folgende antworten:
- windows suxx.
- nimm linux.
- wer nimmt schon ie?
- was intressiert mich das?
- woher soll ich das wissen?
- wayne!
- ich kenne auch nur die methoden, die du genannt hast.
- installier das und das. (ich kann nix installieren, da keine programme ausgeführt werden können!)
desweiteren wäre es nett, wenn auf nonsense posts, die eventuell auftauchen nicht eingegangen wird.
danke.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22581
Url: https://administrator.de/forum/windows-2k3-virus-malware-problem-22581.html
Ausgedruckt am: 20.04.2025 um 05:04 Uhr
8 Kommentare
Neuester Kommentar
Okay, kann man verstehen 
So, was meinst Du mit w2k3? Server? Wohl kaum, oder doch?
Wenn Du Netzwerk-Zugriff hast, dann würde ich versuchen, die Festplatten via Netzwerkeinbindung als Netzlaufwerke zu mounten, und diese dann auf Malwarebefall zu scannen (AntiVir Workstation kann das, ich denke, andere können das auch
)
Des Weiteren könnte ich mir vorstellen, die Registry zu exportieren, und woandershin zu importieren. Und dann kann man da sehr viel rumbasteln...
Was ich privat schon ma erlebt habe, ist, daß der Pfad zur cmd.exe verbogen wurde, und danach ging's auf meiner Kiste rund...
Oder Du erstellst Dir eine Notfall-CD, und scannst so Deinen Rechner.
Ich nutze für sowas den ERD-Commander, ist 'ne feine Sache...
Lonesome Walker
So, was meinst Du mit w2k3? Server? Wohl kaum, oder doch?
Wenn Du Netzwerk-Zugriff hast, dann würde ich versuchen, die Festplatten via Netzwerkeinbindung als Netzlaufwerke zu mounten, und diese dann auf Malwarebefall zu scannen (AntiVir Workstation kann das, ich denke, andere können das auch
)Des Weiteren könnte ich mir vorstellen, die Registry zu exportieren, und woandershin zu importieren. Und dann kann man da sehr viel rumbasteln...
Was ich privat schon ma erlebt habe, ist, daß der Pfad zur cmd.exe verbogen wurde, und danach ging's auf meiner Kiste rund...
Oder Du erstellst Dir eine Notfall-CD, und scannst so Deinen Rechner.
Ich nutze für sowas den ERD-Commander, ist 'ne feine Sache...
Lonesome Walker
Hallo Ti-R,
also erstmal trotz deines Hinweises, nimm, wenn alles wieder geht Firefox 1.5.
Hast Du ein älteres Konfigurationsabbild? Wenn nein, auch später einfach mal eins erstellen, hilft gewaltig, wenn sowas passiert (z.B. mit ConfigSave).
Hast Du eine Sicherung des Systems vor dem Crash ?
Ein Cleaning der Registry mit einem Cleaner (RegCleaner und/oder Adaware) vom entfernten System klappt auch nicht ?
Was ist mit der Reparaturfunktion von W2K03 ? Schon probiert ?
also erstmal trotz deines Hinweises, nimm, wenn alles wieder geht Firefox 1.5.
Hast Du ein älteres Konfigurationsabbild? Wenn nein, auch später einfach mal eins erstellen, hilft gewaltig, wenn sowas passiert (z.B. mit ConfigSave).
Hast Du eine Sicherung des Systems vor dem Crash ?
Ein Cleaning der Registry mit einem Cleaner (RegCleaner und/oder Adaware) vom entfernten System klappt auch nicht ?
Was ist mit der Reparaturfunktion von W2K03 ? Schon probiert ?
yo, die... sachen sind mir schon klar alle... bisher. naja, ich werd formtieren, und dann den domaincontroller mit linux machen, oder eben aufm server nix mehr erlauben. also auch kein surfen.
Vielen Dank,für die schnelle hilfe.
Vielen Dank,für die schnelle hilfe.
Wie was?? Du hattest auf dem Server das Surfen erlaubt????
Ich würde die HDD einfach mal in einen anderen Rechner anschliessen und dann mit einem guten Virenscanner bürsten. Falls du keinen hast, kannst du den Panda ActiveScan machen, der ist kostenlos und funktioniert sehr gut. Auf der Website, die in meinem Profil hinterlegt ist, befindet sich der Zugang zum ActiveScan. Probiers halt mal aus 
Moin,
wie meine Vorredner schon schrieben, Platte raus und in einen Desktop-PC setzen.
Der Grund ist der, dass dann das Server-OS nicht hochfährt und Du sonst spezielle Server-Software benötigen würdest (AV-Scanner) und einige Spyware Tools auf Server-OS nicht laufen.
Ein neues Tutorial zur Entfernung/Bekämpfung findest Du hier
In Deinem Fall kannst Du den Punkt mit dem "Abgesicherten Modus" ignorieren, da die Platte dann als Slave im Desktop-PC läuft.
Gruß, Rene
wie meine Vorredner schon schrieben, Platte raus und in einen Desktop-PC setzen.
Der Grund ist der, dass dann das Server-OS nicht hochfährt und Du sonst spezielle Server-Software benötigen würdest (AV-Scanner) und einige Spyware Tools auf Server-OS nicht laufen.
Ein neues Tutorial zur Entfernung/Bekämpfung findest Du hier
In Deinem Fall kannst Du den Punkt mit dem "Abgesicherten Modus" ignorieren, da die Platte dann als Slave im Desktop-PC läuft.
Gruß, Rene
sysad:
Wie was?? Du hattest auf dem Server das Surfen erlaubt????
sicher, ich mein, man möchte ja arbeiten können.
aus bequemlichkeit war am paketfilter / satetful blah test auch noch an: allow windows executables in streams..
.---> und an alle danke ich Ihnen für die guten Tipps und die schnelle Hilfe.
ich habe das problem gelöst.
Wie was?? Du hattest auf dem Server das Surfen erlaubt????
sicher, ich mein, man möchte ja arbeiten können.
aus bequemlichkeit war am paketfilter / satetful blah test auch noch an: allow windows executables in streams.
..---> und an alle danke ich Ihnen für die guten Tipps und die schnelle Hilfe.
ich habe das problem gelöst.
Problem gelöst? Sag uns noch wie. Es sit schön, wenn man auch mal erfährt, wie das ausgegangen ist.
