tomahawk88
Goto Top

Windows XP TCP-IP reparieren

Nach Infizierung des Rechners kein Internet mehr möglich.

Moin moin,

nach der manuellen Entfernung von der Malware AntivirusPro 2009 und der Restspuren ist weiterhin kein Internet möglich. Seit dem das Schadprogramm den Rechner belegt hat, melden die Browser "Seite kann nicht angezeigt werden" oder "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde".

Die Verbindung zum Netz ist auf jeden Fall da, DHCP mit DNS-Server werden vom Router zugewiesen und es sind auch keine manuellen Einträge in den Einstellungen vorhanden. Der Rechner hat WXP Pro SP3, den IE6 und FF3. Pings auf den Router, google.de oder Root-Server klappen. POP, SMTP, FTP, Telnet oder ICQ funktionieren auch. Nur Internetseiten können nicht angezeigt werden. Man sieht kurz dass er die IP-Adresse unten link in der Statusleiste anzeigt, aber dann kommt sofort die Fehlermeldung. Das merkwürdige ist, dass, wenn man schnell ist beim Starten von Windows, man eine kurze Zeit surfen kann (also ein zwei Aufrufe oder ca. 10 Sekunden). Die Startseite von Google funktioniert fast immer auch nach Löschen der Temporary Internetfiles. Die Windows-Firewall ist deaktiviert und sonst ist keine installiert. Antivirenprogramme finden nix und diverse AntiSpyware-Tools können entweder nicht installiert werden, weil sie aus dem Internet Updates brauchen oder finden ebenfalls nix. Reset der TCP-Stacks brachte leider auch keinen Erfolg und die Routing-Tabellen sind sauber. Ganz anderer Standort interessiert den Rechner ebenso wenig wie eine andere Netzwerkkarte. Den Rechner will ich nicht neu aufsetzen, da ich mich sonst nicht an dieses Forum wenden brauch. Viele andere Foren haben ettlichen ähnliche Anfragen, doch keiner wurde richtig gelöst und bei vielen sind wirklich nutzlose Antworten. Ich hoffe dass unter Euch hilfreiche Tipps zu erhaschen sind.
Vielen Dank schonmal im Voraus.

Content-ID: 101364

Url: https://administrator.de/forum/windows-xp-tcp-ip-reparieren-101364.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

Tomahawk88
Tomahawk88 08.11.2008 um 18:47:07 Uhr
Goto Top
Zusatz:
Habe mal einen neuen User mit eingeschränkten Rechten erstellt und siehe da: Der kann problemlos surfen....noch ein weiterer Benutzer dagegen mit vollen Rechten nicht. Gleiches Problem. Da wird wohl was mit Adminrechten ausgeführt oder geändert. Eine DLL habe ich mit procexp.exe von Sysinternals bereits versucht zu finden. Doch da werden nur ordentliche geladen.
brammer
brammer 08.11.2008 um 19:17:03 Uhr
Goto Top
Hallo,

was du dir zerschossen hast kann ich dir auch nicht sagen, aber ich weiß was ich in solchen fällen mache:
Daten sichern.
Platt machen.
Neu aufsetzen!

Darüberhinaus würde ich für weitere Situationen wie diese Empfehlen den Rechner einmal sauber aufzusetzen, Ein Image zu ziehen und dann im Zweifelsfall nur das Image wieder herstellen. Geht schneller und funktioniert einwandfrei.

brammer
Tomahawk88
Tomahawk88 08.11.2008 um 19:44:56 Uhr
Goto Top
Moin brammer,

eigentlich habe ich auf hilfreiche Kommentare gehofft, nicht solche, die in nahezu allen anderen Foren zu lesen sind. Wenn ich den Rechner neu aufsetzen will, hätte ich das bereits getan und mich nicht an dieses Forum gewendet. Der Kunde nutzt leider viele kleine Programme und das Neuaufsetzen will ich mir vorerst sparen. Klar hat er die Malware reingelassen. Aber ich gebe noch nicht auf.
Das muss noch mit anderen Mitteln zu lösen sein.
brammer
brammer 08.11.2008 um 20:18:34 Uhr
Goto Top
Hallo,

gut wenn du um das neuaufsetzen herum kommen willst, kannst du versuchen mittels BartPE oder Knoppix den Rechner von einer "sauberen" System zu scannen.
Auch mit einer Reparaturinstallation kannst du erfolg haben, aber anscheinend ist die Malware ja noch nicht wirklich verschwunden.

Hast du identifizieren können welche Schädlinge auf dem Rechner waren?
Wenn ja, kannst du versuchen von verschiedenen Anti Viren Herstellern Removal Tools für den speziellen Schädling zu kriegen und den Rehcner damit säubern.
Nur, wenn das alles nicht klappt, mahc dich mit dem Gedanken vertraut den Rechner neu auf zu setzen.
Nach meiner Erfahrung sind solche Reparaturen Zeitaufwendiger und weniger erfolgreich als eine komplette Neuinstallation, den oftmals kann man das System dabei noch optimieren und richtig auf Vordermann bringen.

brammer
Petrof
Petrof 09.11.2008 um 03:46:28 Uhr
Goto Top
Hallo,

einen Versuch ist folgendes Wert:

http://www.netzwerktotal.de/netzwerkfaq/faq85.htm

In jedem Fall kann ich mich Brammer nur anschließen!

Gruß
Peter
Tomahawk88
Tomahawk88 09.11.2008 um 08:30:47 Uhr
Goto Top
Moin Petrof,

das Tool hinter Deinem Link ist nur 3,5 kB groß und Windows quitiert den Startbefehl mit der Meldung dass es keine zulässige Win32-Anwendung sei. Ich habe mir die Platte geklont und setze die originale jetzt neu auf. Aber den Fehler will ich auch irgendwann lösen.
Tomahawk88
Tomahawk88 09.11.2008 um 10:37:22 Uhr
Goto Top
So, nun funktioniert es wieder....

die geklonte Festplatte habe ich in einem anderen Rechner nach Viren durchsuchen lassen und es wurde ein Rootkit entdeckt, den Avira BDS/TDss.G.22 schimpft. Die Dateien, von denen eine TDSSserv.sys heißt, wurden scheinbar als Gerätetreiber geladen. In der Registry war ein entsprechender LEGACY-Eintrag.
Ende der Geschichte: Im abgesicherten Modus nur mit der Konsole gestartet, den Cracker-Mist gelöscht, Registry-Einträge entfernt und nun läuft er wieder OHNE NEUAUFSETZEN! Geht doch!
Übrigens sind diese schmutzigen Dateien im Windows-Explorer des infizierten PCs nicht aufgeführt worden, was die Suche umso schwieriger gemacht hat. Echt übel solch kriminelle Energie, die sowas ausbrütet.
36213
36213 10.11.2008 um 18:52:37 Uhr
Goto Top
Frage: Du schreibst:

Übrigens sind diese schmutzigen Dateien im Windows-
Explorer des infizierten PCs nicht aufgeführt worden,
was die Suche umso schwieriger gemacht hat. Echt übel
solch kriminelle Energie, die sowas ausbrütet.

Auch bei "Ansicht "alle", ... etc? Das wäre für mich mal was neues...
Tomahawk88
Tomahawk88 10.11.2008 um 20:01:03 Uhr
Goto Top
Wir sind doch alle sicherlich vom Fach, oder?
Natürlich habe ich alle Dateien eingeblendet, und zwar wirklich "ALLE". Das ist einer der ersten Einstellungen, die ich an einem Windows-Rechner ändere.
Für mich war das übrigens auch was neues. Es ist immer wieder erstaunlich was sich diese kranken Produzenten einfallen lassen um ihre Schadsoftware resistenter zu machen.
36213
36213 10.11.2008 um 21:22:20 Uhr
Goto Top
Entschuldige bitte diese "blöde" Frage, meinen Dank vorab.
Im "DOS"-Modus konntest Du diese aber sehen, wie es aussieht.

Im abgesicherten Modus nur mit der Konsole gestartet,
den Cracker-Mist gelöscht, Registry-Einträge entfernt

Auf dem "anderen" Rechner oder mit der infizierten Platte?

Wenn letzteres: Du konntest diese Dateien also im "'DOS'-Modus" sehen?

Du merkst, ich bin mehr als nur interessiert daran.
Tomahawk88
Tomahawk88 11.11.2008 um 08:54:46 Uhr
Goto Top
Im Abgesicherten Modus habe ich nicht nach den Dateien geschaut. Ich habe das Antivirenprogramm erneuert, damit das auch Rootkits entdecken kann und es wurde an mehreren Orten sofort fündig. Nicht nur die TDsserv.sys und seine Brüder in System32, sondern auch direkt unter Windows noch eine *.drv - Datei. Da die Dateien sofort gelöscht werden konnte, gehe ich davon aus dass diese in dem Moment noch nicht aktiv waren.
Der Rest war dann ein Kinderspiel. Nur erstmal darauf kommen.
gammaplayer
gammaplayer 13.11.2008 um 18:45:49 Uhr
Goto Top
Also im Grunde hätte man weiterhin dazu raten müssen, das System sauber neu aufzusetzen aber gut. Jedem das seine. Man weiß schließlich nie, ob nciht doch noch etwas zurückgeblieben ist.

Ich hätte mir ne Knoppicillin-CD geschnappt, davon gebootet und dann die 3 (oder warens 4?) Virenscanner darauf aktualisiert und mal n Vollscan gemacht.

Zum Explorer und keine Dateien sehen kann ich nur sagen, dass, wenn du dir n Rootkit gefangen hast, dies normal ist. Das ist genau das, was Rootkits machen. Sich in entsprechende Abfragen nach Prozessen oder Ordnerinhalten dazwischenklemmen und Spuren vorzuenthalten, so dass sie nicht erkannt werden können. Da hilft dann meist nur noch das Booten von einem sauberen Medium (die AV-Software kann evtl. durch die Rootkit-Methodik ausgetrickst werden) und dann den Rechner mal zu scannen.

Naja ansonsten noch viel Spaß. Kommt davon wenn man mit Admin-Rechten durch die Gegend springt face-smile
(nich böse gemeint ;))