gelöst Windows XP TCP-IP reparieren

Mitglied: Tomahawk88

Tomahawk88 (Level 1) - Jetzt verbinden

08.11.2008, aktualisiert 13.11.2008, 10416 Aufrufe, 12 Kommentare

Nach Infizierung des Rechners kein Internet mehr möglich.

Moin moin,

nach der manuellen Entfernung von der Malware AntivirusPro 2009 und der Restspuren ist weiterhin kein Internet möglich. Seit dem das Schadprogramm den Rechner belegt hat, melden die Browser "Seite kann nicht angezeigt werden" oder "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde".

Die Verbindung zum Netz ist auf jeden Fall da, DHCP mit DNS-Server werden vom Router zugewiesen und es sind auch keine manuellen Einträge in den Einstellungen vorhanden. Der Rechner hat WXP Pro SP3, den IE6 und FF3. Pings auf den Router, google.de oder Root-Server klappen. POP, SMTP, FTP, Telnet oder ICQ funktionieren auch. Nur Internetseiten können nicht angezeigt werden. Man sieht kurz dass er die IP-Adresse unten link in der Statusleiste anzeigt, aber dann kommt sofort die Fehlermeldung. Das merkwürdige ist, dass, wenn man schnell ist beim Starten von Windows, man eine kurze Zeit surfen kann (also ein zwei Aufrufe oder ca. 10 Sekunden). Die Startseite von Google funktioniert fast immer auch nach Löschen der Temporary Internetfiles. Die Windows-Firewall ist deaktiviert und sonst ist keine installiert. Antivirenprogramme finden nix und diverse AntiSpyware-Tools können entweder nicht installiert werden, weil sie aus dem Internet Updates brauchen oder finden ebenfalls nix. Reset der TCP-Stacks brachte leider auch keinen Erfolg und die Routing-Tabellen sind sauber. Ganz anderer Standort interessiert den Rechner ebenso wenig wie eine andere Netzwerkkarte. Den Rechner will ich nicht neu aufsetzen, da ich mich sonst nicht an dieses Forum wenden brauch. Viele andere Foren haben ettlichen ähnliche Anfragen, doch keiner wurde richtig gelöst und bei vielen sind wirklich nutzlose Antworten. Ich hoffe dass unter Euch hilfreiche Tipps zu erhaschen sind.
Vielen Dank schonmal im Voraus.
Mitglied: Tomahawk88
08.11.2008 um 18:47 Uhr
Zusatz:
Habe mal einen neuen User mit eingeschränkten Rechten erstellt und siehe da: Der kann problemlos surfen....noch ein weiterer Benutzer dagegen mit vollen Rechten nicht. Gleiches Problem. Da wird wohl was mit Adminrechten ausgeführt oder geändert. Eine DLL habe ich mit procexp.exe von Sysinternals bereits versucht zu finden. Doch da werden nur ordentliche geladen.
Bitte warten ..
Mitglied: brammer
08.11.2008 um 19:17 Uhr
Hallo,

was du dir zerschossen hast kann ich dir auch nicht sagen, aber ich weiß was ich in solchen fällen mache:
Daten sichern.
Platt machen.
Neu aufsetzen!

Darüberhinaus würde ich für weitere Situationen wie diese Empfehlen den Rechner einmal sauber aufzusetzen, Ein Image zu ziehen und dann im Zweifelsfall nur das Image wieder herstellen. Geht schneller und funktioniert einwandfrei.

brammer
Bitte warten ..
Mitglied: Tomahawk88
08.11.2008 um 19:44 Uhr
Moin brammer,

eigentlich habe ich auf hilfreiche Kommentare gehofft, nicht solche, die in nahezu allen anderen Foren zu lesen sind. Wenn ich den Rechner neu aufsetzen will, hätte ich das bereits getan und mich nicht an dieses Forum gewendet. Der Kunde nutzt leider viele kleine Programme und das Neuaufsetzen will ich mir vorerst sparen. Klar hat er die Malware reingelassen. Aber ich gebe noch nicht auf.
Das muss noch mit anderen Mitteln zu lösen sein.
Bitte warten ..
Mitglied: brammer
08.11.2008 um 20:18 Uhr
Hallo,

gut wenn du um das neuaufsetzen herum kommen willst, kannst du versuchen mittels BartPE oder Knoppix den Rechner von einer "sauberen" System zu scannen.
Auch mit einer Reparaturinstallation kannst du erfolg haben, aber anscheinend ist die Malware ja noch nicht wirklich verschwunden.

Hast du identifizieren können welche Schädlinge auf dem Rechner waren?
Wenn ja, kannst du versuchen von verschiedenen Anti Viren Herstellern Removal Tools für den speziellen Schädling zu kriegen und den Rehcner damit säubern.
Nur, wenn das alles nicht klappt, mahc dich mit dem Gedanken vertraut den Rechner neu auf zu setzen.
Nach meiner Erfahrung sind solche Reparaturen Zeitaufwendiger und weniger erfolgreich als eine komplette Neuinstallation, den oftmals kann man das System dabei noch optimieren und richtig auf Vordermann bringen.

brammer
Bitte warten ..
Mitglied: Petrof
09.11.2008 um 03:46 Uhr
Hallo,

einen Versuch ist folgendes Wert:

http://www.netzwerktotal.de/netzwerkfaq/faq85.htm

In jedem Fall kann ich mich Brammer nur anschließen!

Gruß
Peter
Bitte warten ..
Mitglied: Tomahawk88
09.11.2008 um 08:30 Uhr
Moin Petrof,

das Tool hinter Deinem Link ist nur 3,5 kB groß und Windows quitiert den Startbefehl mit der Meldung dass es keine zulässige Win32-Anwendung sei. Ich habe mir die Platte geklont und setze die originale jetzt neu auf. Aber den Fehler will ich auch irgendwann lösen.
Bitte warten ..
Mitglied: Tomahawk88
09.11.2008 um 10:37 Uhr
So, nun funktioniert es wieder....

die geklonte Festplatte habe ich in einem anderen Rechner nach Viren durchsuchen lassen und es wurde ein Rootkit entdeckt, den Avira BDS/TDss.G.22 schimpft. Die Dateien, von denen eine TDSSserv.sys heißt, wurden scheinbar als Gerätetreiber geladen. In der Registry war ein entsprechender LEGACY-Eintrag.
Ende der Geschichte: Im abgesicherten Modus nur mit der Konsole gestartet, den Cracker-Mist gelöscht, Registry-Einträge entfernt und nun läuft er wieder OHNE NEUAUFSETZEN! Geht doch!
Übrigens sind diese schmutzigen Dateien im Windows-Explorer des infizierten PCs nicht aufgeführt worden, was die Suche umso schwieriger gemacht hat. Echt übel solch kriminelle Energie, die sowas ausbrütet.
Bitte warten ..
Mitglied: 36213
10.11.2008 um 18:52 Uhr
Frage: Du schreibst:

Übrigens sind diese schmutzigen Dateien im Windows-
Explorer des infizierten PCs nicht aufgeführt worden,
was die Suche umso schwieriger gemacht hat. Echt übel
solch kriminelle Energie, die sowas ausbrütet.

Auch bei "Ansicht "alle", ... etc? Das wäre für mich mal was neues...
Bitte warten ..
Mitglied: Tomahawk88
10.11.2008 um 20:01 Uhr
Wir sind doch alle sicherlich vom Fach, oder?
Natürlich habe ich alle Dateien eingeblendet, und zwar wirklich "ALLE". Das ist einer der ersten Einstellungen, die ich an einem Windows-Rechner ändere.
Für mich war das übrigens auch was neues. Es ist immer wieder erstaunlich was sich diese kranken Produzenten einfallen lassen um ihre Schadsoftware resistenter zu machen.
Bitte warten ..
Mitglied: 36213
10.11.2008 um 21:22 Uhr
Entschuldige bitte diese "blöde" Frage, meinen Dank vorab.
Im "DOS"-Modus konntest Du diese aber sehen, wie es aussieht.

Im abgesicherten Modus nur mit der Konsole gestartet,
den Cracker-Mist gelöscht, Registry-Einträge entfernt

Auf dem "anderen" Rechner oder mit der infizierten Platte?

Wenn letzteres: Du konntest diese Dateien also im "'DOS'-Modus" sehen?

Du merkst, ich bin mehr als nur interessiert daran.
Bitte warten ..
Mitglied: Tomahawk88
11.11.2008 um 08:54 Uhr
Im Abgesicherten Modus habe ich nicht nach den Dateien geschaut. Ich habe das Antivirenprogramm erneuert, damit das auch Rootkits entdecken kann und es wurde an mehreren Orten sofort fündig. Nicht nur die TDsserv.sys und seine Brüder in System32, sondern auch direkt unter Windows noch eine *.drv - Datei. Da die Dateien sofort gelöscht werden konnte, gehe ich davon aus dass diese in dem Moment noch nicht aktiv waren.
Der Rest war dann ein Kinderspiel. Nur erstmal darauf kommen.
Bitte warten ..
Mitglied: gammaplayer
13.11.2008 um 18:45 Uhr
Also im Grunde hätte man weiterhin dazu raten müssen, das System sauber neu aufzusetzen aber gut. Jedem das seine. Man weiß schließlich nie, ob nciht doch noch etwas zurückgeblieben ist.

Ich hätte mir ne Knoppicillin-CD geschnappt, davon gebootet und dann die 3 (oder warens 4?) Virenscanner darauf aktualisiert und mal n Vollscan gemacht.

Zum Explorer und keine Dateien sehen kann ich nur sagen, dass, wenn du dir n Rootkit gefangen hast, dies normal ist. Das ist genau das, was Rootkits machen. Sich in entsprechende Abfragen nach Prozessen oder Ordnerinhalten dazwischenklemmen und Spuren vorzuenthalten, so dass sie nicht erkannt werden können. Da hilft dann meist nur noch das Booten von einem sauberen Medium (die AV-Software kann evtl. durch die Rootkit-Methodik ausgetrickst werden) und dann den Rechner mal zu scannen.

Naja ansonsten noch viel Spaß. Kommt davon wenn man mit Admin-Rechten durch die Gegend springt
(nich böse gemeint ;))
Bitte warten ..
Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerkkomponent mit SD-Kartenslot
gelöst waddalosFrageWindows Netzwerk26 Kommentare

Hallo an alle, folgendes Problem gibt es bei uns im Unternehmen: Der Wareneingang soll jeden Eingang fotografieren und anschließend ...

Server
File Portal mit Userverwaltung gesucht
McLionFrageServer17 Kommentare

Hallo zusammen, ich suche eine Art Fileserver im Webbrowser. Es gibt diese zwar wie Sand am Meer, jedoch ohne ...

PHP
Fehler mit PHP-FPM
adriaanFragePHP15 Kommentare

Hallo guten Abend liebe Forenmitglieder, ich habe ein Problem. Nämlich habe ich ein Kontroll PHP Skript heruntergeladen und damals ...

Netzwerke
Heimnetzwerk erweitern
TellMyWifiLoveHerFrageNetzwerke11 Kommentare

Gott zum Gruße die Herrn und Damen, Ich habe bereits einige Seiten im großen weiten interwebz erforscht aber konnte ...

Windows Server
Internetzugang über Terminalserver
Felix0201FrageWindows Server10 Kommentare

Hallo, ich habe folgendes Anliegen. Wir wollen einen Terminalserver für ca. 20-25 Nutzer bereitstellen. Ist es da besser den ...

Windows 10
Windows 10 64 Business hängt sich auf
gelöst greenhorn1FrageWindows 1010 Kommentare

Hallo, ich habe eine neuen HP Computer mit Windows 10 Business 64. Ich kann leider nicht zwischen 2 Benutzern ...

Ähnliche Inhalte
LAN, WAN, Wireless
TCP IP Paket einschleusen
gelöst pd.edvFrageLAN, WAN, Wireless10 Kommentare

Hallo. Ich habe einen relativ einfachen Server und einen kleinen Sniffer geschrieben, der auf die Pakete lauscht und dann ...

C und C++
Daten auslesen via Modbus TCP IP
kogi3396FrageC und C++1 Kommentar

Hallo zusammen, wir haben bei uns vor kurzem eine neue Klimaanlage im Serverraum in Betrieb genommen, die durch eine ...

Windows 10

Ändern der TCP IP-Einstellungen in Windows 10 1903

Bem0815AnleitungWindows 1011 Kommentare

In 1903 haben nun auch die TCP/IP Einstellungen Einzug in das Windows 10 Modern User Interface gefunden. Die alte ...

Erkennung und -Abwehr

TCP Acceleration

MikePostFrageErkennung und -Abwehr1 Kommentar

Hallo zusammen Auf meinem Proxy werden bekannte Phishing Sites geblockt. Doch in den Logs wird jeweils ein TCP_Acceleration from ...

Netzwerkprotokolle

Delay auf TCP-Pakete unter Windows 7

gelöst luftikusFrageNetzwerkprotokolle9 Kommentare

Hallo zusammen, ich möchte gerne einen Delay von 300 ms auf alle ausgehenden TCP-Pakete von einem bestimmten Port (und ...

Netzwerkprotokolle

TCP Sequenznummer ISN Rätsel

gelöst WinLiCLIFrageNetzwerkprotokolle3 Kommentare

Hallo zusammen, ich bin seit kurzem dran, einige Details zu TCP zu lösen und wollte die Experten unter uns ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud