COPY-Funktion funzt nicht!

Dieses Thema im Forum "Sicherheit" wurde erstellt von m9seb, 13. April 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. m9seb

    m9seb Byte

    Registriert seit:
    13. April 2005
    Beiträge:
    8
    Guten Tag Allerseits.

    Bin zum ersten Mal hier und hoff, dass mir hier vielleicht geholfen werden kann. Folgendes Problem: Sobald ich eine Datei/Ordner auf meinem Rechner kopieren und anderswo, sei es usb-stick, anderer Pfad etc. einfügen will, funktioniert das nicht mehr! Habe schon den Eintrag von tomsonic vom 24/02/04 gelesen, der das selbe Problem hatte. Habe auch alle Hinweise befolgt, doch leider ohne Erfolg! Sämtliche Tools like Stinger, Microsoft, Symantec etc. finden nichts! Auch Programme wie McAfee Virus Scan Ent. 7 oder AVPersonal Edition bringen es nicht!

    Hat vielleicht irgendjemand eine Idee?

    Vielen Dank im Voraus

    m9seb

    p.s.: running windows 2000 professional!
     
  2. m9seb

    m9seb Byte

    Registriert seit:
    13. April 2005
    Beiträge:
    8
    zu den fehlern/meldungen:

    "svchost.exe verursacht einen fehler." desweiteren kann ich unter netzwerkverbindungen keine einträge mehr sehen, weder lan noch irgendwelche dfü. bei bestehender internetverbindung wird das symbol in der taskleiste nicht mehr angezeigt, obwohl es bei den verbindungseigenschaften so eingestellt ist. die suchfunktion geht auch net mehr, weder nach personen, dateien/ordnern, etc! die windows update funktion geht auch nicht, weder übers update-programm noch direkt über die microsoft-homepage (einzelne sicherheitsupdates downloaden).

    vielleicht hat ja jetzt jemand ne idee?

    vielen dank m9seb
     
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  4. m9seb

    m9seb Byte

    Registriert seit:
    13. April 2005
    Beiträge:
    8
    So, hab jetzt mal Wolfgangs Anweisung befolgt. Anschauen könnt ihr euch das log unter:
    http://www.hijackthis.de/logfiles/49a72e90921946bb299a0a00a8ee7d8d.html

    Für weitere Infos bezüglich dem Problem wäre ich sehr dankbar.

    p.s.: Hab jetzt festgestellt, dass das Defragmentieren auch nicht mehr funktioniert! Desweiteren wollt ich ein aktuelles Norton AV installieren, kommt aber die Fehlermeldung: "InstallShield kann nicht korrekt ausgeführt werden. Dies kann sein, wenn win im abgesicherten Modus läuft (machts aber def. nicht!) Bitte wenden Sie sich an den Support."
     
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    überprüfe diese Dateien:
    lvkh.exe
    MicroSoftWinProt.exe
    C:\WINNT\SAS.EXE (vorher den Prozess im Taskmanager beenden)
    hier:
    http://virusscan.jotti.org/de/
    Falls du mehrere Virenscanner installiert hast würde ich alle, bis auf einen deinstallieren, mehrere Virenscanner parallel laufen zu lassen kann zu Problemen führen.


    Grüße Jasager
     
  6. m9seb

    m9seb Byte

    Registriert seit:
    13. April 2005
    Beiträge:
    8
    Hallo,

    Hab die sas.exe überprüft. Ist ein tool (strg+alt+entf) für meinen touchscreen, hab ich auch schon seit Anfang an installiert. Die beiden anderen konnte ich nicht ausfindig machen, weil: 1. die Suchfunktion nach Dateien/Ordnern nicht geht; 2. im Explorer nur noch teilweise Verzeichnisse und deren Inhalt angeschaut werden kann, speziell der Ordner Programme geht zwar zu Öffnen, aber leider kann ich den Inhalt nicht betrachten. Dies trifft auch noch auf den WINNT-Ordner zu! Es steht zwar da, wieviele Objekte enthalten sind, aber keine zu sehen. SAS.exe habe ich über den Pfad c:\winnt\sas.exe gefunden bzw. über Ausführen angezeigt gekriegt. Da war ich mir aber schon sicher, dass diese Datei nicht der Ursprung des Übels ist! "lvkh.exe" und "MicroSoftWinProt.exe" kommen mir auch spanisch vor, aber leider krieg ich sie nicht zu fassen!

    Was könnte man noch tun? Bzw. wie kann ich die beiden Dateien ausfindig machen? Hat ja schon an die Eingabeaufforderung gedacht, "dir /p", ist aber wohl sehr langwierig!

    please help

    m9seb
     
  7. Suruga

    Suruga Guest

    Abgesicherter Modus? oder über eine Boot-CD wie Barts PE.
     
  8. m9seb

    m9seb Byte

    Registriert seit:
    13. April 2005
    Beiträge:
    8
    Also im abgesicherten Modus hab ichs grad probiert! Die Suche ist leider auch hier erfolglos! Wo würden sich die "Dinger" eurer Meinung nach am ehesten einnisten? Was ist Barts-Pe? Übrigens leider würde das nicht funktionieren, da das CD-Rom (externes Laufwerk über PCMCIA) nicht bootfähig ist!
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    es ist auch durchaus möglich, dass die Dateien nicht mehr auf dem Rechner sind, das im Hijackthis-Logfile sind ja nur Autostarteinträge. Ich bin mir sowieso nicht sicher ob das überhaupt Viren sind die das Problem verursachen oder eher OS Probleme. Aber du könntest mal den Scanner hier drüberlaufen lassen (ist ein on-demand scanner also auch für Parallelbetrieb geeignet) http://www.trojaner-info.de/hijacker/escan.shtml
    Am besten alles im abgesicherten Modus installieren und scannen lassen.

    Grüße Jasager
     
  10. m9seb

    m9seb Byte

    Registriert seit:
    13. April 2005
    Beiträge:
    8
    so,

    hab jetzt e-scan ausgeführt und tatsächlich wurden viren festgestellt! Jetzt muss ich das wohl irgendwie kaufen. Bis jetzt sind es 5:

    "SideFind Spyware/Adware", "Alexa Spyware/Adware", "sais Spyware/Adware", "kapabout Spyware/Ad", "Backdoor.Win32.PoeBot.b"

    Vielen Dank erstmal an alle, die mich meiner angenommen haben! Halt euch weiter auf dem laufendem!

    m9seb
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    du solltest Escan nicht kaufen, das ändert an der Funktionsweise gar nichts, bis auf das die Dateien automatisch gelöscht werden, und wenn du die die Pfade der Dateien hast kannst du das auch selber tun.
    Aber du hast dir den hier gefangen: Backdoor.Win32.PoeBot.b
    Erläuterung: http://www.sophos.com/virusinfo/analyses/w32poebotf.html
    Folge: Dein System ist kompromittiert
    daraus folgt das du es neu aufsetzen musst.
    Anleitung(für XP)
    Hier mal die kurzversion fürs neuaufsetzen:
    1.) Alle nicht ausführbaren Daten sichern (Bilder, mp3s etc)
    2.) auf www.dingens.org Skript sichern
    3.) Alle Partitionen formatieren
    4.) OS neu Aufsetzen und am besten offline alle SPs installieren.
    5.) Skript von dingens.org ausführen
    6.) Erst jetzt online gehen und die übrigen Patches bei Microsoft ziehen
    7.) Virenscanner installieren, am besten noch alternativen Browser und Antispywareprogramme wie Spybot/Adaware.
    8.) Alle Passwörter ändern.


    Grüße Jasager
     
  12. Boersenfeger

    Boersenfeger Megabyte

    Registriert seit:
    31. Januar 2001
    Beiträge:
    1.203
    Hey,
    Lade dir noch spywareblaster 3.3

    von hier

    Wird empfohlen von den Machern von Spybot!

    Gruß
    Börsenfeger
     
  13. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    wenn du den Backdoor (W32/Poebot-F) tatsächlich auf dem System hast dann ist nichts mehr zu machen, Daten sichern und neu installieren.

    Wolfgang77
     
  14. Koschka

    Koschka ROM

    Registriert seit:
    5. Mai 2005
    Beiträge:
    5
    Hatte genau das oben beschriebene Problem.

    Sämtliche V-Scans haben nix und eScan Alexa/... ausgespuckt.

    Nach nem weiteren Update von AntiVir kam dann die Meldung dass ne Datei ntsf.exe <-- (wird wirklich so geschrieben) mit W32/Poebot.Z infiziert sei. Die Datei zu löschen brachte gar nichts. Mit TuneUp-Utillities konnte ich dann einen Start von gleich 3 Einträgen unterbinden. Die Dienste hießen "testtt" und wurden in Administrations,- Systems- und Usermodus gestartet. Nach dem Löschen der 3 Einträge und einem Neustart waren wieder drei Dienste im Startmenü, die hießen aber anders und stammten scheinbar wieder von besagter ntsf.exe. Also wieder gesucht aber komischerweise nicht mehr gefunden - hatte sie ja schon gelöscht. Mein Entschluss stand dann fest, System neu darauf.

    Die auswirkungen des Befalls lassen sich ungefähr so beschrieben:

    Das System verhält sich eigentlich ganz normal. Vielleicht dauert der Start etwas länger, könnte aber auch an der vielen Hardware liegen, die in letzter Zeit dazu gekommen ist. Arbeitet man mit dem System verhält es sich absolut normal. Sobald man aber einen Browser startet, egal welchen (getestet mit firefox, IE und Opera) beginnt die Systemleistung erheblich zu steigen, bis 100% und das System verhält sich wie Gummi. Gewisse Starts sind nicht mehr möglich, Runterfahren wird nicht beendet, neustart scheitert generell, Taskmanager lässt sich nicht mehr aufrufen, Anwendungen haben eine Verzögerung von 1-2 Minuten. Schaut man im Taskmanager nach den Prozessen, finden man einen svhost mit extremem Resourcenhunger, beendet man diesen ist die Internetverbindung zwar noch da, aber unbrauchbar, weil kein Transfer mehr stattfindet.

    Also, sollte jemand W32/Poebot finden, sofort offline ALLE nicht ausführbaren Dateien sicheren (abgesicherter Modus ist am besten) und System in die Tonne kloppen! Außerdem, wie schon erwähnt wurde ist davon auszugehen, dass das System komprimitiert ist und man !ALLE! Passwörter ändern sollte.

    Interessanterweise hat das Ding keinerlei Auswirkungen auf einen Zweitrechner gezeigt, der an meinem dranhängt. Natürlich sollte man keine Datentransfers mehr auf diesen Rechner mache und ihn auf jedenfall mit mehreren Scans überprüfen. eScan ist das Programm meiner Wahl, nebst F-Prot und AntiVir.

    Mit Alexa hat das ganze eigentlich wenig zu tun, weil ich glaube gehört zu haben, dass Alexa ein Element von Windoof XP ist. Mit XP-AntiSpy kann man das deaktivieren. Ist also ne Art Spyware von Microsoft.

    Koschka, gerade ein neues System draufschmeißend
     
  15. Boersenfeger

    Boersenfeger Megabyte

    Registriert seit:
    31. Januar 2001
    Beiträge:
    1.203
    Nur um einem Irrtum vorzubeugen!

    ALEXA ist kein WinXP Programm. Die Spyware wird auch mit WIN98 /WinMe installiert.

    Mit AdAware oder Spybot Search & Destroy kann mans aber deinstallieren!!
    Gruß
    Börsenfeger
    ;)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen