habe die verschiedensten trojaner vieren und spyware drauf ..

trotz langsamer formatierung und partionierung in xp oder vista


blue screen - win32k.exe fehler .. wdf01000.sys .. adblock.dll .. usw.


mit av-scanern yb. - mwav hat mal fujacks gefunden .. troj_alk.b hktl_mdctr.a .. whenUSave_installer.exe.. win32lockfolder.a ... win32reboot.e .. bat.ftp.ab ..
win32.fileinfector .. whenU-3 usw.


ich denke , es versteckt sich was in pat0 festplatte (und auch speicher) ..


der router lasst mich zb.nicht mehr auf die trojaner-board seite
nach einem eintrag hier von mir hier , selbst nach einem reset nicht
ist das pw schon geaendert und ich komm nicht mehr rauf.

oder lasst mich gewisse virenscanner nicht mehr runterladen usw.
(alles innerhalb 2 tagen , dann neu aufsetzen
und das seit 4/5wochen schon)

bin zur zeit mit knoppix im netz ,wo alles funkt.

danke f[r eure hilfe im vorraus >)

Lade dir Knoppicillin herunter, auf CD brennen und System hochbooten. Sind verschiedene Virenscanner integriert. Könnte sich auch um einen bootvirus handeln.

Knoppicillin Download - aber wo ? - administrator

Was heißt langsame Formatierung? Hast du jetzt versucht dein System neu aufzusetzen? Was passiert wenn du Windows neu installieren willst?

Gruss

thx fuer deine antwort ,

aber der download funkt bei mir nicht (anderes dort kann ich downloaden)

habe jetzt einen anderen link knoppicillin 5 gefunden
der geht.
falls jemand braucht


ftp://linux.rz.ruhr-uni-bochum.de/knoppicillin/



unter windows kann man langsam oder schnell formatieren,
wobei die langsame art davon die sicherste ist.

gruss

Hallo,

Zitat:

unter windows kann man langsam oder schnell formatieren,
wobei die langsame art davon die sicherste ist.

Nicht das ich deine Aussage irgendwie in Frage stellen würde....
Aber woher weißt du das bzw.wo bitte könnte ich das nachlesen ?

Meine Empfehlung lautet : Schau dir den Thread zum Neuaufsetzen des Systems an.
Du findest ihn in unserer FAQ Sektion.
Der hat schon Tausenden auf den rechten Weg geholfen,sofern sie die weiterführenden Links und Tipps beachtet haben,sind sie auch nie wieder hier gesehen worden.....
Irrlicht

woher ich das weis ,

scherz oder

ich hab mehr als 200mal windows systeme in meinem pc-leben
auf gesetzt und da hat man so einiges in den jahren dazu gelernt .
das heisst nicht dass ich mich super gut auskenn , aber jeder techniker admin ...
hat das vorgeschlagen , beim neuinstallieren
eine langsame formatierung durzufueren

aber ich lasse mich gerne besseren belehren

ich hatte nie so extreme probleme wie seit 5 wochen.

danke f[r deine hilfe

gruss

Hallo,

Zitat:

woher ich das weis ,

scherz oder

Ja,dachte ich zuerst auch...Aber ein Scherz von deiner Seite.....

Zitat:

ich hab mehr als 200mal windows systeme in meinem pc-leben
auf gesetzt und da hat man so einiges in den jahren dazu gelernt .

Da muss ich passen....auf 200 mal komme ich nicht...

Zitat:

das heisst nicht dass ich mich super gut auskenn

Geht mir genau so.....

Zitat:

aber jeder techniker admin ...
hat das vorgeschlagen , beim neuinstallieren
eine langsame formatierung durzufueren

Aha...haben die dir jemals gesagt ,woher sie das haben ?

Zitat:

aber ich lasse mich gerne besseren belehren

Ich hatte das eigentlich von dir erhofft....
Ich habe mit Google gesucht ,das die Server qualmten...
Aber keinen Link gefunden ,der mir die unterschiedlich schnelle Formatierung erklärt hätte....
Hast du inzwischen was für mich ?

Btw. ich will dich nicht hochziehen,befürchte aber du verwechselst Begriffe...
Mir ist eine unterschiedlich schnelle Art der Formatierung einer Festplatte nun überhaupt nicht bekannt...
Da ich aber durchaus bereit bin Neues zu lernen,dachte ich es wäre mal wieder soweit...

Vielleicht könntest du mal ein Logfile von HijackThis vorzeigen ?
Anleitung dazu ist in unserer FAQ Sektion.
Irrlicht

Logfile of HijackThis v1.99.1
Scan saved at 16:31:31, on 12.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Programme\Microsoft Windows OneCare Live\winss.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\haing9.NKLNKK-10412EDD\Desktop\hijackthis_199\muh_HijackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1072912443281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1072912433562
O17 - HKLM\System\CCS\Services\Tcpip\..\{8034842F-65A4-4464-942C-CE9F5EDE51DD}: NameServer = 195.58.160.194,195.58.161.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3A81DF3-0E83-4197-9982-C2B40849D490}: NameServer = 195.58.160.194,195.58.161.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8725F1-B89C-4733-8B3C-686FAF2D24AD}: NameServer = 195.58.160.194 195.58.161.122
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

hey grr, (die antwort nochmal für alle)

der fifo bedeutet: firstin firstout. Was genau ist dein problem, habe eigentlich gute erfahrungen mit gdata internet security gemacht, das hat den bei mir eingeschleusten rootkit gefunden. allerdings handelte es sich um ein botnetz. sollte bei dir das problem nicht zu lösen sein, hast du nur die möglichkeit deine eproms auf dem motherboard zu prüfen. dazu brauchst du allerdings ein spezielles gerät bzw. gibt es solche angebote zum prüfen, da du ja auch eine entsprechendes bios brauchst. gibts meist beim hersteller. kostet natürlich. sollte ein neues bios update nicht funzen, neues motherboard, ist die billigste lösung. habe mit microsoft und kaspersky lange hantiert, die wissen um die zombie-rechner und haben nicht wirklich eine lösung...!

for more info ask

greetz

fidesta

hey grr,

im übrigen benutzte ich auch dban per diskette. sollte etwas auf dem rechner sein hilft eh nur das überschreiben der ganzen platte, vorzugsweise mit der gutmann-methode... dauert zwar ist aber sicherlich nochmal eine möglichkeit, ausserdem bios auf null setzen, heißt mit jumper und batterie arbeiten. anleitung sollte bei dem hersteller des motherboards zu bekommen sein.


greetz

fidesta

p.s.: es spielt keine rolle ob du sp2 drauf hast oder nicht, wie hier der eine oder andere immer hochnässig behauptet hat. einem rootkit ist das ganz egal...

"Denn sie wissen nicht, was sie tun"

hallo fidesta

danke für deine nachricht

habe mir ein neues motherboard zu gelegt

und alles funktioniert soweit.

das mit dem fifo-baustein ist trotzdem wieder wie vorher da ,
trotz neuer festpl. lan und board.
(nur grafik und prozessor ist alt)
es kam mir nur spanisch vor dass sonst keiner (den ich fragte)bei der wind.inst. einen fifo baustein mit installiert hat.
Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

dann so fehler melungen eben falls im ereignisprotokoll zu anfang zb.:
Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

Ein Anbieter, CmdTriggerConsumer, wurde im WMI-Namespace, Root\cimv2, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt.

würd gern wissen ob die paar einträge in der ereignisanzeige bei jeder windows installation normal sind.
und das mit dem rootkit , das würd ich auch gern verstehn ,
wie ich das gekriegt hab und wo dieses teil überwintert am pc

gruss