Hallo, habe seit letzter Woche nen rootkit befall auf C im system32.
(in Windows/ system32/ drivers/ Kalygj.sys gemeldete Infektionen: RKIT/Kryptic.763904; trojan + Rootkit.Agent.AJCN)

Das ist aber jetzt nebensächlich, da ich sowieso vorhabe XP komplett neu aufzuspielen.
(Ich bin seit dem Fund und Reparaturversuchen nicht mehr mit diesem PC online und habe meine Dokumente über Ubuntu gespeichert)

Wollte jetzt nur noch mal nachfragen:

Meine Festplatte ist in 2 Partitionen aufgeteilt.
Beim booten mit der XP-CD wird (lt. Anleitungen) abgefragt, was man machen will und man kann somit die Festplatte (C ) formatieren und Windows neu aufspielen?, wenn ich das richtig verstehe.

Reicht es wenn ich C formatiere oder muss ich auch die andere Partition ( D ) löschen??

Ist man nur so 100% sicher, dass wirklich ALLE Störenfriede weg sind ?

Sollte man VORHER noch mal am PC diverse Ordner oder Dateien löschen, weil da evtl. nach der Formatierung noch was hängen bleiben kann?

Und: WIE genau komme ich, wenn alles soweit neu ist, wieder ins Internet ? DAS habe ich nämlich nicht wirklich gefunden in den ganzen Themen. Es sind zwar immer Reihenfolgen der Installation erklärt, aber WIE rufe ich überhaupt eine Internetseite auf, wenn nix installiert wäre?

Ist da evtl. beim XP Programm ein Zugang mit dabei, oder muss ich mir vorm Plattmachen noch irgendwelche Zugangsdaten besorgen, dass ich dann überhaupt noch ins Internet komme ?

LG
Pelikan

Zitat:

Zitat von Pelikan

Reicht es wenn ich C formatiere oder muss ich auch die andere Partition ( D ) löschen??

Ist man nur so 100% sicher, dass wirklich ALLE Störenfriede weg sind ?

Wenn du c:\ formatiert ist Windows erst mal sauber. Zusätzliches Löschen auf c:\ ist daher nicht notwendig. Liegt auf d:\ noch dubioses Zeug, ist es sicherer, auch d:\ zu plätten, da über die autorun-Funktion von Windows die Partition c:\ wieder infiziert werden kann. Das gilt nicht nur für d:\, sondern für alle weiteren (externen) Medien wie USB, externe Platte oder CD/DVD.

Zitat:

Und: WIE genau komme ich, wenn alles soweit neu ist, wieder ins Internet ?

Wie kommst du denn bisher ins Internet? Wenn dein altes XP noch lebt, gib ein: Start->Ausführen->cmd [ENTER] Im schwarzen Fenster

Code: Alles auswählenAufklappen

ATTFilter

ipconfig /all
         

und poste die Ausgabe hier.

Ok, also die USB Sticks habe ich in ubuntu getestet, die sind sauber.
Ich glaube, sicherheitshalber D: formatieren ist dann also besser.

Tja, bisher komme ich ins Internet indem ich den Mozillabutton anklicke

Die Einrichtung der Internetverbindung selbst war schon gemacht als ich den PC bekam. Zumindest weiß ich, ich habe nen Router und DSL. Sorry für meine Unwissenheit - aber im Moment weiß ich net mehr.

Mein PC läuft schon noch, ich traute mich nur nicht mehr ins Net wegen dem Befall.

Es soll ja nicht noch mehr Schaden angerichtet werden (die Telekom schickte schon nen Brief, dass ich Spammails verschicken würde- was ich natürlich nicht gemacht habe - aber eben dieser MISTKERL!)


Ich kann dann aber erst später cmd ausführen - bin ja jetzt woanders online.

Evtl. kann ich es dann erst morgen posten.

Muss ich dann einfach auf "Code einfügen" klicken und den Text von cmd da irgendwie reinkopieren ?

Danke schon mal für die Hilfestellung.

LG
Pelikan

Du startest einfach die Eingabeaufforderung -> das ist das schwarze Fenster, was sich dann öffnet. Und dort gibst du ipconfig /all ein. Für die 3 Buchstaben brauchst du kein c&p.

Angezeigt wird dir die derzeitige Netzwerkkonfiguration, das hilft beim späteren Neuzugang ins Netz. Alles nicht so wild... Poste erst mal die Ausgabe.

ordell bitte entschuldige meine kleine Einmischung, meine Anmerkungen

Zitat:

Zitat von Pelikan

Es soll ja nicht noch mehr Schaden angerichtet werden (die Telekom schickte schon nen Brief, dass ich Spammails verschicken würde- was ich natürlich nicht gemacht habe - aber eben dieser MISTKERL!)

Dann klemme deinen PC vom Netzwerk (Router) ab, sonst klemmt die Telekom deinen Router vom Internet ab!
(Und schiebe nicht alles auf den Mistkerl, die Mistsoftware hast du dir wohl schon selber draufgespielt, zwar unwissend, aber doch.)

Wenn du einen Router hast, dann baut außer bei ganz exotischen Methoden der Router die Verbindung zum Internet auf. Soweit so gut und einfach.
Aber Achtung, der PC (bzw. alle Programme - auch die unerwünschten) machen also vermutlich selbständig eine Internetverbindung via Router, auch ohne dass du den "Mozillbutton" anklickst. Ein PC der SPAM versendet gehört sofort vom Netz, auch physikalisch getrennt.

Da man mit "ipconfig /all" ein paar Infos (die im Idealfall unwichtig sind, aber es läuft nicht immer alles ideal) u.U. nur bekommt, wenn der PC am Router angeschlossen ist, der PC aber via Router vermutlich bzw. vielleicht noch ständig SPAM-Mails versendet, solltest du kurz den Router vom Splitter trennen, bevor du den PC einschaltest oder mit dem Router verbindest.
ipconfig (siehe ordell) machen und PC vom Netzwerk trennen, Router wieder mit dem Splitter verbinden. Wenn du nicht sicher bist, frag vorher nach.

Mit
ipconfig / all > d:\ipconfig.txt
wird auf d: im Wurzelverzeichnis (also ganz "oben") eine Textdatei mit den Informationen erzeugt. Falls du bekannte Dateierweiterungen ausblenden lässt (XP-Voreinstellung) heißt die Datei nur ipconfig und hat aber das Text-Datei-Ikon. Datei öffnen - Inhalt kopieren - und hier reinkopieren.

Also das mit cmd hat zwar funktioniert, aber das mit der Texterzeugung und hier einfügen nicht.

Ich schreib den Fensterinhalt jetzt halt mal so auf:

Microsoft Windows XP [Version 5.1.2600]
Copyright 1985-2001 .....

Windows - IP - Konfiguration

Hostname.................: Wxxxx(mein Name)
Primäres DNS-Suffix....:
Knotentyp................: Unbekannt
IP-Routing aktiviert....: Nein
WINS-Proxy aktiviert...: Nein

Ethernetadapter LAN-Verbindung:

Verbindungsspezifische DNS-Suffix:
Beschreibung.............................: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC
Physikalische Adresse................: 00-xxxxxxxx (hier weiß ich nicht, ob ich sie voll ausschreiben sollte)
DHCP aktiviert.............: Ja
Autokonfiguration aktiviert..........: Ja
IP-Adresse..............: 1xxxxxxxxxxxxxxx0
Subnetzmaske..........: 2xxxxxxxxxxxxxxx0
Standardgateway......: 1xxxxxxxxxxxxxx1
DHCP-Server.........: 1xxxxxxxxxxxxxx1
Lease erhalten.....: Montag, 18.Januar 2010 21:59:41
Lease läuft ab......: Montag, 8. Februar 2010 21:59:41

Das war's - das steht bei cmd und ipconfig /all drin.

LG
Pelikan

PS: Habe in letzter Zeit überhaupt keine Software draufgespielt und bin eher zurückhaltend, was Surfen auf fremden Seiten angeht. Fremde mails werden sowieso nicht geöffnet.

Zitat:

Zitat von Shadow

ordell bitte entschuldige meine kleine Einmischung, meine Anmerkungen

@Pelikan: Bei dir agiert der Router als DHCP- und DNS-Server. Bei einer Neuinstallation bezieht XP standardmäßig IP-Adresse und DNS vom Router. Einstellungen deinerseits sind also nicht notwendig. Wichtig ist nur, dass XP die Netzwerkkarte erkennt, also der entsprechende Treiber vorhanden ist. Schau im Gerätemanager (Start-Ausführen-devmgmt.msc [ENTER]) nach dem Typ deiner Netzwerkkarte, gehe auf die Homepage des Herstellers und lade zur Sicherheit den passenden Treiber runter. Wenn es sich nicht um eine exotische oder sehr neue Karte handelt, sollte XP die Karte automatisch erkennen.

Nebenbei: Du brauchst nichts auszuxxxxxxxxxen. Es handelt sich um private IP-Adressen, zB 192.168.1.1, die nicht geroutet werden. siehe wikipedia


#####
edit: Treiberinstallation Realtek RTL8139 PCI

gehe auf die Homepage http://www.realtek.com.tw/downloads/...&GetDown=false und lade den "WinXP and WinServer 2003 Driver" -> 2. Zeile, 325kb Größe

entzippe das Archiv

folge dieser Anleitung zur manuellen Treiberinstallation: http://www.bleepingcomputer.com/tuto...torial119.html

@ordell1234

VIELEN DANK für die Infos.

Hatte ja gehofft, dass über XP alles soweit läuft ohne zutun.

Aber falls es nicht so wäre, dann hätte ich wahrscheinlich etwas ratlos vorm PC gesessen-

man muss doch wirklich an alles denken, damit man auch alle Treiber usw. hat.

Danke für den Link und die Anleitung. Das ist echt klasse.

LG
Pelikan