|
Plagegeister aller Art und deren Bekämpfung: Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die SystemeinstellungenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.05.2011, 10:43 | #1 |
| Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Guten Tag, ich arbeite an einem Bürocomputer mit folgenden Eigenschaften:
Es treten vor allem folgende Phänomene auf:
Da diese Effekte bei einem Arbeitskollegen nahezu identisch auftreten, kann man einen Hardwaredefekt (Maus/Tastatur, Bluescreen) denke ich ausschließen. Mein Arbeitskollege hat als Gegenmaßnahme Windows XP neu installiert und den MBR der Festplatte überschrieben, für den Fall, dass es sich um ein Bootkit handeln sollte. Ich bitte um die Einschätzung eines Experten, ob es sich um ein Rootkit oder etwas anderes handelt. Vielen Dank. Gruß Jan Hartmann Eine Chronologie der Ereignisse habe ich hier aufgeführt: 2011-03-17 15:28 Maus und Tastatur sind deaktiviert. 15:30 Bluescreen 15:34 Plötzlicher Neustart 15:36 Ereignisprotokoll weg 15:38 Plötzlicher Neustart 2011-03-18 09:22 Der Taskmanager kann nicht mehr aufgerufen werden. 09:25 Ein Maus-Doppelklick hat keine Auswirkung mehr. 10:20 Die Leertaste verhält sich wie Backspace und löscht das letzte Zeichen. 11:05 Plötzlicher Neustart 11:06 Die Maustaste links und rechts sind vertauscht. 11:50 Die Mausoption In Dialogfeldern automatisch zur Standardschaltfläche springen ist aktiviert worden. 12:07 Die Festplatte läuft ständig. 12:08 RootkitRevealer wird mit folgendem Fehler abgebrochen: An error occurred in CMD.EXE that prevents RootkitRevealer from accurately analyzing your system. If CMD.EXE is available on your system please report this feature. 13:16 GData-Symbol im Infobereich mit Ausrufezeichen - GData Antivirus - der Dienst läuft nicht. 13:16 Der Rechner ist ausgelastet, Programme lassen sich nicht mehr starten, Sanduhr. 2011-03-23 11:00 Plötzlicher Neustart nach gewolltem Abmeldevorgang 14:21 Plötzlicher Neustart 14:23 Plötzlicher Neustart 14:44 Keine Verbindung zum Microsoft-Windows-Netzwerk; Laufwerksbuchstaben fehlen. 2011-04-21 14:30 Netzwerkverbindungen schlagen fehl: Kein einziger Ping (intern/extern) ist erfolgreich; Netzlaufwerke sind nicht mehr verbunden. Nach einem Neustart ist das Netzwerk wieder da. 15:00 Netzwerkverbindungen schlagen fehl: Kein einziger Ping (intern/extern) ist erfolgreich; Netzlaufwerke sind nicht mehr verbunden. Nach ca. 7 Minuten ist das Netzwerk wieder da. 2011-05-03 10:05 Der Systemprozess LSASS.exe wurde unerwartet beendet. Das System wird heruntergefahren. 10:05 Nach dem Neustart steht im Anmeldefenster j.hardman statt jhartmann. 10:05 Die Taskleiste und alle Symbole fehlen: Auf dem Monitor ist außer dem Desktophintergrund nichts mehr vorhanden. Nur noch über den Taskmanger lassen sich Programme öffnen (Neuer Task...). 10:05 Der Registry-Wert HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell ist expIorer.exe statt explorer.exe (großes I statt kleines l). Nach dem Korrigieren des Wertes und anschließendem Neustarten verhält sich der Rechner wieder normal. 10:25 Der Systemprozess LSASS.exe wurde unerwartet beendet. Das System wird heruntergefahren. 10:27 Nach dem Neustart steht im Anmeldefenster j.hartmann statt jhartmann. 10:40 Bluescreen mit folgenden Werten: STOP (0x000000F4) 0x00000003 0x89BB7738 0x89BB78AC 0x805D29B4 10:44 Nach dem Neustart steht im Anmeldefenster j.hartmann statt jhartmann. Die Auswahlbox für die Domänenanmeldung ist deaktiviert. Eine Anmeldung mit Domäne\jhartmann ist aber möglich. 11:22 Maus und Tastatur sind deaktiviert. 11:22 Der Systemprozess LSASS.exe wurde unerwartet beendet. Das System wird heruntergefahren. 11:23 Nach dem Neustart ist die Auswahlbox für die Domänenanmeldung deaktiviert. Eine Anmeldung mit Domäne\jhartmann ist aber möglich. Geändert von jhartmann (03.05.2011 um 11:01 Uhr) |
03.05.2011, 13:23 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die SystemeinstellungenZitat:
__________________ |
03.05.2011, 14:54 | #3 |
| Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Hallo Arne,
__________________danke für deine Antwort. Wir hatten bereits einen Systemadministrator von einem externen Dienstleister hier, der sich mit dem Problem auseinander gesetzt hat. Aber er konnte nichts herausfinden. Das lag auch daran, dass die Probleme nur sporadisch auftreten. Gruß Jan |
03.05.2011, 15:03 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Wieviele Computer mit Windows stehen da im Büro? Gibt es auch Server, wenn ja welche mit welchem Betriebssystem? Internetzugang? Zentrale Firewall vorhanden? Ich welcher Form? Was hat der externe Dienstleister denn alles untersucht? Wenn er schon vor Ort nichts feststellen kann, wieso glaubst du, dass wir es besser über ein Forum sehen können? Oder hattet ihr den allerbilligsten Dienstleister geholt mit entpsrechender Qualifikation und Kompentenz?
__________________ Logfiles bitte immer in CODE-Tags posten |
03.05.2011, 19:09 | #5 | |||
| Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Hallo, es ist ein VPN-Rechnernetz mit lokal ca. 15 Rechnern und deutschlandweit sehr viel mehr Rechnern. Die genaue Anzahl kenne ich nicht und würde sie auch nicht nennen. Es gibt lokal einen Domain-/Fileserver/Gateway, und einen reinen Fileserver, beide mit Windows Server 2003 und Windows-Firewall. Zitat:
Zitat:
Zitat:
Gruß Jan |
04.05.2011, 10:41 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die SystemeinstellungenZitat:
__________________ --> Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen |
12.05.2011, 13:44 | #7 |
| Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Es handelte sich um eine Sabotagesoftware. Das Problem haben wir gelöst, indem der betroffene Rechner aus dem bestehenden Klasse-A-Netz (10.xxx.xxx.xxx) in ein Klasse-C-Subnetz (192.168.xxx.xxx) gesteckt wurde, zu dem der (unbekannte) Saboteur keinen Zugang hat. Geändert von jhartmann (12.05.2011 um 13:50 Uhr) |
12.05.2011, 15:36 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Wie habt ihr das rausgefunden und was für nür Sabotagesoftware soll das gewesen sein?
__________________ Logfiles bitte immer in CODE-Tags posten |
12.05.2011, 16:46 | #9 |
| Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Hallo, dafür, dass es sich um Sabotagesoftware handelt, spricht nach meiner Meinung:
Was meinst du? Gruß Jan |
12.05.2011, 19:16 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Ich kann das überhaupt nicht einschätzen, weil da so viele Unklarheiten sind. Waren alle Rechner im 10er-Netz und nun wurde das Subnetz auf ein privates 192er geändert?
__________________ Logfiles bitte immer in CODE-Tags posten |
12.05.2011, 19:37 | #11 |
| Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Insgesamt: Sagen wir mal 10 Standorte, die im VPN-Netz verbunden sind. Standort 1 im Subnetz 10.1.xxx.xxx, Standort 2 im Subnetz 10.2.xxx.xxx und dann unser Standort, mit Subnetz 10.10.xxx.xxx, mein Rechner mit IP 10.10.11.12. Änderung jetzt: Mein Rechner ist nicht mehr im VPN-Netz, sondern hat als einziger Rechner eine 192.168.xxx.xxx-Adresse. Über einen lokalen Proxyserver, der auf einem Rechner mit zwei Netzwerkkarten installiert ist, habe ich Zugriff auf das Internet. Die eine Netzwerkkarte hat eine 192er-IP und ist direkt mit meinem Rechner verbunden, die andere Netzwerkkarte geht in das 10er-VPN-Netz. Mein Rechner ist also so gut es geht raus aus dem großen Netz. Gruß Jan |
13.05.2011, 10:07 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen Hm, was war denn jetzt die ausschlaggebende Veränderung? Deinen Rechner in ein 192.168er Netz stecken? Proxy vorschalten?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen |
anmeldefenster, antivirus, ausgelastet, automatische updates, error, fehler, festplatte, folge, hardwaredefekt, laufwerksbuchstabe, leer, links, lsass.exe, maus, maus und tastatur, maßnahme, neustarten, programme, revealer, rootkit, starten, systemprozess, taskleiste, taskmanager, tastatur, updates, verbindung, windows, windows xp, windows-firewall |