Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Nt autorität system --- System wird heruntergefahren

bilibi / 11 Antworten / Baumansicht Nickles

Hallo zusammen.

Seit gestern habe ich hier einen Gastrechner der alle Merkmale des 2003 herausgekommenen Sasser (W32.Blaster) aufweist.
Dienst RPC Remoteprozeduraufruf wurde unerwartet beendet

Betriebssystem ist XP Home mit SP 3

Nach dem sehr langsamen Systemstart erscheint das Anmeldefenster zum Benutzer.
Nach Eingabe des Kennwortes dauert es ewig bis das der Desktop erscheint. Die Toolbar mit dem WIn Start Button ist nicht vorhanden.
Die Eingabe Win Taste und R für die Eingabe des shutdown -a bringt keinen Erfolg da das Eingabefenster meistens erst gar nicht erscheint
Ist es doch einmal erschienen muss im 60 Sek. Takt immer wieder diese Eingabe shutdown -a erfolgen da sonst das System herunterfährt.


Es ist gelungen Nach Malwarebytes zu installieren jedoch kommt die Fehlermeldung Laufzeitfehler 372

Aufgetreten ist dies, als der Benutzer auf das neue AVIRA 12 upgedated hat.


Folgende Rettungsversuche wurden unternommen.

C´t Security mit allen 4 Scannern benutzt --> Ergebnis --> Kein Befall

Festplatte in ein Virenfreies System eingebaut.
Mit einem aktuellen ESET NOD 5 die Platte gescannt. Ergebnis --> Kein Befall
Als Gastplatte mit Malwarebytes untersucht.
Folgende Fehler wurden behoben

j:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
j:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
j:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
j:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.7 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
j:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.8 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
j:\system volume information\_restore{6a58d310-3030-41a0-b878-a43ea12b314b}\RP343\A0059861.old (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
j:\system volume information\_restore{6a58d310-3030-41a0-b878-a43ea12b314b}\RP346\A0060473.old (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
j:\system volume information\_restore{6a58d310-3030-41a0-b878-a43ea12b314b}\RP348\A0061091.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
j:\system volume information\_restore{6a58d310-3030-41a0-b878-a43ea12b314b}\RP348\A0078342.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.


Den aktuellen Stinger Scanner benutzt---keine Meldung

Die Systemwiederherstellung funzt nicht, weder im laufenden System noch mittels Win CD und der Rettungskonsole.


Leider ist nach dieser Prozedur kein Erfolg aufgetreten.
Das System startet noch immer bescheiden und fährt wieder runter

Jemand noch eine Idee außer Neuinstallation


jruess
b

Deo Fretus Erumpe
bei Antwort benachrichtigen
gelöscht_35042 bilibi „Nt autorität system --- System wird heruntergefahren“
Optionen

Das System scheint kompromittiert und somit hilft nur eine Neuinstallation...

Gruß

bei Antwort benachrichtigen
bilibi gelöscht_35042 „Das System scheint kompromittiert und somit hilft nur eine Neuinstallation... Gruß“
Optionen

Hallo Luttyy,

das ein kompromitiertes System nicht mehr weiterlaufen wird scheint allen klar.

Leider hat der "Gute Jung" keine Datensicherung seiner Betriebssoftware gemacht und darum geht es jetzt.

Wenn die Daten gesichert sind kann das System aus einer ACRONIS Sicherung von der Erstinst. neu aufgesetzt werden


jruess

b

Deo Fretus Erumpe
bei Antwort benachrichtigen
soppiy bilibi „Hallo Luttyy, das ein kompromitiertes System nicht mehr weiterlaufen wird...“
Optionen

Das Problem ist aber das beim Sichern, auch der "Schädling" mitgesichert werden kann, und dann das System wiederum kompromitiert ist.

Dumme Gedanken hat jeder, aber der Weise verschweigt sie.(http://www.z-mj.de)
bei Antwort benachrichtigen
bilibi soppiy „Das Problem ist aber das beim Sichern, auch der Schädling mitgesichert werden...“
Optionen

Das ist leider nicht gänzlich auszuschließen.

Der Versuch des installation auf ein neues System, mit dem Übertrag der alten Dateien funktionierte leider nicht

Deo Fretus Erumpe
bei Antwort benachrichtigen
bilibi Nachtrag zu: „Das ist leider nicht gänzlich auszuschließen. Der Versuch des installation auf...“
Optionen

Update:

Habe jetzt nochmal diese infizierte Platte in einem Gastrechner als Slave eingebaut.

Search & Destroy als auch der Mc Affee Stinger brachten keinen Bösewicht zutage.

Dieser Virus scheint dermaßen mutiert zu sein, dass man sagen kann.
"Mit dem leicht zu entfernenden Sasser (W32.Blaster) hat er nichts mehr gemein außer den Bildschirm für den shutdown.

Was mir sorgen macht ist die Tatsache, dass alle marktführenden Virenscanner (NOD, Kaspersky, Avira, Mc Affee) diesen Eindringling nicht feststellen können.

Wer weiss was sonst noch so auf unseren FP schlummert.

Deo Fretus Erumpe
bei Antwort benachrichtigen
winnigorny1 bilibi „Update: Habe jetzt nochmal diese infizierte Platte in einem Gastrechner als...“
Optionen

.... Schon mal mit einer Life-CD mit Viren-Scanner gestartet? Dann startet kein Windows und nach dem Online-Update der Virensignaturen kann man das System optimaler checken, als würde man das über ein Windows machen.

So habe ich auch schon Viren auf dem Rechner meines Sohnes gefunden, die über den Virenscanner über Windows nicht aufzuspüren waren.

Aber nichts desto trotz, der Offline-Scanner behauptet dann auch, wenn man das löschen bestätigt hat, die Entfernung und die dürfte viel besser sein, als irgendeine Entfernung von Viren aus einem laufendem Windows; nichtsdestotrotz ist ein einmal kompromittiertes Sys nie wieder wirklich vertrauenswürdig und eine Neuinstallation oder das Rückschreiben eines Image (so vorhanden) ist angesagt!

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
bilibi winnigorny1 „.... Schon mal mit einer Life-CD mit Viren-Scanner gestartet? Dann startet kein...“
Optionen

Hallo

wie bereits geschrieben hatte ich die C´t Security CD benutzt

Diese basiert auf Ubuntu und wird als Live CD gestartet.

Da sind vier Scanner drinn. Alle sagen "Da is nichts"

jruess
b

Deo Fretus Erumpe
bei Antwort benachrichtigen
bilibi Nachtrag zu: „Nt autorität system --- System wird heruntergefahren“
Optionen

Hallo

hier die Lösung.

AVIRA hat, mit verlaub gesagt, SCH.... gebaut.
http://forum.avira.com/wbb/index.php?page=Thread&postID=1121755#post1121755

Beim Update auf AVIRA 12 kann es zum Abschuss des Systems kommen.


jruess
b

Deo Fretus Erumpe
bei Antwort benachrichtigen
torsten40 bilibi „Nt autorität system --- System wird heruntergefahren“
Optionen

Nur so nebenbei, das Herunterfahren kann man verhindern, wenn man schnell genug ist, Mittels
shutdown -a
im Ausführenfenster

Freigeist
bei Antwort benachrichtigen
bilibi torsten40 „Nur so nebenbei, das Herunterfahren kann man verhindern, wenn man schnell genug...“
Optionen

Wie bereits beschrieben habe ich das gemacht.
(Nicht alles gelesen '''?" :-) )

Wenn das System es den einmal zugelassen hat.
Leider kam das herunterfahren meist schneller als diese Tastenkombi reagierte.

Das System wird ganz, ganz langesam und verarbeitet die Tastenkombi nur zögerlich

Deo Fretus Erumpe
bei Antwort benachrichtigen
bilibi Nachtrag zu: „Nt autorität system --- System wird heruntergefahren“
Optionen

Von AVIRA wurde dieses Verhalten nachgestellt.

Es kommt vor, wenn: nforce Chipsätze im System arbeiten.

Explizit:
Es muss sich hier um eine Inkompatibilität zwischen der Avira Firewall und dem NVIDIA (Forceware) Network Access Manager handeln. Wird dieser deinstalliert, tritt das Problem nicht mehr auf.

Deo Fretus Erumpe
bei Antwort benachrichtigen