Neustarts, Bluescreens, Deaktivierung von Maus und Tastatur, Eingriffe in die Systemeinstellungen
 

Guten Tag,

ich arbeite an einem Bürocomputer mit folgenden Eigenschaften:

• Windows XP Service Pack 3
• Automatische Updates sind aktiviert
• Windows-Firewall ist aktiviert
• G-Data Antivirus 10.7 Client ist aktiv
• Der angemeldete Benutzer jhartmann verfügt über ein eingeschränktes Benutzerkonto

Es treten vor allem folgende Phänomene auf:

• Bluescreens
• Deaktiverung von Maus und Tastatur
• Plötzliche Neustarts
• Neustarts, weil LSASS.EXE unerwartet beendet wurde
• Eingriffe in die Registrierungsdatenbank

Da diese Effekte bei einem Arbeitskollegen nahezu identisch auftreten, kann man einen Hardwaredefekt (Maus/Tastatur, Bluescreen) denke ich ausschließen.
Mein Arbeitskollege hat als Gegenmaßnahme Windows XP neu installiert und den MBR der Festplatte überschrieben, für den Fall, dass es sich um ein Bootkit handeln sollte.

Ich bitte um die Einschätzung eines Experten, ob es sich um ein Rootkit oder etwas anderes handelt. Vielen Dank.

Gruß
Jan Hartmann

Eine Chronologie der Ereignisse habe ich hier aufgeführt:

2011-03-17
15:28 Maus und Tastatur sind deaktiviert.
15:30 Bluescreen
15:34 Plötzlicher Neustart
15:36 Ereignisprotokoll weg
15:38 Plötzlicher Neustart

2011-03-18
09:22 Der Taskmanager kann nicht mehr aufgerufen werden.
09:25 Ein Maus-Doppelklick hat keine Auswirkung mehr.
10:20 Die Leertaste verhält sich wie Backspace und löscht das letzte Zeichen.
11:05 Plötzlicher Neustart
11:06 Die Maustaste links und rechts sind vertauscht.
11:50 Die Mausoption In Dialogfeldern automatisch zur Standardschaltfläche springen ist aktiviert worden.
12:07 Die Festplatte läuft ständig.
12:08 RootkitRevealer wird mit folgendem Fehler abgebrochen: An error occurred in CMD.EXE that prevents RootkitRevealer from accurately analyzing your system. If CMD.EXE is available on your system please report this feature.
13:16 GData-Symbol im Infobereich mit Ausrufezeichen - GData Antivirus - der Dienst läuft nicht.
13:16 Der Rechner ist ausgelastet, Programme lassen sich nicht mehr starten, Sanduhr.

2011-03-23
11:00 Plötzlicher Neustart nach gewolltem Abmeldevorgang
14:21 Plötzlicher Neustart
14:23 Plötzlicher Neustart
14:44 Keine Verbindung zum Microsoft-Windows-Netzwerk; Laufwerksbuchstaben fehlen.

2011-04-21
14:30 Netzwerkverbindungen schlagen fehl: Kein einziger Ping (intern/extern) ist erfolgreich; Netzlaufwerke sind nicht mehr verbunden. Nach einem Neustart ist das Netzwerk wieder da.
15:00 Netzwerkverbindungen schlagen fehl: Kein einziger Ping (intern/extern) ist erfolgreich; Netzlaufwerke sind nicht mehr verbunden. Nach ca. 7 Minuten ist das Netzwerk wieder da.

2011-05-03
10:05 Der Systemprozess LSASS.exe wurde unerwartet beendet. Das System wird heruntergefahren.
10:05 Nach dem Neustart steht im Anmeldefenster j.hardman statt jhartmann.
10:05 Die Taskleiste und alle Symbole fehlen: Auf dem Monitor ist außer dem Desktophintergrund nichts mehr vorhanden. Nur noch über den Taskmanger lassen sich Programme öffnen (Neuer Task...).
10:05 Der Registry-Wert HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell ist expIorer.exe statt explorer.exe (großes I statt kleines l). Nach dem Korrigieren des Wertes und anschließendem Neustarten verhält sich der Rechner wieder normal.
10:25 Der Systemprozess LSASS.exe wurde unerwartet beendet. Das System wird heruntergefahren.
10:27 Nach dem Neustart steht im Anmeldefenster j.hartmann statt jhartmann.
10:40 Bluescreen mit folgenden Werten: STOP (0x000000F4) 0x00000003 0x89BB7738 0x89BB78AC 0x805D29B4
10:44 Nach dem Neustart steht im Anmeldefenster j.hartmann statt jhartmann. Die Auswahlbox für die Domänenanmeldung ist deaktiviert. Eine Anmeldung mit Domäne\jhartmann ist aber möglich.
11:22 Maus und Tastatur sind deaktiviert.
11:22 Der Systemprozess LSASS.exe wurde unerwartet beendet. Das System wird heruntergefahren.
11:23 Nach dem Neustart ist die Auswahlbox für die Domänenanmeldung deaktiviert. Eine Anmeldung mit Domäne\jhartmann ist aber möglich.

Wieso fragst du nicht die EDV-Abteilung oder habt ihr keine Admins? :confused:

Hallo Arne,

danke für deine Antwort. Wir hatten bereits einen Systemadministrator von einem externen Dienstleister hier, der sich mit dem Problem auseinander gesetzt hat. Aber er konnte nichts herausfinden. Das lag auch daran, dass die Probleme nur sporadisch auftreten.

Gruß
Jan

Wieviele Computer mit Windows stehen da im Büro? Gibt es auch Server, wenn ja welche mit welchem Betriebssystem?

Internetzugang? Zentrale Firewall vorhanden? Ich welcher Form?

Was hat der externe Dienstleister denn alles untersucht? Wenn er schon vor Ort nichts feststellen kann, wieso glaubst du, dass wir es besser über ein Forum sehen können? :confused:
Oder hattet ihr den allerbilligsten Dienstleister geholt mit entpsrechender Qualifikation und Kompentenz? :pfeiff:

Hallo,

es ist ein VPN-Rechnernetz mit lokal ca. 15 Rechnern und deutschlandweit sehr viel mehr Rechnern. Die genaue Anzahl kenne ich nicht und würde sie auch nicht nennen. Es gibt lokal einen Domain-/Fileserver/Gateway, und einen reinen Fileserver, beide mit Windows Server 2003 und Windows-Firewall.

Er hat ziemlich schnell aufgegeben, er konnte schon nicht glauben, dass das Ereignisprotokoll einfach leer ist.
Ich hoffe darauf, dass zufälligerweise jemand diese gehäuften Phänomene entweder aus eigener Erfahrung kennt, oder aufgrund seines Wissens einordnen kann, eventuell weiß, was der Auslöser davon ist und mir eine Lösung nennen kann. Ich stimme dir zu, das man sich sowas Uneindeutiges vor Ort ansehen muss.

Darüber weiß ich nichts.

Gruß
Jan

D.h. ihr seid mehr oder weniger in einer kleineren Zweigstelle, die über VPN mit dem Hauptstandort angebunden ist?

Es handelte sich um eine Sabotagesoftware. Das Problem haben wir gelöst, indem der betroffene Rechner aus dem bestehenden Klasse-A-Netz (10.xxx.xxx.xxx) in ein Klasse-C-Subnetz (192.168.xxx.xxx) gesteckt wurde, zu dem der (unbekannte) Saboteur keinen Zugang hat.

Wie habt ihr das rausgefunden und was für nür Sabotagesoftware soll das gewesen sein?

Hallo,

dafür, dass es sich um Sabotagesoftware handelt, spricht nach meiner Meinung:

• Beschriebene Probleme traten auf einem neu installierten Windows 7 mit Firewall und Antivirus nach wenigen Stunden wieder auf.
• Nach besagtem Umstellen auf ein 192.xxx.xxx.xxx-Subnetz und Internetzugang per lokalem Proxyserver gab es augenblicklich keine Probleme mehr
• Die Loginnamen-Manipulation von 'jhartmann' nach 'j.hardman' sieht nach aktivem Benutzereingriff aus (gut, es könnte auch ein Deutsch-Englisch-Wörterbuch sein, was verwendet wurde).

Was meinst du?
Gruß
Jan

Ich kann das überhaupt nicht einschätzen, weil da so viele Unklarheiten sind.
Waren alle Rechner im 10er-Netz und nun wurde das Subnetz auf ein privates 192er geändert?

Insgesamt: Sagen wir mal 10 Standorte, die im VPN-Netz verbunden sind. Standort 1 im Subnetz 10.1.xxx.xxx, Standort 2 im Subnetz 10.2.xxx.xxx und dann unser Standort, mit Subnetz 10.10.xxx.xxx, mein Rechner mit IP 10.10.11.12.

Änderung jetzt: Mein Rechner ist nicht mehr im VPN-Netz, sondern hat als einziger Rechner eine 192.168.xxx.xxx-Adresse. Über einen lokalen Proxyserver, der auf einem Rechner mit zwei Netzwerkkarten installiert ist, habe ich Zugriff auf das Internet. Die eine Netzwerkkarte hat eine 192er-IP und ist direkt mit meinem Rechner verbunden, die andere Netzwerkkarte geht in das 10er-VPN-Netz. Mein Rechner ist also so gut es geht raus aus dem großen Netz.

Gruß
Jan

Hm, was war denn jetzt die ausschlaggebende Veränderung? :wtf:
Deinen Rechner in ein 192.168er Netz stecken?
Proxy vorschalten?