Hallo,

Folgendes Problem,
Bei Systemstart startet sich ein Prozess namens EXPLORER.EXE welche einige Programme direkt nach dem Start wieder schließt und es unmöglich macht eine AntiVirus Software zu finden. Der Virus breitet sich über Datenträger aus sobald ein USB-Stick an den Rechner angesteckt wird ist dieser infiziert wird aber von jeder herkömmlichen AntiVirus software gefunden und entfernt. Problem auf den Rechnern meiner Schule ist kein AntiVirus Software installiert da diese keinen Internetzugriff haben. Sobald man den Prozess EXPLORER.EXE beendet kann man die Programme wieder öffnen aber keine Anti virus software installieren. Bei Neustart wird der Prozess wieder automatisch gestartet. Die Autostart datei lässt sich löschen schreibt sich aber immer wieder neu ein. Die Ausgangsdatei des Viruses konnte ich nicht finden ich konnte lediglich mit ProcessExplorer unter Windows XP SP2 die Zugriffsrechte der Datei ändern und somit den Virus ins Koma legen und somit wurde der Prozess auch nicht mehr nach neustart gestartet. Proplem ist 10 andere Rechner sind mit Windows XP SP3 versehen und bei dieser Version habe ich keinen Zugriff auf die Berechtigungseinstellungen.

Frage an euch habt ihr eine Idee was dieser Virus überhaupt erreichen will ?
Wie bekomme ich ihn wieder los ?



Gruß Manu

Zitat:

und bei dieser Version habe ich keinen Zugriff auf die Berechtigungseinstellungen.

Wieso hast du da keinen Zugriff drauf? Bist du der technisch verantwortliche für diese Rechner?

Zitat:

Wie bekomme ich ihn wieder los ?

Ohne Adminrechte kann man nichts bereinigen

Ich habe volle Adminstratorrechte und das verwirrende ist ja das bei den Eigenschaften der exe unter sp2 das tab Sicherheit da ist und bei sp3 ist dieses verschwunden

Zitat:

Ich habe volle Adminstratorrechte

Und welche Rolle hast du da eigentlich in der Schule?

Lehrer, Admin, Schüler?

Warum hab die Admins es verpennt das SP3 auf die XP-Rechner zu spielen? Ist überhaupt bekannt, dass WinXP in wenigen Wochen EOL ist?

Kannst du bitte mal Klarheit reinbringen

Ich bin ein Schüler der verzweifelten Lehrern helfen will
Die Hälfte der Rechner läuft auf SP2 da diese vor den anderen 10 installiert wurden geupdated wurden diese nie.
Darauf habe ich die Lehrer schon hingewiesen aber wie das halt immer in den Schulen ist beantragen ausschreiben genehmigen lassen .... Dauert bis was neues kommt.

Und um wie viele Rechner geht es da jetzt genau?

Du willst doch nicht allen ernstes jetzt jeden Rechner abklopfen, von jedem Logs erstellen und diese hier posten

Mal drüber nachgedacht, dass die schnellste Methode ein sauberes neu installieren aller betroffenen Rechner ist?

20 aber 10 konnte ich schon "säubern" mein Problem ist nur das die andere Hälfte eben unter SP 3 läuft und meinen weg nicht zulässt. Die Neuinstallation ist aufgrund teurer Software (audioschnitt) mit product keys nicht möglich.
Ich erhoffte mir einen Tipp wie ich auf die Berechtigungen eines Prozesses unter SP3 komme. Bzw. Ein paar Meinungen und infos zu dieser Art virus. Die komplett Reinigung ist gar nicht nötig.

Automatische Wiedergabe deaktivieren. Geh bei den betroffenen Gerätem mit aktuellem Malwarebytes rüber.


Automatische Wiedergabe (Autorun) deaktivieren

Lesestoff:
Aufgabe von Autorun

Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:

• Doppelklicken
• Kontextmenü
• Automatische Wiedergabe

Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen.

Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren.

Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.


Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben:

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
         

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern