|
Wie "Fun-"Software / Scherz entfernen? Hallo! Jemand hatte an unseren Schulrechnen viel Spaß, und hatte sein selbstgebasteltes irgendwas auf diese losgelassen. Sobald man nun Einen der 12 betroffenen PCs einschaltet, läuft der Ladebalken beim Bootscreen durch, schwarzer Bildschirm, ein "HAHA, LOOSER" in der Console, 5 sekunden Pause, reboot. Da die Rechner zu 80% identisch sind, müsste dieser "Virus" ja eigentlich immer das selbe anrichten, oder? Die .exe die das alles verursacht hat, liegt hier übrigens noch auf einem "lebenden" PC herum. Auch schon bei VirusTotal (und ähnlichen) hochgeladen - wird nix erkannt. Ist wohl kein "echter" Virus, sondern nur ein "nervendes Programm"... Meine Idee war jetzt: Ich installiere ein Programm auf einem der funktionierenden PCs, das sich die Festplatte anguckt. Danach öffne ich die Exe, die ihr "Werk" vollzieht. Danach (evtl. per Boot disk (?)) erneut analysieren lassen, und einen "Virus-entfern-Patch" erstellen, der auf den zerschossenen PCs die Änderungen rückgängig macht. Soweit zur Theorie. Kennt jemand von euch ein solches Programm? Leider ist die Option, die Festplatte eines funktionierenden PCs zu kopieren nicht gut, da die PCs in "Gruppen" jeweils verschiedene Programme installiert hatten, und eine gesamte "Gruppe" ausgefallen ist. Klar, ich könnte die auch neu aufsetzen, aber leider ist der Lehrer der die Programmpakete gekauft hat für 3 Monate weg, und die CDs liegen bei ihm zu Hause (warum weiß ich auch nicht ...) So, ich hoffe das war nicht zu viel, und wünsche euch viele Grüße, PotcFdk |
:hallo: versteh ich das richtig das sich ein DOS Fenster öffnet. Ist das auch wirklich eine .exe ? Du kannst in den 5 sekunden mittels WIndows + R Taste drücken und shutdown /a ( eingeben ) das herunterfahren unterbinden. Dann solltest Du eigentlich die .exe Datei löschen können wenn du weißt wo sich diese befindet. Lösche keine Datei wo du nicht weißt was es ist!! |
Nein, er bootet direkt in einen dos modus rein (oder sowas in der Art). Also er zeigt den Ladebalken -> Bildschirm schwarz -> "HAHA, LOOSER" wird weiß (grau) auf schwarz angezeigt. Nicht in einem Fenster, sondern im Vollbild. Die üblichen Tastencombos bringen nichts. Im abgesicherten Modus meckert er über fehlende/fehlerhafte windows systemdateien. |
Darf ich wissen welches Betriebssystem da arbeitet. Also er bootet gar nicht in Windows rein ? Kannst Du mir eventuell sagen welche Systemdatei(en) fehlen wenn Du in den Abgesicherten Modus bootest. Windows CD vorhanden. Möglichkeit eine Kopie der Datei hochzuladen ? Würde ich mir gerne ansehen :kaffee: |
Zitat:
Ist Windows XP Prof. SP2 oder 3 drauf Zitat:
Ist das wichtig? Zitat:
Zitat:
Da komme ich FRÜHESTENS am Freitag ran. Also dir ist kein solches Programm bekannt? Wenn nicht, dann muss ich gucken. Ich würde den Lehrer dann anrufen, und Fragen was mit den CDs ist - seine Frau ist nämlich zu Hause. Im Prinzip existieren nämlich Backups der Configs, also würde ich einfach ne saubere Neuinstallation machen, und die Konfiguration zurückladen. Quasi als Notlösung (wobei diese eigentlich nicht so schlecht wäre, wenn ich es mir recht überlege....) Also, mein Plan: 1. Wenn es eine solche SOftware gibt, diese benutzen 2. Wenn nicht, oben erwähntes Verfahren anwenden. Wenn dir nichts zu 1. einfällt würde ich dann direkt zu 2. gehen, um das Problem aus der Welt zu schaffen... |
Ganz ehrlich, wenn aktuelle Backups vorhanden sind würde ich nicht lange spielen sondern einfach format und einspielen. Mich würde mehr interesieren was da los ist und vor allem wie ein Schüler sowas auch nur annähernd einpflanzen kann. Mir fällt nämlich so aus dem Stehgreif kein ähnlicher Fall ein ausser billige .bat Dateien im Autostart Ordner oder ne Datei welche die shutdown.exe anspricht. Aber da Windows kwasi nicht mehr bootet ist das auch hinfällig :/ Wir könnten mit einer Live CD das System scannen um zu sehen wo und wie die Datei aufgerufen wird. Mir ist es egal, wir können auch am Fr nach einer Lösung suchen aber wenn Du nicht direkt an den PCs bist wird das eher "wild vermuten" als wirklich eine saubere Lösung zu finden. Ich muss jetzt ins Bett, 4 Uhr Tagwache. Eventuell hat ja ein Teamie mit sowas Erfahrung und meldet sich heute noch zu Wort. Ich werd mich aber auch mal schlau machen. ( Morgen ) :) |
Zitat:
Und das war zum Glück einfacher als gedacht. Besagter Lehrer wurde angerufen, und es hat sich herausgestellt, dass die CDs in einem Schrank im 1. Computerraum gelagert wurden. Nachdem wir nun auch Zugriff auf die Backups bekommen haben, war klar, dass es so viel einfacher sein würde. Ich habe jetzt also 10 von 12 PCs (sicherheitshalber) mit dd genullt. Danach Das Betriebssystem wieder draufgemacht, Software eingerichtet, configs zurückgespielt, und anständig ins Netzwerk eingehängt. Jetzt läuft alles wieder top. Morgen sind die beiden letzten dran. Zitat:
Damit konnte er auf so vielen PCs die exe ausführen, wie er wollte. Der Lehrer war aber gar nicht da, also müssen die Schüler an das Passwort gekommen sein. Naja, der Lehreraccount wurde erstmal eingefroren. Bezüglich der .EXE die das alles angestellt hat: Jemand der sich für ganz schlau hielt, hat sie (und alle ihre automatisch angelegten Backups) gelöscht, um (Zitat): "Die Rechner und Schüler vor Viren zu schützen". Ich könnte sie mit etwas Mühe mit einer Wahrscheinlichkeit von vll. 30 % wiederherstellen, aber ich denke nicht, dass das noch nötig ist. Falls es trotzdem unbedingt gewünscht ist (Neugier?) kann ich es trotzdem mal versuchen, Erfolg nicht garantiert. Okay, das wärs, für mich ist die Sache hiermit abgeschlossen, und ich kann mich wieder meinem Linux-PC zuwenden :) Vielen Dank nochmal, MfG, PotcFdk |
Was nicht da ist brauch ma nicht wieder herstellen. Es wäre wirklich nur Neugier :) Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere möge bitte einen eigenen Thread erstellen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board