Conficker-Virus ohne Admin-Rechte entfernen? (Conficker, Downadup, Kido,...)
 

Hallo,

in unserer Schule kommt es immer wieder zu Infektionen mit dem Conficker-Virus (auch bekannt als Downadup, Kido,...). Der Virus gelangt über Schüler-Sticks auf einen Schüler-Computer und verbreitet sich über das Netzwerk auf die anderen Rechner. Von dort aus geht es dann wieder auf die Sticks der andern Schüler.

Da ich die Nase voll habe, jede Woche meine Sticks zu prüfen, zu bereinigen usw., möchte ich den Virus während der Schulzeit gleich von meinem Rechner wieder entfernen. Die Schule hat leider keine Antiviren-Programme installiert.

Da der Virus es schafft, sich ohne Admin-Rechte zu installieren, würde ich gern wissen, ob ich ihn auch ohne Admin-Rechte wieder entfernt bekomme. ClamWin usw. finden den Virus zwar auf dem Stick, können ihn jedoch auf dem Computer nicht finden, da er sich wahrscheinlich zu gut schützt.
Wie ich ihn temporär vom Stick entferne, habe ich bereits herausbekommen:
Der Virus legt eine infizierte autorun.inf an und eine .vmx-Datei im Recycler-Ordner. Dort kann ich zwar die Datei löschen, doch dauert es nicht lang, bis sie wieder da ist.
Manchmal kann man versteckte Ordner gar nicht einblenden; ich vermute, dass der Virus dies sperren kann.

Ein paar Hinweise zum System:
Wir nutzen Windows XP (also ohne Benutzerkontensteuerung). Wir haben keine Antiviren-Programme oder sonstige Virenschutzmaßnahmen getroffen.
Das einzige, was ich nach Gespräch mit dem Admin erreichen konnte, ist, dass der Autostart z. T. ausgeschaltet wurde. Allerdings wird die autorun.inf trotzdem noch gelesen und es wird in dem Fenster, wo man auswählen kann, ob man Bilder übertragen möchte oder den ordner anzeigen lassen möchte, eine gefälschte Variante des Ordner-Öffnen-Eintrags angezeigt, was den Virus im System installiert und danach den Ordner öffnet.

Ich hoffe, das waren jetzt nicht zu viele Informationen auf einmal :lach:.

Ob es funktioniert weiß ich nicht so genau; alles was ich bisher probiert habe, scheiterte an fehlenden Admin-Rechten.


UserofSeven

darum sollte sich euer admin kümmern, av software, windows updates, vllt mal alle pcs neu machen.
du kannst auf deinem pc folgendes instalieren:
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport

dann sollte sich keine autorun malware mehr auf dem stick ausbreiten können.
oder besser noch nichts mehr an den infizierten pc anschließen.
falls ihr das wegen hausaufgaben machen müsst, würde ich mich geschlossen in der klasse, bzw schule weigern bis der admin seinen job gemacht hatt.
und für das bereinigen benötigst du admin rechte

Hallo,

erstmals vielen Dank für die schnelle Antwort!

Allerdings kann man nicht sagen, dass der Admin untätig ist. Dieser ist quasi im Dauereinsatz. Einmal die Woche ist der bestimmt da.
Allerdings kann er auch keine Programme installieren. Du weißt sicher, wie das ist: Geld fehlt an allen Ecken und Enden. Kostenlose Programme gehen auch nicht, weil die alle nur für Privatanwender sind.

Auf den Rechnern ist eine Software installiert, die den PC nach einem Neustart quasi wieder zurücksetzt. Normalerweise klappt das (zwar nicht immer, aber meistens). Es geht v. a. um die Zeit, bis der Rechner neu gestartet wird. Die Viren kommen vom Stick, verbreiten sich auf die anderen Sticks und nach einem Neustart werden sie queasi wieder neu installiert (auf die Sticks sind wir ja angewiesen).

Panda USB Vaccine habe ich bereits seit vielen Monaten im Einsatz und es funktioniert ganz gut. Die Viren nisten sich aber trotzdem ein (meist im Recycler-Ordner). Auch wenn sie nicht automatisch starten, können sie nicht einfach drauf bleiben. Ich habe von Trustport sogar schon die Antiviren-Software für USB-Sticks auf dem Stick installiert, aber meist kopiert sich der Virus bevor überhaupt eine andere Software gestartet ist. Danach wird es schwierig, die Datei ohne Rechte zu entfernen.

Und das mit dem weigern klappt auch nicht so richtig, zumindest nicht mit dem angestrebten Ziel. Vielmehr hat die Schule Gründe, Sticks zu verbieten. Die Informatik-Lehrer sind bereits soweit, dass sie einigen Schülern verbieten, Sticks anzuschließen, da die Viren ja hauptsächlich von Schülern kommen, aber kontrollieren und verhindern können sie es trotzdem so gut wie nicht.
Aber ohne Sticks wird es ein bisschen schwierig.

UserofSeven

wie siehts denn mit den sicherheits updates aus? natürlich müsste da diese software abgeschalten sein. wenn windows voll gepatcht ist sollte dieser wurm nicht mehr aktiev werden können.
habt ihr kein internet in der schule, dann würd ich einfach das schulzeug bei nem file hoster hochladen und dann den link in deiner mail adresse abspeichern. ist auf jeden fall besser als seinen stick zu infizieren.

Diese Diskussion war letztens schon mal hier.
Was wäre möglich?
- Installation eines AV-Programmes. Hier gibt es für Behörden und öffentliche Schulen kostenneutrale Möglichkeiten.
- Abschalten der USB-Ports über ein passwortgeschütztes BIOS.
- Automatische Updates des Betriebssystemes auf allen PCs.
- Übertragung bestimmter Dateien über einen eventuell vorhandenen Mail-Client an das Heimnetz oder über das Internet über WebAccess bei einem ISP.

Felix

Hallo,

leider sind die meisten Vorschläge für mich nicht umsetzbar:

1. Ich kann ohne Admin-Rechte schlecht ein Antiviren-Programm installieren. Aber rein aus Interesse: Welche Lösung ist für Schulen kostenfrei?

2. Die USB-Ports können nicht abgeschaltet werden, da wir auf sie angewiesen sind und Dateien direkt von dort aus starten, nutzen usw.

3. Die automatischen Updates nützen nichts, da sie nach einem Neustart wieder weg sind. Der PC wird nach einem Neustart wieder zurückgesetzt.

4. Die Ports für Mail sind im Router der Schule gesperrt. Genauso, wie viele Internetseiten (sogar Sicherheitsseiten von Anti-Viren-Herstellern, einfache Computerseiten, Foren und alles, was sonst in irgendeiner Form eine Gefahr für Schüler darstellen könnte. Ich vermute es wird nicht mehr lange dauern, dann wird bis auf Google alles gesperrt sein :rolleyes:

Richtig, dass kann nur der Admin.
Was glaubst Du denn, was alles geht......
Sei froh, dass ich nicht Dein Admin bin.

LG

Felix

Na dann bin ich froh :)

Ich wäre ja einfach dafür, dass sich die Schule mal ein vernünftiges Anti-Virenprogramm anschafft...

Aber ansonsten gibt es nichts, was ich vor Ort machen kann?

Das sollte eigentlich Pflicht sein.
Du kannst nix tun, ausser den Lehrern und dem Admin auf den Schlips zu treten, dass etwas passiert.
Dir selbst sollten die Rechte fehlen, um auf den PCs was zu richten. Vom Serversystem mal ganz zu schweigen. Wenn der Admin kein Volltrottel ist:zunge:

LG

Felix

Sagt wer? Die Schule macht sich da wenig Gedanken. Wir müssen ja die Sticks nutzen, nicht die Schule. Also wird das kurzerhand zu unserem Problem gemacht.

Mh, mich wundert nur, dass der Virus sich auch ohne Admin-Rechte voll installieren kann

Auf dem Server ist ja ein Antivirenprogramm drauf. Aber der Virus geht halt nicht über den Server, sondern direkt über's Netzwerk auf die anderen Schülercomputer.

Tja, kann man so sagen. Was ich im System schon alles für Sicherheitslücken entdeckt habe... (offenes BIOS, keine Absicherung des Servers im Netzwerk (PW, usw.), Nutzung der Teacher-Software auf dem Schüler-PC, usw.)

Der hat es auch geschafft, von 1 Laptop, wo der Virus drauf war, ein Netzwerk einzurichten und den Schutz auszuschalten (also dass nach einem Neustart nichts wiederhergestellt wird), damit er eine Software installieren kann. Kurzerhand war der Virus nicht mehr nur auf 1 Laptop drauf, sondern auf über 40. Die hat er bis heute nicht entfernt. Ich wünsche ihm schon mal viel Spaß, jeden Rechner einzeln zu säubern. Geld für ein AV-Programm scheint der Landkreis bzw. die Schule ja nicht zu haben; sonst wäre ja schon lange eins drauf...

UserofSeven