Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wie "Fun-"Software / Scherz entfernen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.11.2010, 19:53   #1
PotcFdk
 
Wie "Fun-"Software / Scherz entfernen? - Icon32

Wie "Fun-"Software / Scherz entfernen?



Hallo!

Jemand hatte an unseren Schulrechnen viel Spaß, und hatte sein selbstgebasteltes irgendwas auf diese losgelassen.
Sobald man nun Einen der 12 betroffenen PCs einschaltet, läuft der Ladebalken beim Bootscreen durch, schwarzer Bildschirm, ein "HAHA, LOOSER" in der Console, 5 sekunden Pause, reboot.

Da die Rechner zu 80% identisch sind, müsste dieser "Virus" ja eigentlich immer das selbe anrichten, oder?
Die .exe die das alles verursacht hat, liegt hier übrigens noch auf einem "lebenden" PC herum.
Auch schon bei VirusTotal (und ähnlichen) hochgeladen - wird nix erkannt.
Ist wohl kein "echter" Virus, sondern nur ein "nervendes Programm"...

Meine Idee war jetzt:
Ich installiere ein Programm auf einem der funktionierenden PCs, das sich die Festplatte anguckt.
Danach öffne ich die Exe, die ihr "Werk" vollzieht.
Danach (evtl. per Boot disk (?)) erneut analysieren lassen, und einen "Virus-entfern-Patch" erstellen, der auf den zerschossenen PCs die Änderungen rückgängig macht.

Soweit zur Theorie.

Kennt jemand von euch ein solches Programm?
Leider ist die Option, die Festplatte eines funktionierenden PCs zu kopieren nicht gut, da die PCs in "Gruppen" jeweils verschiedene Programme installiert hatten, und eine gesamte "Gruppe" ausgefallen ist.
Klar, ich könnte die auch neu aufsetzen, aber leider ist der Lehrer der die Programmpakete gekauft hat für 3 Monate weg, und die CDs liegen bei ihm zu Hause (warum weiß ich auch nicht ...)


So, ich hoffe das war nicht zu viel,
und wünsche euch viele Grüße,

PotcFdk

Alt 09.11.2010, 20:09   #2
Larusso
/// Selecta Jahrusso
 
Wie "Fun-"Software / Scherz entfernen? - Standard

Wie "Fun-"Software / Scherz entfernen?





versteh ich das richtig das sich ein DOS Fenster öffnet.
Ist das auch wirklich eine .exe ?

Du kannst in den 5 sekunden mittels WIndows + R Taste drücken und shutdown /a ( eingeben ) das herunterfahren unterbinden.

Dann solltest Du eigentlich die .exe Datei löschen können wenn du weißt wo sich diese befindet.

Lösche keine Datei wo du nicht weißt was es ist!!
__________________

__________________

Geändert von Larusso (09.11.2010 um 20:30 Uhr)

Alt 09.11.2010, 20:34   #3
PotcFdk
 
Wie "Fun-"Software / Scherz entfernen? - Standard

Wie "Fun-"Software / Scherz entfernen?



Nein, er bootet direkt in einen dos modus rein (oder sowas in der Art).
Also er zeigt den Ladebalken -> Bildschirm schwarz -> "HAHA, LOOSER" wird weiß (grau) auf schwarz angezeigt.
Nicht in einem Fenster, sondern im Vollbild.
Die üblichen Tastencombos bringen nichts.
Im abgesicherten Modus meckert er über fehlende/fehlerhafte windows systemdateien.
__________________

Alt 09.11.2010, 20:41   #4
Larusso
/// Selecta Jahrusso
 
Wie "Fun-"Software / Scherz entfernen? - Standard

Wie "Fun-"Software / Scherz entfernen?



Darf ich wissen welches Betriebssystem da arbeitet.
Also er bootet gar nicht in Windows rein ?

Kannst Du mir eventuell sagen welche Systemdatei(en) fehlen wenn Du in den Abgesicherten Modus bootest.

Windows CD vorhanden.

Möglichkeit eine Kopie der Datei hochzuladen ? Würde ich mir gerne ansehen
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 09.11.2010, 20:58   #5
PotcFdk
 
Wie "Fun-"Software / Scherz entfernen? - Standard

Wie "Fun-"Software / Scherz entfernen?



Zitat:
Zitat von Larusso Beitrag anzeigen
Darf ich wissen welches Betriebssystem da arbeitet.
Also er bootet gar nicht in Windows rein ?
Jup, gar nicht mehr.
Ist Windows XP Prof. SP2 oder 3 drauf

Zitat:
Zitat von Larusso Beitrag anzeigen
Kannst Du mir eventuell sagen welche Systemdatei(en) fehlen wenn Du in den Abgesicherten Modus bootest.
Könnte ich, aber das wird voraussichtlich erst Freitag der Fall sein.
Ist das wichtig?

Zitat:
Zitat von Larusso Beitrag anzeigen
Windows CD vorhanden.
Ich hätte da meine.... Dieser eine Lehrer hatte aber eine angepasste, wo die ganzen Treiber/Programme dabei waren... Also wenn, dann am liebsten die. Das Problem ist, dass er wie gesagt nicht da ist.

Zitat:
Zitat von Larusso Beitrag anzeigen
Möglichkeit eine Kopie der Datei hochzuladen ?
Im Prinzip ja, aber da ist das selbe Problem wie bei der Frage nach den Systemdateien.
Da komme ich FRÜHESTENS am Freitag ran.

Also dir ist kein solches Programm bekannt?
Wenn nicht, dann muss ich gucken.
Ich würde den Lehrer dann anrufen, und Fragen was mit den CDs ist - seine Frau ist nämlich zu Hause.
Im Prinzip existieren nämlich Backups der Configs, also würde ich einfach ne saubere Neuinstallation machen, und die Konfiguration zurückladen.
Quasi als Notlösung (wobei diese eigentlich nicht so schlecht wäre, wenn ich es mir recht überlege....)

Also, mein Plan:
1. Wenn es eine solche SOftware gibt, diese benutzen
2. Wenn nicht, oben erwähntes Verfahren anwenden.

Wenn dir nichts zu 1. einfällt würde ich dann direkt zu 2. gehen, um das Problem aus der Welt zu schaffen...


Alt 09.11.2010, 21:30   #6
Larusso
/// Selecta Jahrusso
 
Wie "Fun-"Software / Scherz entfernen? - Standard

Wie "Fun-"Software / Scherz entfernen?



Ganz ehrlich, wenn aktuelle Backups vorhanden sind würde ich nicht lange spielen sondern einfach format und einspielen.

Mich würde mehr interesieren was da los ist und vor allem wie ein Schüler sowas auch nur annähernd einpflanzen kann.

Mir fällt nämlich so aus dem Stehgreif kein ähnlicher Fall ein ausser billige .bat Dateien im Autostart Ordner oder ne Datei welche die shutdown.exe anspricht.

Aber da Windows kwasi nicht mehr bootet ist das auch hinfällig :/

Wir könnten mit einer Live CD das System scannen um zu sehen wo und wie die Datei aufgerufen wird.

Mir ist es egal, wir können auch am Fr nach einer Lösung suchen aber wenn Du nicht direkt an den PCs bist wird das eher "wild vermuten" als wirklich eine saubere Lösung zu finden.

Ich muss jetzt ins Bett, 4 Uhr Tagwache.
Eventuell hat ja ein Teamie mit sowas Erfahrung und meldet sich heute noch zu Wort. Ich werd mich aber auch mal schlau machen. ( Morgen )
__________________
--> Wie "Fun-"Software / Scherz entfernen?

Alt 10.11.2010, 15:20   #7
PotcFdk
 
Wie "Fun-"Software / Scherz entfernen? - Standard

Wie "Fun-"Software / Scherz entfernen?



Zitat:
Zitat von Larusso Beitrag anzeigen
Ganz ehrlich, wenn aktuelle Backups vorhanden sind würde ich nicht lange spielen sondern einfach format und einspielen.
Ich denke dass das auch die beste Lösung ist.
Und das war zum Glück einfacher als gedacht.
Besagter Lehrer wurde angerufen, und es hat sich herausgestellt, dass die CDs in einem Schrank im 1. Computerraum gelagert wurden.
Nachdem wir nun auch Zugriff auf die Backups bekommen haben, war klar, dass es so viel einfacher sein würde.
Ich habe jetzt also 10 von 12 PCs (sicherheitshalber) mit dd genullt.
Danach Das Betriebssystem wieder draufgemacht, Software eingerichtet, configs zurückgespielt, und anständig ins Netzwerk eingehängt.
Jetzt läuft alles wieder top.
Morgen sind die beiden letzten dran.

Zitat:
Zitat von Larusso Beitrag anzeigen
Mich würde mehr interesieren was da los ist und vor allem wie ein Schüler sowas auch nur annähernd einpflanzen kann.
Nach einem Blick in die Logs, hat ein Lehrer einem Schüler Rechte für den Netzwerkspeicher gegeben.
Damit konnte er auf so vielen PCs die exe ausführen, wie er wollte.
Der Lehrer war aber gar nicht da, also müssen die Schüler an das Passwort gekommen sein.
Naja, der Lehreraccount wurde erstmal eingefroren.

Bezüglich der .EXE die das alles angestellt hat: Jemand der sich für ganz schlau hielt, hat sie (und alle ihre automatisch angelegten Backups) gelöscht, um (Zitat): "Die Rechner und Schüler vor Viren zu schützen".
Ich könnte sie mit etwas Mühe mit einer Wahrscheinlichkeit von vll. 30 % wiederherstellen, aber ich denke nicht, dass das noch nötig ist.
Falls es trotzdem unbedingt gewünscht ist (Neugier?) kann ich es trotzdem mal versuchen, Erfolg nicht garantiert.

Okay, das wärs, für mich ist die Sache hiermit abgeschlossen, und ich kann mich wieder meinem Linux-PC zuwenden


Vielen Dank nochmal,

MfG,
PotcFdk

Alt 10.11.2010, 16:41   #8
Larusso
/// Selecta Jahrusso
 
Wie "Fun-"Software / Scherz entfernen? - Standard

Wie "Fun-"Software / Scherz entfernen?



Was nicht da ist brauch ma nicht wieder herstellen. Es wäre wirklich nur Neugier


Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere möge bitte einen eigenen Thread erstellen
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu Wie "Fun-"Software / Scherz entfernen?
aufsetzen, bildschirm, entfernen, erneut, festplatte, gekauft, gruppe, gruppen, ide, installiert, kopieren, neu aufsetzen, pcs, platte, programm, programme, rechner, rückgängig, schaltet, scherz, schwarzer bildschirm, screen, sekunden, software, verschiedene, verursacht, virus, virustotal, warum



Ähnliche Themen: Wie "Fun-"Software / Scherz entfernen?


  1. Plötzlich Software "picexa.exe" installiert, "delta-homes.com" als Startseite in sämtlichen Browsern
    Log-Analyse und Auswertung - 10.04.2015 (11)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Trojaner "Xtreme Rat" von der Software "DETEKT" entdeckt! Was kann ich tun?
    Log-Analyse und Auswertung - 20.11.2014 (1)
  4. Beim Treiber Update "wiederspenstige" Software eingefangen. "SpeedUpMyComputer"
    Plagegeister aller Art und deren Bekämpfung - 27.05.2014 (3)
  5. Win 7: "PlusHD.8" & "rvzr-a-akamaihd.net" nerven - brauche Support beim Entfernen
    Log-Analyse und Auswertung - 24.01.2014 (17)
  6. "Java Software Critical Update" entfernen
    Anleitungen, FAQs & Links - 07.01.2014 (2)
  7. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  8. "AppsHat", "DeltaToolbar" und div. andere Software nach Download von mcpatcher
    Plagegeister aller Art und deren Bekämpfung - 02.10.2013 (23)
  9. "click to continue" oder "browse to save" entfernen
    Log-Analyse und Auswertung - 02.04.2013 (21)
  10. "click to continue" oder "browse to save" entfernen
    Plagegeister aller Art und deren Bekämpfung - 20.01.2013 (2)
  11. Diverse Fehlermeldungen bei Start des Systems nach "Entfernen" des "Polizei-Virus"
    Log-Analyse und Auswertung - 27.10.2012 (10)
  12. Ernst gemeinter Artikel "Amanda Todd und eine dubiose Software names "SASS Report"
    Diskussionsforum - 20.10.2012 (3)
  13. Wie soll ich "HTML/Rce.gen" in "\Firefox\Profiles\p2hadvdz.default\Cache" entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (1)
  14. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  15. Trojaner "Crypt.XPACK.Gen" -Software zum Entfernen?
    Antiviren-, Firewall- und andere Schutzprogramme - 19.05.2008 (1)
  16. "_avast4_" folder & "webshlock.txt" lassen sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.04.2007 (1)
  17. "Standard Bla"? (kein Scherz)
    Plagegeister aller Art und deren Bekämpfung - 26.04.2005 (1)

Zum Thema Wie "Fun-"Software / Scherz entfernen? - Hallo! Jemand hatte an unseren Schulrechnen viel Spaß, und hatte sein selbstgebasteltes irgendwas auf diese losgelassen. Sobald man nun Einen der 12 betroffenen PCs einschaltet, läuft der Ladebalken beim Bootscreen - Wie "Fun-"Software / Scherz entfernen?...
Archiv
Du betrachtest: Wie "Fun-"Software / Scherz entfernen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.