Also ein nettes elektronisches Haustier, auf dem befallenen Rechner gabs gleich verschiedene dieser Vieher, hat sich den Scherz erlaubt, das Ausführen von Explorer.exe zu verbieten. Sonst wars ja immer eher regedit und taskman, welche gesperrt wurden.
Das Problem liess sich leicht beheben an sich, aber ich fand bisher nicht, wo der gesperrt wurd.
Welche Orte für solche Sperrungen sind bekannt? Dateirechte und gpedit Software Restriction Policies in Windows/Security unter Comp Conf sinds definitiv nicht. Auch nicht nach Hash wurde gesperrt.

Notiz an sich... AVG fand 3 Haustiere und Kaspersky oder Avast fanden etwa 27 - AVG war auch schon nützlicher. Avast fand sie sogar beim Start vom befallenen System. Die Platte wurde danach zur Virenhatz ausgebaut und in einem keimfreien System den genannten Werkzeugen ausgesetzt.

HI!


Hast du mal unter "Lokale Sicherheitsrichtlinien" geschaut?

mfg

Sorry, aber in einem solchen Fall hilft m.E. nur noch die Installations-CD.

Bandit666

Ich hätte gedacht, dass dies das gleiche ist wie ich durchsucht hätte, aber ich werds auf alle Fälle mal auf diesem Wege auch noch durchsuchen - besten Dank.

Grestorn

Die hilft schon, aber ich lerne erstens gerne Neues und zweitens treffe ich den gleichen Schädling selten nur einmal ;).

Daher wüsste ich zu gerne, was das Biest sich diesmal alles ausgedacht hat um mir aufn Sack zu gehen.

Ist die Meldung wie üblich "Der Adminstrator hat die Ausführung....gesperrt."?
Such mal nach dem Schlüssel "DisallowRun" in der registry.Vielleicht steht das drin (sofern der Eintrag existiert).

Modulor

Ich hab nach Explorer.exe gesucht... auf die Idee bin ich ned gekommen - wird getestet. Möchte doch dem Haustier mal auf die Schliche kommen...

Und?

Fehlanzeige in allen Bereichen...

Hi!

Evtl. kannst du dir mit "SteadyState" wieder vollen Zugriff geben! Probiers mal!


mfg

Bandit666

Zugriff hab ich... ich war so frei Taskman zu nutzen, nen cmd zu machen, copy explorer.exe aaa.exe zu tippen, bei regedit kurz die shell auf aaa.exe zu setzen und - tataaa.

Nur nervt es mich derb, dass so ein beschissenes elektronisches Haustier mich trotz Absuche der ganzen Reg noch immer nervt... ergo will ich das Haustier "sezieren".

Viele Möglichkeiten ansich gibt es ja nicht den Explorer zu sperren.


Gibt ja nur:

gpedit.msc
lokale sicherheitsrichtlinen
registry

Hmmmm.

Warst du im Gruppenrichtlinieneditor auch auf Benutzerkonfiguration--->Administrative Vorlagen--->System

??


mfg

Hast du schon nach einem Legacy-Treiber gesucht (Registry/Gerätemanger), der verdächtig erscheint und den Zugriff verbietet?
Falls nix im Gerätemanger steht, dann wohl besser mit BartPE starten und den Hive für HKLM\System laden.

mmm...

Schon Anti- Rootkit- Tools benutzt?
Vielleicht kannst mit Runalyzer von den Spybot- Machern was finden.

check dein system doch mal mit hijackthis.. und poste den log hier bzw lass ihn unter http://www.hijackthis.de/de analysieren ;)... is zwar schwierig den ohne explorer zu öffnen aber vllt kann man den ja über befehlzeile starten.. hab ich aber noch nich probiert srry.

vllt wars ne hilfe

mfg;)

Notiz an sich... AVG fand 3 Haustiere und Kaspersky oder Avast fanden etwa 27 -

Heiliger Bimbam.. ^^
Soviele Viren hatte ich noch nie am Rechner.
saubere Leistung.. ^^ ;)

ich hatte mal 85 biester:rolleyes:

... naja internetanschluss ohne echtzeitschutz und firewall war nich die beste entscheidung... jetz bin ich aber geschützt;)

Heiliger Bimbam.. ^^
Soviele Viren hatte ich noch nie am Rechner.
saubere Leistung.. ^^ ;)
Du warst nie auf einer LAN Party. :D
Früher, als man sich noch keinen Kopf darum gemacht hatte, gabs da einiges zu holen. Der Virenscan danach hat einen erstmal geschockt.

Bandit666

Das ist ja das Heitere... mir fallen keine Orte mehr ein, wo das stehen könnt.

Sephiroth

Ursprünglich beanstandete avast mal den beep.sys Treiber... der sollt aber nun mausetot sein.

Nebenher hab ich die reg auch mal extern reingeladen.

Siggi

Schon genutzt... alles rausgeknallt, was ich für sinnlos befand (was immer ne Menge ist)... und ... nix.
Explorer geht schon lange wieder... er heisst nur aaa.exe ;).

Lokadamus

Wird auch drauf losgelassen...

centurio81

Sekretärinnen kriegen das offenbar locker hin...

Unser Rekord eines Kundenrechners liegt jenseits der 20 000 infizierten Dateien ;).

hättest du mal ohne adminrechte gearbeitet
-> selbst schuld :)

lösch mal folgendes aus der registry
hklm \software\policies
hklm \software\microsoft\windows\currentversion\policies
hkcu \software\policies

dann sollten alle policies, softwaresperren seitens des system erstmal weg sein ;)

ansonsten schlies ich mich der frage von modulor an
"Ist die Meldung wie üblich "Der Adminstrator hat die Ausführung....gesperrt."?"


was heisst "zugriff" hast du? über den weg wie von dir gepostet (aaa.exe) oder "normal"

was heisst "zugriff" hast du? über den weg wie von dir gepostet (aaa.exe) oder "normal"hat sich mit der letzten antwort erübrigt...sollte gleich schreiben wenn ich auf antworten drück und nicht ewig warten ;)

Also ist er nicht gesperrt? Warum sagst das nicht gleich? :redface:
Willst du nun die Explorer.exe nun umbenennen?


Verstehe mich nicht falsch, aber was willste denn nun genau?
Erst wolltest du Zugriff auf den Explorer haben......nun haste den aufeinmal wieder. Was nun? :biggrin:

Wie können wir dir helfen?


mfg

Gast

Ist nach wie vor ned mein Rechner ;).

Ist exakt diese Meldung und nein diese Teile der Reg sind leer wie nur was.

Bandit666

Ich will eigentlich wieder Zugriff auf den Explorer.exe als Explorer.exe haben und nicht als aaa.exe. Das mit dem kopieren in aaa.exe war ja ned so schwer, aber ist irgendwie keine Lösung.

Hi!


Dann nimm den ResHacker und benenne die Exe doch um.


mfg

Also entweder Bandit666 oder ich haben ne Leseschwäche. Der TS hat doch klar dargelegt was er will?

Er will net den Explorer zum laufen bekommen sondern wissen, wie der Virus es geschafft hat gerade eben diesen zu blockieren.

Ja irgendwie sehe ich hier nicht durch. Um diese Frage beantworten zu können, müsste man wissen was er gemacht um den Zugriff zu bekommen!

"Das Problem liess sich leicht beheben an sich, aber ich fand bisher nicht, wo der gesperrt wurde!"

Er hat es also geschafft den Zugriff wieder herzustellen! ALso muss er doch wissen wir er gesperrt wurde.

Die Reihenfolge der Möglichkeit bzw. der Ablauf einer Sperrung ist klar definiert!

1. Hash-Regeln
2. Zertifikats-Regeln
3. Pfad-Regeln
4. Zonen-Regeln

Über Hash hat er ja scheinbar nix gefunden. Danach kommen die Zertifikate....da hat er auch nix gefunden....also kann es nur noch Pfad oder zuletzt dann Zone sein!






mfg

Bandit666

Es geht nach wie vor nur die aaa.exe als Shell. Der Explorer.exe ist zwar identisch, aber geht nicht mit mehrfach genannter Fehlermeldung. Weil einfaches Kopieren reichte, ohne /b + ... , kann ich davon ausgehen, dass es nicht eine Sperrung per Hash ist - dann würde der nämlich als aaa.exe genausowenig laufen.

Das Problem ohne Shell dazustehen liess sich eben beheben - damit lässt sich ja eigentlich wieder das Gerät nutzen, aber den "Urzustand" wiederherstellen gelingt nicht. Ergo ist noch was geändert und nach dieser Veränderung fahnde ich.

SFC lief auch durch nebenher.

Schade das ich dir da nicht weiterhelfen kann da ich Vista nutze. Vielleicht schaut hier jemand mit Ahnung und XP vorbei!


mfg

Haarmann,

bevor du weiter im Trüben fischst: Windows hat unzählige Möglichkeiten, Programme automatisiert zu starten. Alle findest du nur in Büchern beschrieben.
Tip: http://www.microsoft.com/germany/technet/spotlight/sessionh.aspx?videoid=359

Nimm dir mal die Zeit für den Webcast. Mark Russinovich dürfte dir ein Begriff sein. Er erklärt hier, wie man mit Hilfe seiner Tools Malware Jagd macht. Bei Bedarf mal die anderen Webcastst von ihm im Zusammenhang mit seinen Tools ansehen. Wer kann die Dinger besser vorstellen, als der Entwickler selbst?

Viele Grüße,
TC

(zwecks Ignoranz entfernt)

So nicht...

Was mich eigentlich besonders aufregt ist, dass ich diverse "Müllware" darauf problemlos erkennen konnte und die Platte dann mal ausgebaut an nen anderen Rechner zwecks Virenhatz gehängt hab... Zuvor liess ich Avira Antivir Rescue Disk mal drüber schauen. Danach noch AVG, AVAST und Kasperski - nicht eine dieser Lösungen fand trivialste überflüssige Dateien, wie eine rund 500kb grosse ntos.exe (sehr bekanntes Teil imho).

Wozu sollte man sich solche Programme eigentlich installieren, wenn deren Schutz recht offensichtlich 0 ist (Es sind 4 Kisten an 3 Orten von den wohl gleichen Haustiieren überfallen worden - alle 4 nutzen verschiedene Malwarefänger - alle waren up to date und keines hat was gefangen - na toll).

Vielleicht muss erst in den USA mal jemand diese ganze Bande von PC verlangsamenden Programmen wegen Betrug anklagen, bis was passiert.

Das Tool, dass definitiv am besten abschnitt ist gratis und war Spybot S&D... nicht perfekt, aber immerhin deutlich die Nummer 1.