PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Software Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=17)
-- Internet Sicherheit: (https://www.pc-experience.de/wbb2/board.php?boardid=105)
--- Wurm, Virus Trojaner (https://www.pc-experience.de/wbb2/thread.php?threadid=9178)

Geschrieben von Binky am 14.06.2004 um 10:20:

traurig Wurm, Virus Trojaner

Schönen guten Morgen.
Dieses Forum wurde mir von meinem Bruder empfohlen und ich bin mal gespannt, ob mir einer von euch helfen kann.

Zu meinem Problem:

Am Samstag machte mein Vater seinen Pc an und erblickte sofort das BIOS, welches Kennwort gesichert war. Ich habe Ihm so etwas nie eingerichtet und er auch nicht.
Nach dem Reset des Bios konnte man den Pc normal starten und kam ins XP. Ich habe sofort die neusten Virenupdates für AntiVir heruntergeladen und beide Festplatten gescannt, ohne ein Ergebnis. (also anscheinend kein Virus)
Nach einem Neustart gab mir der PC an, dass die Datei C:\windows\system32\config\system beschädigt sei und ich es mit der XP Systemwiederherstellungskonsole versuchen solle. Promt tat ich dieses auch und checkte mal die Platte mit chkdisk durch, welches auch keine Fehler anzeigte.
Bei einem erneuten Versuch in die Konsole zu gelangen fragt mich dieses Ding nach einem Administratorkennwort, welches ebenfalls nicht exestiert.?!

Ich würde ja nun versuchen den Pc zu formatieren, wenn dort nicht noch wichtige Daten drauf wären.
Kann mir nun also jemand sagen:

1. Was das ist?
2. Wie ich das weg bekomme?
3. Ob ich eine Datensicherung mit meinem Pc machen kann ohne mich zu infizieren?

Ich bedanke mich schon mal für eure Mühen.

Binky


Geschrieben von Trinity am 14.06.2004 um 11:38:

 

Hallo und willkommen auf PC-Experience.de Binky,

diese Symptome sind teils wirklich merkwürdig, vor allem das gesetzte BIOS Kennwort. Um die üblichen Verdächtigungen ausschließen zu können, benötigen wir noch einige Angaben deinerseits:

1. sind alle Servicepacks und aktuellen Sicherheitspatches auf XP installiert?

2. überprüfe die Festplatten mittels des Befehls
sfc /scannow damit werden alle geschützten Systemdateien überprüft und fälschliche Versionen wieder durch die Originale ersetzt. Für diesen Vorgang musst du als Administrator oder mit Adminrechten am System angemeldet sein.

Vorgehensweise:
Start -> Ausführen -> cmd eingeben
Im Konsolenfenster nun sfc /scannow eingeben

3. Führe zur Sicherheit bitte auch alle Überprüfungsmaßnahmen durch, welche in Sachen Viren in unserem Sicherheitsworkshop verzeichnet sind, danach sehen wir uns die Sache weiter an.

cu Trinity


Geschrieben von Binky am 14.06.2004 um 11:54:

 

Leider geht das ja nun nicht mehr, da der Pc nicht Bootet. Er bleibt halt bei der Fehlermeldung. Datei beschädigt oder nicht vorhanden
c:\windows\system32\config\system hängen.
Die Servicepacks und Sicherheitsupdates hab ich selbst bis zum Aktuellsten eingepflegt.

In die Konsole der Systemwiederherstellung mittels XP CD komme ich nicht mehr, da ich dort ja ein Administratorkennwort eingeben soll.

(Hätte ich vielleicht sagen sollen *s*)


Geschrieben von Uwe70 am 14.06.2004 um 11:54:

 

Hi,

kannst Du ausschließen, daß sich jemand anderes an dem Teil zu schaffen gemacht hat (Kinder, Verwande oä) ?
Hast Du, falls Du damit auch ins Internet gehst, eine Firewall installiert? Einen unbefugten Zugriff von außen meldet natürlich kein Antivirusprogramm.
Und wie Trinity schon erwähnte: Alles durchchecken.

Uwe

edit...hoppla
Wenn nichts mehr geht, PC von CD booten. Dort kommt auch die Nachfrage zur Systemwiederherstellung bzw Reperatur.


Geschrieben von Binky am 14.06.2004 um 11:58:

 

Firewall war leider nur die von XP aktiv. Wollte eigentlich die Tage mal eine installieren aber ist ja nun zu spät.
Verwandte und Kinder kann ich ausschließen. War nur mein Vater dran, wobei ich mir sicher bin, dass der sowas nicht macht (is ja auch sein PC) und als es das erste mal mit dem BIOS auftrat hab ich mich der Sache angenommen und er war nicht mehr anwesend.

Kann man irgendwie so ein Admi-Passwort raus bekommen? Wie gesagt: Mit Win XP CD booten. Im ersten Bildschirm mit R auf die Konsole kommen. Die Festplatte mit Betriebssystem mit 1 auswählen und zack Passwort?!?


Geschrieben von Katsche am 14.06.2004 um 13:09:

 

du wirst hier bei uns ganz sicher keine Anleitung bekommen, wie man ein Admin-Passwort knackt


Geschrieben von Uwe70 am 14.06.2004 um 13:15:

 

Will ja niemanden etwas unterstellen...
Kann es vieleicht sein, daß jemand (Vater, Mutter oä, keine Ahnung wen Du in der Sache grad spielst) den PC absichtlich gesperrt hat?

Uwe


Geschrieben von Steini am 14.06.2004 um 13:24:

 

Nein, nicht beim ersten Dialog auf "R" drücken.

Laß' die Installation von XP anlaufen. Wenn XP meldet, daß es eine bereits existente Installation von XP gefunden hat, dann bietet XP an, diese zu reparieren. Erst da mußt Du auf "R" drücken.

Gruß,

Steini @work


Geschrieben von Binky am 14.06.2004 um 14:09:

 

Werd ich mal versuchen.

Das Admin Passwort wurde auf jeden Fall nicht vorsätzlich gesetzt, da ich an dem Rechner war, in diese Konsole kam und nach einem Neustart nicht mehr.
Es wurde also wärend dem Bootvorgang, bei dem ich (und nur ich) vor dem Pc saß eingestellt. Habe allerdings selbst so etwas nicht gemacht.

Wüsste nur trotzdem gerne, was das für ein Kennwort ist und wie ich es weg bekomme. Ist ja ähnlich rätselhaft, wie das BIOS Passwort, das niemand eingestellt hat.

Zudem habe ich die Datei "System" gesichert und möchte diese gerne noch einmal an ihren richtigen Platz legen, wozu ich wiederum in die Konsole müsste.

Sollte ich hier keine Hilfe dazu bekommen können, könnte mir jemand einen Tip geben, wo ich sowas finden kann?

Es geht mir nur darum, dass keine sensiblen Daten verloren gehen, was z.B. ein in zwei Wochen erstellter Film über Athen von meinem Pa ist, der nur noch gerändert werden muss.


Geschrieben von Trinity am 14.06.2004 um 14:19:

 

Moment mal, damit wir uns im Klaren sind, wir reden hier vom Administrator-Passwort für die Wiederherstellungskonsole, right?

Daraus ergibt sich, dass für den Ursprungs Administrator (der erste Benutzer bei der Installation) ein Passwort vergeben wurde, in der Regel wird das leider immer wieder von vielen vergessen, ignoriert, anyway, ohne dieses Passwort gelangst du nicht in die Wiederherstellungskonsole.

Du hast eingangs geschrieben, dass du chkdsk in der Wiederherstellungskonsole durchgeführt hast, wie bist du da reingekommen?

cu Trinity


Geschrieben von Binky am 14.06.2004 um 14:28:

 

Das ist eben das Problem:

Anfangs ging das und nach einem Neustart war das Passwort einfach so da (so komisch sich das auch anhört).

Bei der installation des Betriebssystems, die ich durchgeführt habe, habe ich auch kein Admin Passwort eingestellt.

Nur um das klar zu stellen. Bin kein DAU und absolviere ne Ausbildung als Informatikkaufmann. Sollte also schon ein bischen mit der Materie vertraut sein. Dieses Passwort lässt mich halt nur auf einen Trojaner bzw. hartnäckigen Virus schließen.
anbet


Geschrieben von Steini am 14.06.2004 um 14:36:

 

Wenn kein Admin-PW vergeben wurde, dann ist dies eine leere Eingabe, die man nur mit der "Enter"-Taste bestätigen müßte...

ruß,

Steini @work


Geschrieben von Binky am 14.06.2004 um 14:39:

 

Ist es leider auch nicht.
Konnte ja vorher auch ohne Abfrage in diese Konsole. Kam ja erst nach dem Neu Start hinzu.


Geschrieben von Heaven am 14.06.2004 um 15:31:

 

Hallo Binky,

spricht etwas dagegen die Festplatte auszubauen, in einem anderen PC nach Viren zu scannen und dann die Daten zu retten?
So wie das für mich aussieht kommst du um eine Neuinstallation nicht herum, weil das System zu sehr vergurkt ist.

cu
Heaven


Geschrieben von Binky am 15.06.2004 um 13:10:

 

mach ich jetzt mal.


Geschrieben von hobome am 23.06.2004 um 11:50:

 

Hallo zusammen,
dies ist kein Hack, dies ist ein Feature! :

Administrative Tools > Local Security Policy > Local Policies > Security Options

hier findet man dann zwei Einträge für die Recovery Console.
1. "Allow automatic administrativ logon"
2. "Allow floppy copy and access to all drives and all folders"

Beide Werte sind standardmässig auf "Disabled" gesetzt.
Wer will, kann diese Werte "enablen" (Rechtsklick > Properties).

Danach kommt beim Start der Recovery-Console keine Passwortabfrage mehr und man kann kopieren, verschieben und löschen was und wie man will. Also mit Vorsicht zu geniessen!

Dazu muss man allerdings erstmal Win gestarted haben und mindestens als Poweruser oder mit Admin-Rechten angemeldet sein.
Der Vorteil ist sicher, dass man das "SuperAdmin"-Kennwort auch mal vergessen darf. Der Nachteil, dass jeder mit einer BootCD auf dem Rechner toben darf.

Hoffe, der Tip hilft im allgemeinen ein wenig. Für das besondere Problem hier fällt mir auch nicht mehr ein, als schon geschrieben wurde.
Sorry....

Cheers
hobome

PS: Habe ich nur auf XP Pro ausprobiert. Leider alles in Englisch. Aber ich denke, in Deutsch findet man es an der selben Stelle.


Geschrieben von Binky am 23.06.2004 um 12:13:

 

Danke für die Anregung.

Bei diesem Problem ist wohl eher alles auf einen Blitzschaden zurückzuführen. Der Pc ist mitlerweile bei einem Techniker, der das mal durchprüft.

Es hatte sich nach einer Datensicherung und der Formatierung der Platte herausgestellt, dass sich kein Betriebssystem mehr installieren ließ.

Von daher sag ich mal


juhu


Geschrieben von Trinity am 23.06.2004 um 12:50:

 

Danke für das Feedback Binky, ein Danke an alle Helfer und wir legen den Fall somit ab.


#closed#


Trinity


Forensoftware: Burning Board , entwickelt von WoltLab GmbH