W2000: Batch ausführen bevor Win gestartet wird

[Creepy666]

Hallo Gemeinde,

mein Kaspersky meldet mir einen Trojaner (/system32/acleditr.exe, 40kB), der die Attribute "Systemdatei" und "Versteckte Datei" trägt, somit also nicht im laufenden Windows löschbar ist.
Der Starteintrag in der Registry (HKLM/.../Run) ist bereits gelöscht, aber Kaspersky meckert immer noch und kann die Datei trotz mehrfachem Neustart nach Aufforderung ebenfalls nicht löschen.

Nun mal als generelle Frage:
Wie kann man eine Batchdatei (z.B. zum Löschen der acleditr.exe) noch vor dem Windowsstart ausführen?
Welche Möglichkeiten bieten sich da an?

Die Wiederherstellungskonsole fällt leider flach, da sich eine zusätzliche HD-Controllerplatine im System befindet und diese von der RC leider nicht erkannt wird ("Unable to read from disk").

Danke schon mal recht herzlich für Tips.

 

[Eller]

Im Abgesicherten Modus schon probiert die Datei zu löschen?

 

[1668mib]

Naja am besten mit nem Windows PE booten würde ich da...

 

[werkam]

Abgesicherter Modus geht auch nicht?

 

[Creepy666]

Danke erstmal

Der abgesicherte Modus hat nichts gebracht, außer 30 Minuten Aufräumarbeit der Icons
wahllos verteilt über 2 Monitore.

Es geht mir auch nicht so sehr darum, diese eine Datei zu löschen, sondern um einen
Batcheingriff vor dem Windowsstart generell.

Als Beispiel etwa ähnlich einem CHKDSK auf das Bootlaufwerk.
Da wird dann beim nächsten Booten eine Art schwarzer DOS-Screen (mit weißen Balken
oben und unten) angezeigt.
Der Zeitpunkt der Ausführung dürfte also noch vor dem Start von Windows erfolgen.

Genau sowas suche ich.
Wo trägt sich da CHKDSK ein, damit es vor Win gestartet wird?
Das muss ja offensichtlich zwischen dem Laden von CMD.EXE und dem Winstart erfolgen.

 

[1668mib]

Also so wie ich es sehe handelt es sich bei dem Programm um einen Schädling. Wieso nimmst du nicht etwas vernünftiges zur Entfernung?

 

[Creepy666]

Der Trojaner kann ja nicht mehr gestartet werden, außer ich klick den selbst an.
Also erst mal uninteressant.

Kapsersky erkennt ihn, kann ihn aber nicht entfernen.
Das gleiche mit FreeAV.
Malwarebytes' Antimalware, HiJackThis, Panda Antirootkit, Spydoctor, Ewido, SpywareBlaster, SpywareGuard, Ad-Aware, etc. erkennen den nicht mal.
L2MFIX verläuft auch negativ.
In der Registry findet sich auch keinerlei Eintrag über das Ding.

Sobald Windows aufstartet, ist das Teil gelocked.
Und darum wäre es interessant, wie man solche Eingriffe noch vorher durchführen könnte.

 

[1668mib]

Ich verstehe jetzt nicht ganz, für was du eine Lösung willst...
a) Willst du die Datei löschen oder b) deinen Lösungsansatz unbedingt umgesetzt bringen?

Nimm Knoppix, oder bau dir mit dem WinBuilder eine WinPE-CD die du immer wieder für solche Zwecke nutzen kannst, kauf dir die aktuelle c't wo ein nettes vorkonfiguriertes Paket dafür drauf ist, ...

 

[Creepy666]

Der Trojaner war nur ein Ansporn für meine Überlegungen.

Ich versuche nur hinter die Mechanik zu kommen, wie man vor Windows etwas eigenes ausführen lassen kann.
Das ist ja im Fall von CHKDSK offensichtlich möglich.
Nur wie?
Mich interessiert das eher in programmiertechnischer Sicht, ohne jegliche zusätzliche Programme wie Knoppix oder WinPE.

Das sind dabei nur Mittel für einen einmaligen Zweck.

 

[1668mib]

Du sprichst für mich irgendwie in Rätseln... was hat das mit "programmiertechnischer Sicht" zu tun? oO

 

[eulekerwe]

Danke erstmal

Der abgesicherte Modus hat nichts gebracht, außer 30 Minuten Aufräumarbeit der Icons
wahllos verteilt über 2 Monitore.

... diese 30 Minuten hättest Du Dir sparen können, wenn Du auf die Systemwiederherstellung aufgesetzt hättest ... für solche Dinge ist die da !

 

[Nose]

also um nochmal auf die ausgangsfrage zu kommen:
soweit ichs in erinnerung hab gibts bei win2k noch die autoexec.bat
die findet sich, afair, auf der systemplatte. gut möglich dass die "rechtzeitig" ausgeführt wird, also bevor der trojaner gestartet ist.
allerdings gibt es, wie von meinen vorrednern schon gesagt, 1000 bessere wege das ding zuverlässig loszuwerden.
wenn dus über die autoexec.bat probierst musst du davon ausgehen dass dein system danach unbrauchbar ist. und du darfst auch nicht davon ausgehen dass du den trojaner dann wirklich los bist. gut möglich dass er sich woanders noch eingenistet hat wo du ihn nichtmehr merkst.
kurz: wenn du den trojaner wirklich loswerden willst kommst du nicht umhin dein system neu aufzusetzen. aber davor kannst du natürlich noch nach belieben mit der autoexec.bat rumspielen. solange du immer davon ausgehst dass nach einer manipulation dieser datei dein system nichtmehr läuft.

 

[Creepy666]

Vergesst bitte einfach mal den Trojaner.


Es geht mir nur um die Möglichkeiten, eine eigene Eingriffsmöglichkeit zu schaffen, bevor Windows gestartet wird, sei es per Batch oder per selbstentwickelter Applikation.
Ob das jetzt eine Art eigenes CHKDSK, ein eigenes Programm zum Löschen von Dateien, ein eigenes Defrag-Programm oder sonstwas ist,
spielt in dem Fall keine Rolle.

Es geht einfach nur darum zu wissen, wo und wie man sowas einbindet, um auf Dateien zugreifen zu können, bevor sie vom Windows-System gelockt werden.

Im Fall von CHKDSK sieht man ja an den beiden weißen Balken deutlich, daß zumindest ein Teil von Win schon geladen wurde, aber noch nicht soweit, daß HKLM/.../Run ausgeführt wird. Denn da stehen ja nur Programme, die ein laufendes Windows voraussetzen.
Also muss es vermutlich irgendwo einen Registryschlüssel geben, der nach dem Laden von CMD.EXE, aber noch vor HKLM/.../Run ausgeführt wird.


@Nose
Die autoexec.bat wird bei W2K nicht ausgeführt.

 

[Nose]

@Nose
Die autoexec.bat wird bei W2K nicht ausgeführt.

bitte

 

[1668mib]

"Es geht mir nur um die Möglichkeiten, eine eigene Eingriffsmöglichkeit zu schaffen, bevor Windows gestartet wird"
Was ist denn für dich "Windows gestartet"? Die Shell? Alles?

Nimm ne Boot-CD, nen USB-Stick oder sonst was, das sind die allgemeingültigen Möglichkeiten.

Und nach dem Laden von CMD.EXE? oO Hä?

Du kannst im Grunde die Shell austauschen, also den Explorer...

Aber nu steig ich hier dann aus, weil es eh zu nichts führt hier.

@eulekerwe: interessant, wo du bei Windows 2000 eine Systemwiederherstellung aufrufen willst...

 

[eulekerwe]

@eulekerwe: interessant, wo du bei Windows 2000 eine Systemwiederherstellung aufrufen willst...

oh .... hat' ich doch glatt übersehen, dass es um WIN 2000 geht .... wer benutzt denn so was heute noch ????

 

[1668mib]

Solche Fragen erspar ich mir hier, wenn ich die Lösungsansätze anschaue :-)

 

[Creepy666]

"Es geht mir nur um die Möglichkeiten, eine eigene Eingriffsmöglichkeit zu schaffen, bevor Windows gestartet wird"
Was ist denn für dich "Windows gestartet"? Die Shell? Alles?

Nimm ne Boot-CD, nen USB-Stick oder sonst was, das sind die allgemeingültigen Möglichkeiten.

Meine Güte, ist das so schwer verständlich?

Mach mal in der Eingabeaufforderung: CHKDSK <bootlaufwerk> /F
und dann starte deinen Rechner neu.
Dann weisst du, was ich meine.

Ich möchte nur einen Batch oder ein eigenes Programm ausführen, nachdem nach dem Einschalten das Profil geladen wurde und noch bevor Windows gestartet wird.

Und nach dem Laden von CMD.EXE? oO Hä?

Um z.B. CHKDSK auszuführen, muss der Bootstatus soweit fortgeschritten sein, daß CMD.EXE schon geladen wurde.

Du kannst im Grunde die Shell austauschen, also den Explorer...

Der existiert erst, nachdem Windows komplett gestartet wurde.
Also zu spät.

Aber nu steig ich hier dann aus, weil es eh zu nichts führt hier.

Scheint mir auch so ;-)

 

[werkam]

Mach mal in der Eingabeaufforderung: CHKDSK <bootlaufwerk> /F

Das wird in die Registry eingetragen und somit vor dem Booten ausgeführt.

Um z.B. CHKDSK auszuführen, muss der Bootstatus soweit fortgeschritten sein, daß CMD.EXE schon geladen wurde.

Falsch, CMD ist bereits gestartet wenn der Rechner anfängt Windows zu laden, Windows ist dann die grafische Benutzeroberfläche, das die Programme verwaltet und ausführt. Alle Programme die unter "CMD.exe" laufen, sind auch ohne Windows lauffähig, da es sich nicht um Windowsprogramme handelt, dazu gehört auch "chkdsk". Du kannst ja mal den "abgesicherten Modus starten mit Eingabeaufforderung" oder von der CD die Wiederherstellungsconsole starten, auch dort kann man "chkdsk" aufrufen ohne das Windows läuft.
Man kann bewerkstelligen das vor dem Booten von Windows Programme ausgeführt werden können, gpedit.msc starten (dort kann man z.B. Scripte starten lassen) und einstellen was vor dem eigentlichen Start von Windows gemacht werden soll, Virenscanner machen ja auch erst einen Check und dann startet das System weiter, der Bootvorgang wird solange unterbrochen.
Man kann auch das Tool "srvany.exe", das im Resource kit von W2003 enthalten ist, benutzen, funzt auch unter XP ob es unter 2k läuft weiss ich nicht.
download hier:
http://www.microsoft.com/downloads/...69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

Es gibt aber auch eines für 2k, jedenfalls eine Anleitung dazu:
http://support.microsoft.com/kb/137890/de

 

[Creepy666]

Danke werkam

Das ist doch mal was, mit dem ich was anfangen kann.

Das wird in die Registry eingetragen und somit vor dem Booten ausgeführt

Allerdings kann ich in der Registry keinen Schlüssel finden, in dem z.B. ChKDSK beim nächsten Booten angestoßen werden soll.
Die Suche nach "CHKDSK" in der Registry verläuft erfolglos.

Das einzige, was sich nach dem CHKDSK-Befehl ändert (anhand der Uhrzeit der Änderung), ist die NTUSER.DAT, aber die ist ja leider auch gelockt.

Aber das mit der gpedit.msc klingt sehr vielversprechend!
Das probiere ich morgen mal aus.

Hab Dank auch für die beiden Links.
Ich glaube, das ist die richtige Fährte.