@karlkarl
Zitat:
...dann kann man die beiden Dateien dort gleich löschen (oder durch einen anderen Inhalt ersetzen), da braucht man keine Hexadezimaleditoren, um die Platte zu editieren.
Man muss die Platte nicht mal in einen anderen Rechner einbauen, mit Blacklight (eventuell noch Avenger) lassen sich die Dateien auch so erledigen.
|
Also ich habe da eine andere Erfahrung gemacht!
Ich hatte mal einen Virus drauf, bei dem die schädliche EXE-Datei sichtbar war! Ich versuchte diese mit dem BitDefender zu löschen. Fehlanzeige! Der BitDefender konnte die Datei nicht entfernen, weil ein Schreibschutz vorhanden war.
Um den Schreibschutz zu umgehen, habe ich also Linux gestartet. Die Windows-Partition wurde mit allen Schreib- und Leserechten (war damals noch FAT32!) unter Linux eingebunden.
Da dachte ich mir:"Ok. Nu isser weg der blöde Virus!". Verzeichnis ausgewählt, draufgeglickt und löschen ausgewählt. Schwups bekam ich die Mitteilung das die Datei nicht zu löschen sei!
Also hab ich "Trick 17" angewandt: Editor geöffnet, Datei geladen, den EXE-Header mit Null überschrieben und wieder gespeichert.
Anschließend konnte ich unter Windows mit dem BitDefender die Datei löschen.
Zurück zu dem Trojaner den ich drauf hatte: er war im Dateisystem nicht sichtbar und somit kann man den dann auch nicht überschreiben! Denn: was Windows nicht "sieht" ist nicht da (in Ausnahmefällen).
Sicherlich funktionieren "Anti-Rootkits". Die Frage ist nur: wie lange? Das mittlerweile eine ganze Latte von Antivirus-Programmen und Anti-Rootkits von den Trojanern geblockt bzw. am Start gehindert werden, zeigt doch deutlich, was für ein gefährliches Potential in den Schädlingen steckt!!
Irgendwann ist es notwendig das man einen sauberen Zweitrechner zu Hause stehen haben muß, damit man dort die verseuchte Platte einbauen kann um sie zu reinigen, weil das Windows so "abgeschottet" ist, das fast gar nichts mehr geht!
Zitat:
|
...die Registrydateien mit Winhex überarbeiten dürfte auch eine harte Nummer sein...
|
Ich wüßte jetzt nicht, wo ich geschrieben habe, das man die Registrierungsdatenbank mit WInHex "überarbeiten" soll bzw. darf. Als ich Pfadangaben in der Registrierung angegeben habe, habe ich in dem Zusammenhang auf den Registrierungseditor verwiesen, weil
1) "WinHex" in der Demoversion keine Änderungen am Datenträger speichert und,
2) man die Dateien, die die Registrierung bilden, überhaupt nicht "entschlüsseln" kann um die entsprechenden Werte zu ändern
Eine persönliche Anmerkung habe ich noch: um Personen, die Trojaner die so gefährlich wie die aus der W32.Bagle-Familie sind, auf lange Sicht das "Leben so schwer wie möglich" zu machen, sollten so wenig Informationen wie möglich gemacht werden! Denn: solche Leute lesen die Beiträge in diesem Forum garantiert auch, denn so erfahren sie mehr über neue Anti-Rootkits und diverser anderer Programme die ihre "Vorhaben" erschweren könnten!
Daher halte ich viel davon, wenn man den Tipp gibt: Platte ausbauen und in einem sauberen System reinigen! Denn da hat man Ruhe vor dem Schädling, weil er "friedlich" ist und nicht verhindern kann das Anti-Rootkits und Anti-Virenprogramme im den "Saft abdrehen" und ihn ins Nirwana befördern!!