Hallo Daniel,
habe gerade mal mit regedit nachgeschaut, den Knoten SafeBoot gibt es nicht unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control. Dann habe ich mit regedit nach 'SafeBoot' gesucht, aber der Begriff wurde in der gesamten Registry nicht gefunden.

Wäre es eine Möglichkeit, den Knoten SafeBoot von einem anderen PC mit XP Prof. mit regedit zu exportieren und auf meinem Laptop zu importieren?

LG,
Gerd

Hallo Daniel,
noch eine Anmerkung. Falls das mit dem Export/Import der Registry einen Versuch wert ist, soll ich dann auch den Knoten SafeBoot von ControlSet001 und ControlSet003 importieren? Auf meinem Laptop existiert auch noch ein ControlSet002, das gibt es aber auf dem anderen PC nicht. Oder kann ich dann z.B. den importierten Knoten aus dem CurrenControlSet auch nach ControlSet002 kopieren? Brauche da deine Expertenmeinung.

Danke,
Gerd

Hy.

Registry mit ERUNT sichern

Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.


schritt 2

Versuchen wir es einmal so

Lade dir bitte Safemoderepair herunter. Entpacke das ziparchiv auf deinen Desktop. Doppelklick auf die *.reg Datei und beantworte die Frage mit Ja


Versuch bitte ob der abgesicherte Modus wieder funzt

Hallo Daniel,
der abgesicherte Modus funktioniert wieder !!!

Jetzt bleiben für mich noch diese Fragen offen:

1) Ist bzgl. Security Guard alles entfernt?

2) Hätte ich von meinem Rechner aus andere Rechner mit SG infizieren können, z.B. über eine VPN-Verbindung mit einem anderen Netzwerk? Ich kann das leider nicht einschätzen.

3) Kann ich jetzt SUPERAntiSpyware wieder entfernen, ist ja euer Tip. Einfach über Start -> Einstellungen -> System -> Software ? Einen Punkt Deinstallation gibt es ja bei SUPERAntiSpyware nicht.

4) Wofür sind die ControlSets 001 bis 003 in der Registry? Die wurden nicht repariert sondern nur der CurrentControlSet.

5) Kann man solche Infektionen durch Einsatz einer Sandbox zum Surfen in Ihrer Auswirkung auf eben diese Sandbox-Umgebung beschränken? Wenn ja, welches ist die am einfachsten zu installierende und zu konfigurierende Sandbox-Software?

6) Oder ist es sicherer, in einer VMWare-Maschine zu surfen? Dort sind aber vermutlich Installations-Aufwand und Platzbedarf höher als bei der Sandbox-Variante.

Wenn du die erste Frage mit 'ja' beantworten kannst, reicht mir die Antwort auf die Fragen 4 bis 6 auch zu einem späteren Zeitpunkt, so innerhalb der nächsten 2 Wochen wäre schön. Ich vermute, es gibt andere User, die momentan deiner Hilfe dringender bedürfen.


Erst mal ganz lieben Dank an dich und euer ganzes Team !

Gerd

Bezüglich SG werde ich bei Cosinus nachfragen. Ich hab jetzt nicht die Zeit mir alle Logs durchzusehen und er wird dir auch die Fragen bzgl VM Sandbox usw beantworten. Da bin ich nicht so betucht mit.

Freut mich das der Safemode wieder funzt.

SASW kannst Du deinstallieren. CCS 001 und 003 sind ganz grob gesagt nur Sicherungskopien von CurrentControlSet.

Security Guard war AFAIR soweit weg, das letzte Problem (hat Larusso schon beboben) war nur noch der abgesicherte Modus. Nun zu den anderen Fragen:

Zitat:

5) Kann man solche Infektionen durch Einsatz einer Sandbox zum Surfen in Ihrer Auswirkung auf eben diese Sandbox-Umgebung beschränken? Wenn ja, welches ist die am einfachsten zu installierende und zu konfigurierende Sandbox-Software?

Man kann schon, aber ob das so praktikabel ist...
Ich würd Dir erstmal empfehlen, nur mit eingeschränkten Benutzerrechten und nicht mit Adminrechten zu surfen!! Ohne Adminrechte können sich etwaige ausgeführte Schädlinge nicht einfach so im System breitmachen, da ihnen die wichtigsten Schreibrechte fehlen!
Falls Du Dir dennoch eine Sandbox zulegen willst: Schau Dir mal Sandboxie an...

Zitat:

6) Oder ist es sicherer, in einer VMWare-Maschine zu surfen? Dort sind aber vermutlich Installations-Aufwand und Platzbedarf höher als bei der Sandbox-Variante.

Kann man auch machen, aber wenn Du Dir eingeschränkte Rechte zulegst und sonst das OS vernünftig konfigurierst, braucht man auch keine VM.

Nur als Idee: Man kann sich parallel noch ein anderes OS installieren (Linux) und bei kritischen Dingen dadrüber surfen...
Manche Distros bieten auch schon vorinstallierte VMs, die man nur herunterladen zu braucht, man kann sie dann mit dem VMWare-Player einfach abspielen.