Hi...

Ich habe mich nach meiner letzten Infektion, die schon ein wenig her ist, mal in einigen Fachforen umgesehen und bin dabei darauf gestoßen, dass es recht einfach ist, die meisten Trojaner/Rootkits zu entfernen. Und zwar soll folgendes reichen:
ERD Commander
GMER (für Rootkits)
taskmgr
regedit
msconfig
Bis auf ERD Commander ist das ja kein Problem, durch googlen habe ich herausgefunden, das dieser von Microsoft stammt, eine Recovery Disk ist und aus dem DaRT-Pack stammt, welches wiederum aus dem MDOP-Pack stammt. Nun habe ich aber keine Ahnung, ob das Programm oder eines der Packs für 'Otto-normal-User' da ist, da ich auch keinen DL-Link gefunden hab, oder bei Amazon irgendetwas. Muss man diesen/s nun kaufen oder nicht?

Leicht verwirrte Grüße,
Big-Blue

Hallo,

der ERD Commander wird m.W. nicht mehr weiterentwickelt, hab ich zwar auch noch, aber den nutze ich (fast) nicht mehr und wenn, dann nicht für Analyse- oder Bereinigungszwecke.

Als Boot-CD gibts aber genug andere und bessere, wenn man von einer sauberen Umgebung aus eine infizierte Windows-Installation analysieren will:

- diverse Rescue-CDs von den Virenscannerherstellern, zb von Kaspersky => Index of /devbuilds/RescueDisk10/
- OTLPE => http://oldtimer.geekstogo.com/OTLPE.iso
- desinfec't

OK, danke, dachte nur, da dieser ja die Möglichkeit bietet, Vollzugriff auf die Registry und Startup von der Disk aus zu geben. Wie sieht es mit BartPE aus, gute Erfahrungen?

Zugriff auf die Registry hast Du auch zB mit OTLPE, da sind auch noch andere nette Tools bei.

Das hört sich doch gut an ^^
Allerdings ist der DL Link 'defekt'.
Grüße ;D

Hm...wurde anscheinend entfernt.
Ich hoffe das wird die nächsten Tage da noch verfügbar sein, sonst muss ich mal auf einen meiner Rechner schauen ob ich da die ISO noch drauf hab. Die hab ich aber gebrannt, notfalls kann ich von ihr ein Image ziehen.

Wäre nett, aber so ein Upload dauert auch ein Weilchen. ^^

Es geht auch mit BartPE. Über regedit kannst Du auch fremde registries über "Struktur laden" anzeigen und bearbeiten.

BartPE habe ich gerade probiert, scheint allerdings nicht mit Windows 7 zu laufen... D=

Du meinst den PEBuilder? Läuft der nicht unter Win7?

Doch, aber der nimmt die Windows 7 Installationsdateien weder aus dem WINDOWS Verzeichnis, noch von der CD. Habe auch automatische Suche probiert. Laut meiner Internetrecherche wurde dieser nach XP nicht weiterentwickelt.

Du brauchst auch die Installationsdateien von einer WinXP-CD!!
BartPE basiert auf WindowsXP!!

Lässt sich mit BartPE-XP auch die Windows 7 Registry ändern?
XP CD's habe ich hier noch ein paar liegen, da alle anderen PC's Zuhause noch mit XP laufen. ^^

Zitat:

Lässt sich mit BartPE-XP auch die Windows 7 Registry ändern?

Weiß ich so nicht, probiers aus.
Wie das mit Struktur laden geht weißt Du? Die Registry-Bestandteile liegen idR in C:\Windows\System32\config - bei XP jedenfalls, ob das bei Win7 auch so ist, weiß ich leider nicht genau.

...wegen dem Cleaning der Registry...also ich glaub mal fest, das sich Backdoors und ähnliche, nicht mit einem eindeutigen Registry Eintrag identifizieren lassen und das es doch meist so ist, das, wenn ich Teile, z.b. von nem Shark Backdoor entferne, der sich dann irgendwo im System wieder einnistet...(weil der kleine Kacker, sich nicht nur einmal auf der Platte befindet).Heisst, das, wenn ich auch den richtigen Regi Eintrag finde, ich den Server und seine Backups noch finden muss und ich nicht nach dem der Registry Eintrag entfernt wurde, direkt rebooten darf, weil der sich dann ja wieder resident macht...^^

Das entfernen von "malware" ist wirklich ne Kunst für sich...am besten wäre den Install der Virensoftware zu Snoopen (zurückverfolgen) um dann festzustellen, was da wo wie verändert wurde...aber am allerbesten find ich immer noch "Brain"...da passiert einem das nicht, das man da erst was langwierig search & Destroyen muss...hört sich blöd an, ich weiss!

Noch besser ist...HDD ganz Plattmachen und dann Windows wieder neu drauf...weil man ja nie weiss, wer da was aufm System rumgespielt hat...hatte bei meinem Bruder den Fall von Multi Infektions...Backdoors, trojans, downloader etc...und er war uneinsichtig und wir haben dann mal die hälfte gelöscht, den anderen Teil hab ich nicht wegbekommen...und er wollte so weiter machen...tja...ende vom Lied war: Nach ner Zeit ging dann garnix mehr...er kam nicht mehr ins Windows, auch im Abgesicherten nicht mehr...da war nix mehr zu machen! Also Platt machen und neu Aufspielen...jetzt geht die Kiste wieder...^^

Am besten man wendet sich vertrauensvoll an die Profis vom Trojaner Board und macht das mit denen zusammen...die kennen sich da aus und können da besser helfen, als wenn man da versucht selber an seinem System rumzufuschen!

Gruss BIOTEC