Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   [Vista] Starteinträge Registry reparieren (https://www.trojaner-board.de/99612-vista-starteintraege-registry-reparieren.html)

tokn 26.05.2011 18:17
[Vista] Starteinträge Registry reparieren
 
Hi @ all,

vor einiger Zeit konnte ich einen Schädling (Trojaner)
weitesgehend eliminieren. Nun hat Dieser jedoch einige Einträge
verändert oder gelöscht, die für den Startvorgang des OS erforderlich waren.
Nun war das erstmal kein Problem, da ich mit Hilfe eines sauberen Vistas die Registrierungseinträge
vergleichen und wiederherstellen konnte (vor allem DcomLaunch und RpcSs).

Das Problem war/ist, dass mein OS in sämtlichen Modi immer noch nicht booten
kann: Während der Analyse wurde ich auf den fehlenden Unterschlüssel
"BCD00000", in HKLM, aufmerksam.

Nun ist meine Frage, ob ich Diesen mit dem MS-Booteditor (bcdedit.exe)
wiederherstellen kann oder ob das doch etwas Anderes ist.

cosinus 27.05.2011 20:03
Welcher Schädling, welche Einträge?
Oder ist das nicht genau bekannt?

Wenn dein Vista (immer noch) nicht bootet, wird man es auch sehr schwierig analysieren können. Es gibt da Mittel wie OTLPE, aber ob man damit die Ursache findet ist nicht gesagt.

Warum vermeidest du ein format c: plus Neuinstallation? Geht es um die Daten auf der Festplatte, die nicht gesichert sind?

tokn 28.05.2011 17:55
Es war der Trojaner Crypt.ZPack.Gen.2:

http://www.trojaner-board.de/97126-v...vorhanden.html


Bei den Einträgen weiß ich nur, das es Fehler in HKLM\System und HKLM\Software
gegeben hat.
In diesem Hauptschlüssel fehlt nun der Unterschlüssel "BCD...".

cosinus 28.05.2011 23:32
Was ist mit meinen anderen Fragen?

tokn 29.05.2011 18:41
Zitat:
Zitat von cosinus (Beitrag 664865)
Was ist mit meinen anderen Fragen?

Ich wüsste jetzt nicht, welche Fragen ich nicht beantwortet hätte. :confused:

cosinus 29.05.2011 19:15
Zitat:
Warum vermeidest du ein format c: plus Neuinstallation? Geht es um die Daten auf der Festplatte, die nicht gesichert sind?
na diese hier

tokn 29.05.2011 19:27
Zitat:
Zitat von cosinus (Beitrag 665326)
Geht es um die Daten auf der Festplatte, die nicht gesichert sind?
Ja und Einiges wiederherzustellen wäre fast unlösbar.
Deswegen arbeite ich daran die Partition wieder flott zu bekommen ;)

cosinus 30.05.2011 09:23
Wieso, ist die Partition im Eimer?
Wenn nicht kannst du die Daten per Live-CD sichern, folge mal dem 2. Link in meiner Signatur.

tokn 30.05.2011 16:11
Wie gesagt, ich habe gesehen, das in der Registry der komplette BCD-Schlüssel fehlt
und der scheint nicht gerade unwichtig zu sein (vor allem Booten?).
Die Frage ist bloß, ob ich einfach sämtliche Werte aus der funktionierenden Registry
übernehmen soll (bspw. Lage von winload und winresume)?
Desweiteren bin ich mir nicht ganz sicher, ob die GUIDs immer identisch sind oder
ob Vista die nach jeder Installation, gemäß eines Algorithmus, neu anlegt.

Vielen Dank schonmal.

cosinus 30.05.2011 16:18
Zitat:
Wie gesagt, ich habe gesehen, das in der Registry der komplette BCD-Schlüssel fehlt
Was genau hat das mit der Lesbarbeit der Partition zu tun? Man könnte Daten immer noch über ein Livesystem sichern wenn die Partitionsstruktur und das Dateisystem okay sind!

Und wenn man alle relevanten Daten gesichert hat, wird das System plattgemacht und Windoows neu installiert!


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131