Zitat:

So lange das Windows trotzdem startet stören mich diese Einträge aber auch nicht.

und je nach Befall ist genau dass das Problem . Nach der Live CD bootet gar nix mehr!

Also warum dann ne CD nutzen, die ewig rum scannt, wenn ich mit unsern Tools in der RE in 3 Minuten fertig bin?

@ Schrauber, du hast aber schon meinen ganzen Beitrag gelesen oder? ;-)

Wie gesagt, daß Windows nicht mehr startet hatte ich erst einmal von unzähligen Fällen.

Zitat:

Also warum dann ne CD nutzen, die ewig rum scannt, wenn ich mit unsern Tools in der RE in 3 Minuten fertig bin?

Weil du dir ggf. nicht sicher sein kannst ob das System dir die Wahrheit sagt.

Zitat:

Weil du dir ggf. nicht sicher sein kannst ob das System dir die Wahrheit sagt.

in der RE? Ohne geladenes Windows, also ohne jegliche geladenen Rootkits, falls vorhanden? Die Wette halte ich

Was heißt RE? Wieso ohne geladenes Windows? Wir reden ja eben davon ein laufendes Windows zu untersuchen.

Wie gesagt, ich werd demnächst mal ein proof-of-concept versuchen mit einem kernel hook, bei dem ihr ein Programm im Autostart habt aber keinen Eintrag in der Prozessliste oder den startup-locations.

nein, wir reden die ganze Zeit von Notfalls CDs. Und ich schlage jede Notfall CD in Zeitverbrauch und Qualität des Bereinigens mit FRST in der RE.

Zitat:

Zitat von schrauber

nein, wir reden die ganze Zeit von Notfalls CDs. Und ich schlage jede Notfall CD in Zeitverbrauch und Qualität des Bereinigens mit FRST in der RE.

Da dürfen wir gerne auch anderer Meinung sein, das tut uns beiden keinen Abbruch. Ich finde beide Wege legitim und im Ergebnis gleichwertig.

Zitat:

Zitat von schrauber

nein, wir reden die ganze Zeit von Notfalls CDs. Und ich schlage jede Notfall CD in Zeitverbrauch und Qualität des Bereinigens mit FRST in der RE.

bezog sich auf

Zitat:

Zitat von foxm2k

Was heißt RE? Wieso ohne geladenes Windows? Wir reden ja eben davon ein laufendes Windows zu untersuchen.

Ich für meinen Teil bin mit FRST in der RE schneller als jede Notfall CD von aussen, und gründlicher.

Zitat:

Zitat von schrauber

Ich für meinen Teil bin mit FRST in der RE schneller als jede Notfall CD von aussen, und gründlicher.

Guten Tag,
tut mir leid dass ich mich da mal so rein hänge, aber genau das was du da sagst ist das Problem.
Du kannst damit schnell Arbeiten aber wieviel von dir gibt es?
Ich komme zwar auch vom "Fach" aber nicht aus der Schadwehrbekämpfung.
Da Ihr hier im Forum eine Anleitung habt wollte ich mir das von dir so angepriesene Produkt mal anschauen, da ich momentan mit dem Thema bei uns zu tun habe. Nach der Hälfte des Textes habe ich Kopfweh bekommen weil ich nichts verstanden habe worauf man den jetzt genau achten muss (Indikatoren)(Vllt stand auch die Lösung im restlichen Text ). Da ich immer gern selbst weiß was passiert kümmere ich mich um sowas selbst gern aber muss ich ein Trojaner Board Admin sein um schnell und effizient meine Viren zu löschen? Ist es dann doch nicht effektiver eine „Notfall CD“ zu haben die einem die Arbeit abnimmt?
Danke für euer Ohr

wenn die cd das auch machen würde wäre ich ganz bei dir. Solange die Registry von Win aber aussen vor bleibt ist dem nicht so .

So ne CD ist wie wenn einer mit gefährlichem Halbwissen manuell am System rum fixt.

Die Ausbildung hier dauert mehrere Monate. Schrauber meinte mit Sicherheit nicht, dass es für den Normalnutzer so schneller geht.

PS: Wann sind denn mal wieder Plätze frei? :-)

Man muss natürlich schon wissen was zu tun ist und was man selber tut. Sonst haut das nicht hin. Eine Live-CD ist für Laien einfacher birgt aber die schon von schrauber angesprochenen Gefahren. Und ist definitiv langsamer und tendenziell unsicherer/"ungründlicher" als ein erfahrener Helfer der mit FRSTRE rangeht

FRST wird aber in der Registry auch nur Abweichungen ermitteln, die bereits bekannt sind. Und inwieweit eine Malware vielleicht sogar den Zugriff zur Registry manipulieren kann weiß ich nicht. Irgendeine Schnittstelle wird wohl genutzt werden müssen. Den Einträgen der Registry darf man eigentlich auch nur trauen, wenn man sie von einem Live-System auslesen kann. Da schließt sich dann wieder der Kreis.

Mit FRSTRE machst ja auch primär einen no booter wieder startklar.
Der Rest folgt dann mit gängigen anti-rootkit-tools im wieder laufenden System wenn es denn unbedingt sein muss.

Zitat:

Zitat von iceweasel

FRST wird aber in der Registry auch nur Abweichungen ermitteln, die bereits bekannt sind. Und inwieweit eine Malware vielleicht sogar den Zugriff zur Registry manipulieren kann weiß ich nicht. Irgendeine Schnittstelle wird wohl genutzt werden müssen. Den Einträgen der Registry darf man eigentlich auch nur trauen, wenn man sie von einem Live-System auslesen kann. Da schließt sich dann wieder der Kreis.

Was soll denn manipuliert werden wenn ich in der RE bin? Ich lade die Hives, 100% Ist-Zustand, mit allen Manipulationen, aber ohne Verschleierungen. Und wenn FRST etwas standardmäßig nicht zeigt kann ich mir immer noch den Rest des Systems nach Belieben anzeigen lassen.

Iceweasel, Schrauber (und jetzt auch Cosinus) reden schon seit einiger Zeit von einem Zugang aus dem Recovery Environment (Reparaturoptionen oder von Win-CD gestartet), nicht vom normalen FRST-Scan im laufenden System. Benutzen tun sie aber zugegebenermaßen immer, wenn sie können, letzteres (meiner Beobachtung nach)...