Zitat:

Für wen denn....

Für dich, mal wieder.

Zitat:

Also das die nix können, würde ich jetzt nicht sagen

ich zitiere mich mal

Zitat:

Klar werden dann von aussen Malware-Files gefunden, es wird ja die Platte gescannt.

Aber wieviele der schönen CDs laden denn die Windows Registry, um diese zu scannen`?

File von aussen gelöscht, leerer/defekter Reg Eintrag oder Dienst bleibt zurück.

CD raus, Windows normal booten.

Hey, Malware ist weg, ok, Windows auch, bootet jetzt gar nicht mehr, but nobody is perfect

Warum also so ne tolle Möchtegern-CD nutzen, wenn ich das dann nicht mehr bootende System doch mit FRST bearbeiten muss? Dann nehm ich lieber gleich das Bessere

Hallo zusammen,

zunächst mal freu ich mich, daß jetzt doch eine Diskussion entstanden ist! :-)

Daß Live-CDs "nix können" find ich ein bißchen hart. Wenn ich erreiche, daß ich den Schadcode von meinem System bekomme, dann ist das für mich streng genommen schon das Ziel. Und das schafft eine Live-CD, die 4 große Virenscanner nacheinander drüber laufen läßt recht zuverlässig.

Ich geb dir aber recht, verwaiste Registry / Start-Einträge bleiben dann normal über. So lange das Windows trotzdem startet stören mich diese Einträge aber auch nicht. Praktisch jede Software die ich mal kurz gestartet oder gar installiert habe tut das auch.

Daß Windows dann nicht mehr startet, weil z.B. der Einsprungspunkt auf den Windows Explorer geändert wurde, hatte ich auch schon mal erlebt. Allerdings erst einmal. Und ja, dann muß man doch wieder manuell und remote an der registry fummeln.

Ihr habt vollkommen recht damit, daß das auf jeden Fall eine sehr individuelle Entscheidung ist. Bei meinen eigenen Rechnern würde ich sofort formatieren (mußte ich zum Glück schon viele Jahre nicht mehr ) bei Rechnern von Bekannten stecke ich da aber in der Zwickmühle. Das Backup der Daten, Formatieren, neu installieren, einrichten der Treiber und Software etc. muß da nämlich auch ich machen. Dafür fehlt mir meist schlicht die Zeit.

Und so komme ich dann immer auf die genannten Fragen. Wir leben in einer Zeit, in der es Schädlinge gibt, die eine laufende Windows-Instanz in eine virtuelle Maschine verfrachten können ohne daß es der Anwender bemerkt (Stichwort blue pill). Wie sicher kann ich mir da noch bei der Vollständigkeit und Authentizität von Log-Files sein?

Mir ist jetzt die Idee gekommen es vielleicht einfach mal selbst zu versuchen ein Programm als system service zu schreiben, das einen hook implementiert. Es sollte versuchen Anfragen nach der Prozess-Liste vor Weitergabe an die anfragenden Prozesse um den eigenen Eintrag zu filtern. Mal schaun ob ich in der nächsten Zeit mal ein wenig Freiraum dafür finde, wäre ein interessantes Projekt

Viele Grüße,
Andreas