24.08.2017, 03:05 UTC+2

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

BigPummel

Anfänger

Beiträge: 4

Geschlecht: Männlich

1

18.08.2011, 00:48

Darf ich hier auch andere Betriebssysteme nennen ?

Moin ich bin hier neu.
Ich hatte ein super Ubuntu 10.04, bis die HDD den Geist aufgab.
Ein neuer Rechner ist in Arbeit.
Aber das ist zZ nicht mein Problem. Eine sehr nette Hausbewohnerin von mir hat den BKA7 Virus auf Ihrem Windoof XP. Ich weiß noch nicht einmal die SP-Nummer.
Kann ich nicht schön mit Knoppix auf die dementsprechende Datei zugreifen?
Das Ding legt die explorer.exe lahm und ich habe mir gedacht, das ich mit USB-Stock einfach eine heile implementiere und die Uhr im BIOS ein wenig zurückdrehe.
Klappt sowas? Ich frag lieber vorher.

BigPummel

klaus2008

Meister

Beiträge: 2 644

Geschlecht: Männlich

2

18.08.2011, 10:37

Hallo!

Wenn das Problem in der Registry liegen sollte, reicht es nicht aus, eine einzelne Datei umzubenennen oder zu entfernen. Knoppix hat kein Werkzeug dabei, welches die Windows-Registrierung bearbeiten kann. Mit Knoppix könnte man aber eine Sicherungskopie anfertigen. Anschließend sollte man dann mit einer speziellen Antiviren-CD nach Schädlingen suchen. Einer bekannten Computerzeitschrift lag erst kürzlich eine "Anti-Bot-CD" bei. Diese CD kann man inzwischen auch beim Anti-Botnet-Beratungszentrum herunterladen. Die "Anti-Bot-CD 2.0" basiert übrigens auf einem Linux-System. Auf der erwähnten Webseite gibt es auch ein Anleitung zur manuellen Bearbeitung der Windows-Registrierung.

RalfonLinux

Erleuchteter

Beiträge: 2 931

Geschlecht: Männlich

3

18.08.2011, 11:44

Zitat

Auf der erwähnten Webseite gibt es auch ein Anleitung zur manuellen Bearbeitung der Windows-Registrierung
Von der Live-CD aus, oder nur über den abgesicherten Modus und dann regedit ?
Ich habe nichts anderes gefunden.

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

klaus2008

Meister

Beiträge: 2 644

Geschlecht: Männlich

4

18.08.2011, 12:14

Ich meinte diese Anleitung: BKA-Trojaner manuell über die Registry entfernen.

Es gibt noch andere Tools zur Virenbekämpfung von einem bekannten Hersteller.

Persönlich würde ich mir eine Windows-Live-CD anfertigen und nicht das "verseuchte" Windows noch einmal starten.

Gruss
Klaus

5

18.08.2011, 20:10

... mit chntpw (müßte unter Knoppix nachinstalliert werden) kann man auch die Registry von Windows bearbeiten. Die Benutzung dieses Tools ist keineswegs trivial und nix für Anfänger.

Die allgemeine Empfehlung in den security-newsgroups ist aber, Windows neu installieren, wenn es erst mal verseucht ist.
Gruß Werner * Eigene Rescue-CD
remaster Grml * remaster Knoppix

Vic

Anfänger

Beiträge: 4

Geschlecht: Männlich

6

19.08.2011, 15:06

Von der Live-CD aus, oder nur über den abgesicherten Modus und dann regedit ?
Ich habe nichts anderes gefunden.
Hallo@all,

das sehe ich genauso.

Am Anfang steht eine "Bereinigung" via AV-Software im abgesicherten Modus von Windows ~ idealerweise jedoch via (einer aktuellen) Live-CD von 'außen'.

Nach der Bereinigung kann es dazu kommen, dass nach einem Neustart weder die Taskleiste noch der Desktop erscheinen.

Dann via regedit zu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Dort sucht man den Eintrag „shell“.
Rechtsklick und Ändern wählen.
Im erscheinenden Eingabefenster schreibt man "explorer.exe“ ( ohne " ) und bestätigt mit OK.

Zunächst: Der "BKA-Trojaner" verfügt (noch! ;) !) über keine Reproduktionsroutinen! Daher ist die Verwendung der Windows-Systemwiederherstellung im abgesicherten Modus (!) mit Eingabeaufforderung zielführend. [Anleitung hält Tante G. bereit.]
{Die Systemwiederherstellung löscht im Normalfall *natürlich* keine Infektionen!}

Superb ist auch hier natürlich der Griff in die Schublade, wo ein zeitnah erstelltes Image liegt. :thumbup:

MfG ... Vic

BigPummel

Anfänger

Beiträge: 4

Geschlecht: Männlich

7

20.08.2011, 00:59

ich bedanke mich erstmal für die schnellen antworten.
gut, konstruktiv.
ich habe dies WE leider noch keine zeit das zu checken. melde mich aber mit meinen versuchen zurück.

RalfonLinux

Erleuchteter

Beiträge: 2 931

Geschlecht: Männlich

8

29.08.2011, 19:15

Zitat von »Werner P. Schulz«

... mit chntpw (müßte unter Knoppix nachinstalliert werden) kann man auch die Registry von Windows bearbeiten
Das kenne ich auch, aber im Original vom Nordahl.
Ich dachte, die hätten auf ihrer Linux-LiveCD ein "schöneres" Tool, damit ich unseren Windows-(Workstation-)Admins was an die Hand geben kann.

So ohne Mausoberfläche tun sich sich doch etwas schwer.

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

BigPummel

Anfänger

Beiträge: 4

Geschlecht: Männlich

9

29.08.2011, 22:25

Dank an Klaus2008. Gleich der erste Link führte zum Ziel.

ich fasse kurz zusammen:
wxp sp3 mit f5 im abgesicherten Modus mit Eingabeaufforderung starten.
Man hat dann nur die cmd.exe geöffnet.
dort dann regedit eingeben.
der registrierungseditor startet.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon suchen
winlogon anklicken, auf der rechten Seite der Begriff " shell " suchen, wiederum anklicken und mit der rechten maustaste auf ändern.
Da hat sich der Hund eingenistet. Den gesammten Schlüssel löschen und statt seiner " explorer.exe " eingeben, ohne Anführungszeichen - klar.
Dann den Rechner neu starten mit der Eingabeaufforderung: shutdown -r -t 00

Rechner startet dann normal. Antivirus rüber, S&D, fertig ist die Laube.

Der Beitrag von »hoop123« (28.01.2012, 16:55) wurde vom Benutzer »RalfonLinux« gelöscht (29.01.2012, 15:44).

Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop