8
Suche Tool (OS-Mode) wo von der CD startet und man Zugriff auf Festplatte hat
Abgesicherter Modus geht nicht mehr
Guten morgen,
ich habe ein kleines Problem.
Habe erst vor zwei Woche oder so, einem Bekannten den Rechner formatiert,
Xp, AntiVirus mit neuesten Udates installiert.
Seine Tochter hat eigenen eingeschränkten Account.
Trotzdem hat sich ein Trojaner (Winupdate86.exe) auf den Rechner geschlichen.
Dieser ist ziemlich hartnäckig. In abgesicherten Modus läßt er mich nicht mehr, da bringt er einen Bluescreen und im normalen Modus, läuft der PC zwar,
aber ich habe selbst als ein Admin nur eingeschränkte Rechte.
Suche ein Programm das im Dos Mode arbeitet und ich die bescheurtet Datei löschen kann.
Bin für jeden sachdienlichen Tip dankbar.
ich habe ein kleines Problem.
Habe erst vor zwei Woche oder so, einem Bekannten den Rechner formatiert,
Xp, AntiVirus mit neuesten Udates installiert.
Seine Tochter hat eigenen eingeschränkten Account.
Trotzdem hat sich ein Trojaner (Winupdate86.exe) auf den Rechner geschlichen.
Dieser ist ziemlich hartnäckig. In abgesicherten Modus läßt er mich nicht mehr, da bringt er einen Bluescreen und im normalen Modus, läuft der PC zwar,
aber ich habe selbst als ein Admin nur eingeschränkte Rechte.
Suche ein Programm das im Dos Mode arbeitet und ich die bescheurtet Datei löschen kann.
Bin für jeden sachdienlichen Tip dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 131474
Url: https://administrator.de/contentid/131474
Printed on: April 25, 2024 at 21:04 o'clock
8 Comments
Latest comment
Moin
Versuche es mal hier mit:
http://partedmagic.com/
Ist ein Linux das sich komplett von der CD in den RAM lädt.
Damit dann das Laufwerk "mounten" und schon kannst Du auf der Festplatte löschen was immer
Du möchtest, nur bissel Vorsicht walten lassen.
Gruß
Vile-Gangster
Versuche es mal hier mit:
http://partedmagic.com/
Ist ein Linux das sich komplett von der CD in den RAM lädt.
Damit dann das Laufwerk "mounten" und schon kannst Du auf der Festplatte löschen was immer
Du möchtest, nur bissel Vorsicht walten lassen.
Gruß
Vile-Gangster
Guten Morgen,
eine Linux Live CD sollte dir da sicher helfen... schau mal hier
Viel Erfolg
Carsten
edit: nicht schnell genug
eine Linux Live CD sollte dir da sicher helfen... schau mal hier
Viel Erfolg
Carsten
edit: nicht schnell genug
Danke für die schnelle Antwort
Danke für die schnelle Antwort
Google mal nach Knoppix... hatte grad n Ähnliches Problem.... Knoppix hat mir da sehr weiter geholfen.
Gruß
Gruß
Also ich denke nicht das ein simples loeschen der relevanten Datei aussreichend ist.. Schau dir mal diese Liste mit Dateien und ihren MD5s an:
userinit.exe 111616 35521e8125c8ffae81d52a3988174d8d
userinit.exe 104960 ac1e1c3ad2a812bc88531abf58d16f9d
userinit.exe 125440 6fc877e163d6ece50230cc6db40e16d2
ntdll64.dll 57856 ac8ac6ade56a56d2d0db1a05d39b2c48
ntdll64.exe 104960 1b318bcb28e6b65428ff55fa7fbf2de8
userinit.exe 104960 fffd0bf3336a7f45ece15476d40e7b29
ntdll64.exe 125440 1630b7a7f8563a14f04bd787f299660a
ntdll64.dll 57856 860a3762022c224ae4d36594442a4a97
ntdll64.exe 125440 70a90d9cf3c1bb4f4b3c252a585423c9
ntdll64.exe 125440 e63ff6f29298094531a2721122f1b9ec
userinit.exe 104960 7a18b8de4b1bf4abd43a71c583cc846d
userinit.exe 125440 88d476a189903d3a52a0c0625dd2fe33
frmwrk32.exe 23040 c9cb9583adbfc005aafe3ce70d6a52f0
userinit.exe 90112 c328fe43fc1c944439d710f90700d53c
userinit.exe 235008 671634549cea7be647ca5c31aade7f90
userinit.exe 125440 8d1d695a7bececed24fa7c172bf46356
Userinit.exe 104960 142139bdcad81b74460de6fe209416a6
ntdll64.exe 104960 89e0d99d78ab88d696947d5f9a3ebb30
userinit.exe 104960 c973ad0eda4e7de2d62cb682dd723090
userinit.exe 104960 a57482cad9ea84d2bd886b08d21fafac
ntdll64.dll 53248 62e8d13ff1fff1f9e3926ca0bc4e272d
mousehook.dll 27648 2f768aea9fe6cdbd4c4c8f98bc0b2a35
userinit.exe 104960 c5499c6e8a1ff1c4ccb96408bfc93568
ntdll64.exe 125440 ea3537e2012fad812c013e24f546e948
ntdll64.exe 111616 47bb7504dda38cdc5cbacbeb91f3d993
winupdate.exe 40960 7709662c6562d350a3bc688c4a7f38ba
userinit.exe 125440 f9ae5201bdd86a4d967d8dc8d2c4b860
userinit.exe 133632 89f6e3999bc0fc04b96b206902a6907e
userinit.exe 104960 92dc505f53f91fab3b37edcfab989f21
ntdll64.exe 104960 52edf475a18b10ac2d383958592eb3c6
userinit.exe 104960 b90275411b6b77a004b39dd28bead7f0
userinit.exe 104960 7e402b8fa16a72558a1585973bc481ff
userinit.exe 125440 b8022babf6e7c7009639d5f1aec553e6
PAVRM.exe 845824 562870268af36805df44fccc9917aa8a
Ausserdem musst du auch noch die registry nach bereinigen:
%SYSTEMROOT%\system32\frmwrk32.exe
ntdll64.exe
%SYSTEMROOT%\TEMP\ntdll64.dll
%USERPROFILE%\LOCALS~1\Temp\ntdll64.dll
ntdll64.exe
%SYSTEMROOT%\system32\frmwrk32.exe
%SYSTEMROOT%\TEMP\ntdll64.dll
%USERPROFILE%\LOCALS~1\Temp\ntdll64.dll
Normalerweise ist nach einem Malwarebefall das neuinstallieren des Systems die richtige Entscheidung
userinit.exe 111616 35521e8125c8ffae81d52a3988174d8d
userinit.exe 104960 ac1e1c3ad2a812bc88531abf58d16f9d
userinit.exe 125440 6fc877e163d6ece50230cc6db40e16d2
ntdll64.dll 57856 ac8ac6ade56a56d2d0db1a05d39b2c48
ntdll64.exe 104960 1b318bcb28e6b65428ff55fa7fbf2de8
userinit.exe 104960 fffd0bf3336a7f45ece15476d40e7b29
ntdll64.exe 125440 1630b7a7f8563a14f04bd787f299660a
ntdll64.dll 57856 860a3762022c224ae4d36594442a4a97
ntdll64.exe 125440 70a90d9cf3c1bb4f4b3c252a585423c9
ntdll64.exe 125440 e63ff6f29298094531a2721122f1b9ec
userinit.exe 104960 7a18b8de4b1bf4abd43a71c583cc846d
userinit.exe 125440 88d476a189903d3a52a0c0625dd2fe33
frmwrk32.exe 23040 c9cb9583adbfc005aafe3ce70d6a52f0
userinit.exe 90112 c328fe43fc1c944439d710f90700d53c
userinit.exe 235008 671634549cea7be647ca5c31aade7f90
userinit.exe 125440 8d1d695a7bececed24fa7c172bf46356
Userinit.exe 104960 142139bdcad81b74460de6fe209416a6
ntdll64.exe 104960 89e0d99d78ab88d696947d5f9a3ebb30
userinit.exe 104960 c973ad0eda4e7de2d62cb682dd723090
userinit.exe 104960 a57482cad9ea84d2bd886b08d21fafac
ntdll64.dll 53248 62e8d13ff1fff1f9e3926ca0bc4e272d
mousehook.dll 27648 2f768aea9fe6cdbd4c4c8f98bc0b2a35
userinit.exe 104960 c5499c6e8a1ff1c4ccb96408bfc93568
ntdll64.exe 125440 ea3537e2012fad812c013e24f546e948
ntdll64.exe 111616 47bb7504dda38cdc5cbacbeb91f3d993
winupdate.exe 40960 7709662c6562d350a3bc688c4a7f38ba
userinit.exe 125440 f9ae5201bdd86a4d967d8dc8d2c4b860
userinit.exe 133632 89f6e3999bc0fc04b96b206902a6907e
userinit.exe 104960 92dc505f53f91fab3b37edcfab989f21
ntdll64.exe 104960 52edf475a18b10ac2d383958592eb3c6
userinit.exe 104960 b90275411b6b77a004b39dd28bead7f0
userinit.exe 104960 7e402b8fa16a72558a1585973bc481ff
userinit.exe 125440 b8022babf6e7c7009639d5f1aec553e6
PAVRM.exe 845824 562870268af36805df44fccc9917aa8a
Ausserdem musst du auch noch die registry nach bereinigen:
%SYSTEMROOT%\system32\frmwrk32.exe
ntdll64.exe
%SYSTEMROOT%\TEMP\ntdll64.dll
%USERPROFILE%\LOCALS~1\Temp\ntdll64.dll
ntdll64.exe
%SYSTEMROOT%\system32\frmwrk32.exe
%SYSTEMROOT%\TEMP\ntdll64.dll
%USERPROFILE%\LOCALS~1\Temp\ntdll64.dll
Normalerweise ist nach einem Malwarebefall das neuinstallieren des Systems die richtige Entscheidung
versuche doch dir eine bartpe cd zu erstellen in der ct hatten sie mal erklärt wie so eine cd zu erstellen ist sogar mit antiviren software usw.
Gruß Michael
Gruß Michael
Ja aber mit BartPE bastelt man ja eine XP-Live CD.
Das Problem bei einigen Viren und Trojanern ist, das sie gerne Systemverzeichnisse befallen oder sich als solche tarnen... diesen Verzeichnissen kannst du aus dem Windows dann nicht wiklich was anhaben weil das System "denkt" das die Dateien zur Ausführung des OS wichtig sind.
Linux Live CDs ist sowas Egal, JEDE beliebige Datei kann gelöscht werden.
Ich hatte hier auch grade so einen Fall, da war ein Trojaner als Papierkorb getarnt... lösch den mal ausm Windows heraus... keine Chance... Deshalb würde ich sowas immer mit Knoppix machen.
Ansonsten is BartPE aber n geiles Tool... kann man ne ganze Menge mit anstellen.
Das Problem bei einigen Viren und Trojanern ist, das sie gerne Systemverzeichnisse befallen oder sich als solche tarnen... diesen Verzeichnissen kannst du aus dem Windows dann nicht wiklich was anhaben weil das System "denkt" das die Dateien zur Ausführung des OS wichtig sind.
Linux Live CDs ist sowas Egal, JEDE beliebige Datei kann gelöscht werden.
Ich hatte hier auch grade so einen Fall, da war ein Trojaner als Papierkorb getarnt... lösch den mal ausm Windows heraus... keine Chance... Deshalb würde ich sowas immer mit Knoppix machen.
Ansonsten is BartPE aber n geiles Tool... kann man ne ganze Menge mit anstellen.
