Womit System komplett auf Viren untersuchen?

[Randy89]

Ich stimme dir mit deinen Kritikpunkten zu HJT zu, jedoch ist es gar nichtmal so schlecht, wenn man für den Anfang versucht, die Einträge von HJT selber lesen und interpretieren zu können und einen groben Vergleich bei der Onlineauswertung hat. Natürlich sollte man z.B. erkennen können, dass die Datenbanken stark veraltet sind und somit die Internetexplorerversionen 10 und 11 bspw. fälschlicherweise als rotes X auftauchen.

Das verlinkte Tutorial im Link zu Oldtimer schau ich mir später an. Schätze FRST wird ähnlich ablaufen und ist dann auch das neuere und/oder bessere Programm? Bzw. was wäre, wenn man alle Sachen scannen würde?

Übrigens, was ist von Freefixer als Diagnoseprogramm für den Laien zu halten? Da werden z.B. die geladenen Module, Prozesse, Autostarteinträge, Dienste und kürzlich veränderten Dateien ebenfalls aufgelistet und man könnte bei jedem suspekten Eintrag versuchen, diese zunächsteinmal bei Virustotal scannen zu lassen.

 

[emlyn d.]

Bzw. was wäre, wenn man alle Sachen scannen würde?

Wie meinst du das?

Übrigens, was ist von Freefixer als Diagnoseprogramm für den Laien zu halten?

Ich habe mal das Programm mit einem ZeroAccess-Sample konfrontiert.
Das

Problems opening folder 'c:\Dokumente und Einstellungen\emlynd\Lokale Einstellungen\Anwendungsdaten\Google\Desktop\Install\{0890ffe5-f511-e7dc-c0bd-9e1d8701c372}\???' to enumerate files. FindFirstFile failed. System error message: Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. Error code: 123.

ist das einzige, ernüchternde Ergebnis, also insbesondere für Laien nicht wirklich brauchbar.

Anders sieht es bei FRST aus:

HKCU\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
2013-12-02 19:19 - 2013-12-02 19:19 - 00000000 ____D C:\Dokumente und Einstellungen\emlynd\Lokale Einstellungen\Anwendungsdaten\Google
ZeroAccess:
C:\Dokumente und Einstellungen\emlynd\Lokale Einstellungen\Anwendungsdaten\Google\Desktop\Install

Schnell mittles einer Fixlist.txt die Geschichte "aus der Welt geschafft", was aber natürlich nichts an der Kompromittierung ändert.

Zu OTL:
Das wird, im Gegensatz zu FRST, offensichtlich nicht mehr aktualisiert.

 

[Randy89]

Wie meinst du das?

Damit meinte ich alle Checkboxen, die noch nicht angehakt sind, vor dem Suchlauf anzuhaken.

Ja, Freefixer hat seine Probleme und ich musste bei Windows 8 z.B. im Kompatibilitätsmodus für Windows 7 starten, um mir die kürzlich veränderten Dateien anzeigen zu lassen.
FRST hingegen läuft ohne Probleme auch bei Windows 8, allerdings werden mir nur die Änderungen der Systempartition angezeigt (dafür aber ausführlicher).
Freefixer auf der anderen Seite zeigt mir dagegen die kürzlich veränderten Dateien auch von anderen Partitionen/Festplatten (Stichwort: temporäre Dateien in der RAM-Disk) an und wenn ich es ganz ausführlich haben möchte, verwende ich FolderChangesView von Nirsoft.
Darüber hinaus fehlt mir bei FRST noch die Option, die Auslagerungsdatei auszulesen (oder vielleicht habe ich die Einträge der csrss.exe einfach nur nicht im FRST-, bzw. Additionlog gefunden), finde, sodass mir Freefixer an dieser Stelle mehr Infos bietet.

Das Tutorial zu OTL war übrigens ganz interessant. Gut zu wissen, dass manche Einträge extra markiert werden, wenn sie signiert werden oder wenn etwas besonderes zu beachten gilt.

edit: bezüglich des Eintrags: Als Laie könnte man selbst mit dem Freefixerlog den Eintrag entweder mit einer Live-CD scannen lassen und/oder über ein Linuxsystem versuchen, auf die Datei zuzugreifen und diese bei Virustotal hochladen.
Andererseits sehe ich auch die Vorteile von FRST bezüglich Ferndiagnosen ein, da sieht man mit Freefixer an dieser Stelle tatsächlich alt aus und man könnte da praktisch nur ratgeben, mal wenn es geht über ein Linuxsystem die entsprechenden Dateien scannen zu lassen.