26
Mittels bat mehrere unbekannte Registry Schlüssel löschen
Hallo an alle Mitglieder,
wie aus der Überschrift zu entnehmen ist, suche ich eine Möglichkeit, zum Teil unbekannte Registry Schlüssel zu Löschen. Konkret meine ich Registry Schlüssel, die mit "{" anfangen und aufhören, jedoch der genaue Inhalt dazwischen ist immer unterschiedlich.
Ich habe zurzeit das Problem, dass die host- und copy.exe in meinem Netzwerk, bestehend aus ca 30 PC's, 2 Server, 1 Fileserver, herum spukt und ich sie nicht loswerde.
Ich habe AVG-Admin als Virenprogramm, jedoch kommt es nicht schnel genug hinterher.
Nun habe ich gelesen, dass man jene Registry-Schlüssel und die autorun.inf auf C: eines jeden PC's löschen muss und schon ist man sie los. Die autorun.inf kann ich noch mit meinen Startskripts löschen, jedoch wie ich die Schlüssel per Startskript löschen kann, weiß ich bis jetzt nicht.
Wäre sehr nett, wenn jemand möglichst schnell antworten könnte, bin etwas unter Zeitdruck.
Danke.
Ich habe zurzeit das Problem, dass die host- und copy.exe in meinem Netzwerk, bestehend aus ca 30 PC's, 2 Server, 1 Fileserver, herum spukt und ich sie nicht loswerde.
Ich habe AVG-Admin als Virenprogramm, jedoch kommt es nicht schnel genug hinterher.
Nun habe ich gelesen, dass man jene Registry-Schlüssel und die autorun.inf auf C: eines jeden PC's löschen muss und schon ist man sie los. Die autorun.inf kann ich noch mit meinen Startskripts löschen, jedoch wie ich die Schlüssel per Startskript löschen kann, weiß ich bis jetzt nicht.
Wäre sehr nett, wenn jemand möglichst schnell antworten könnte, bin etwas unter Zeitdruck.
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116410
Url: https://administrator.de/contentid/116410
Printed on: April 26, 2024 at 06:04 o'clock
26 Comments
Latest comment
Hallo Alucard.
So ernsthaft wie du mit dem Problem umgehst, hast du es verdient.
Die Leute mit Schweinegrippe kommen in die Isolierstation - warum wohl?
Wenns nicht so traurig wäre müsste ich lachen. Mir fehlen echt die Worte.
Gruß
LotPings
PS: Bau dir eine garantiert saubere Notfall CD mit aktuellen Signturen und leg eine Nachschicht in der Firma mit abgeschaltetem Netzwerk ein.
So ernsthaft wie du mit dem Problem umgehst, hast du es verdient.
Die Leute mit Schweinegrippe kommen in die Isolierstation - warum wohl?
Wenns nicht so traurig wäre müsste ich lachen. Mir fehlen echt die Worte.
Gruß
LotPings
PS: Bau dir eine garantiert saubere Notfall CD mit aktuellen Signturen und leg eine Nachschicht in der Firma mit abgeschaltetem Netzwerk ein.
Hallo Alucard,
bist Du Dir im klaren darüber was passiert, wenn Du ALLE! Registry Einträge löscht, die mit {*} hinterlegt sind? Damit erwischt Du aber auch alle für das System notwendige Einträge.
Wenn Du wirklich die Registry aufräumen willst besorg Dir Tools wie regclean oder die Tuneup Utilities. Die Checken die Registrierung durch und melden nicht funktionsfähige Einträge.
Übrigens, kann es sein, daß Du Dir einen Virus eingefangen hast? Dann solltest Du als erstes das Netzwerk lahm legen, damit bereinigte Geräte nicht gleich wieder befallen werden.
Weitere Frage: hast Du mal Deine Festplatte nach autorun.inf durchsucht? Wieviele Einträge findest Du da? Ich habe jedenfalls keine auf C:, sondern nur innerhalb zweier installierter Programme. Was willst Du denn erreichen mit dem Löschen der autorun?
Schöne Grüße
Christof
bist Du Dir im klaren darüber was passiert, wenn Du ALLE! Registry Einträge löscht, die mit {*} hinterlegt sind? Damit erwischt Du aber auch alle für das System notwendige Einträge.
Wenn Du wirklich die Registry aufräumen willst besorg Dir Tools wie regclean oder die Tuneup Utilities. Die Checken die Registrierung durch und melden nicht funktionsfähige Einträge.
Übrigens, kann es sein, daß Du Dir einen Virus eingefangen hast? Dann solltest Du als erstes das Netzwerk lahm legen, damit bereinigte Geräte nicht gleich wieder befallen werden.
Weitere Frage: hast Du mal Deine Festplatte nach autorun.inf durchsucht? Wieviele Einträge findest Du da? Ich habe jedenfalls keine auf C:, sondern nur innerhalb zweier installierter Programme. Was willst Du denn erreichen mit dem Löschen der autorun?
Schöne Grüße
Christof
zu lotpings: ...
zu gechger: sorry mein fehler; ich meinte alle schlüssel mit {..} innerhalb des Schlüssels: hkcu\software\microsoft\windows nt\currentversion\\windows
=>> es geht nicht drum die reg auf zuräumen, sondern viren-einträge zu eliminieren, und das in großem stile mit einer batch-datei !!!
Die autorun.inf ist die zentrale Verbreitungsdatei der Viren: copy.exe und host.exe!
aso: Quelle:
Copy.exe und Host.exe Workaround
=>ich habe A und B!
blablanick: ich hab doch schon AVG!
gr
zu gechger: sorry mein fehler; ich meinte alle schlüssel mit {..} innerhalb des Schlüssels: hkcu\software\microsoft\windows nt\currentversion\\windows
=>> es geht nicht drum die reg auf zuräumen, sondern viren-einträge zu eliminieren, und das in großem stile mit einer batch-datei !!!
Die autorun.inf ist die zentrale Verbreitungsdatei der Viren: copy.exe und host.exe!
aso: Quelle:
Copy.exe und Host.exe Workaround
=>ich habe A und B!
blablanick: ich hab doch schon AVG!
gr
Oh weh,
das wirst Du nicht mit einer bat-Datei hinkriegen. Alle Routinen folgen einer festen Regel, die es hier wohl nicht gibt. Da die Einträge stetig wechseln.....
Es gibt doch Online Virenchecks, soweit ich weiss auch von Symantec. Kannst Du den nicht mal über alle PCs laufen lassen?
Viel Glück
Christof
das wirst Du nicht mit einer bat-Datei hinkriegen. Alle Routinen folgen einer festen Regel, die es hier wohl nicht gibt. Da die Einträge stetig wechseln.....
Es gibt doch Online Virenchecks, soweit ich weiss auch von Symantec. Kannst Du den nicht mal über alle PCs laufen lassen?
Viel Glück
Christof
Ich hatte da so an reg delete hkcu\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ und dann vielleicht sowas wie ..\{*} oder ..\{*.*} gedacht, hat aber nicht funktioniert.
Gibt es denn keine Befehle oder Schleife, mit der man Schlüssel anhand von Namensbruchteilen oder Merkmalen erkennen und löschen kann?
Wenn nicht, lass ich sein. Vielleicht fällt mir noch was ein.
Danke!
Gibt es denn keine Befehle oder Schleife, mit der man Schlüssel anhand von Namensbruchteilen oder Merkmalen erkennen und löschen kann?
Wenn nicht, lass ich sein. Vielleicht fällt mir noch was ein.
Danke!
Zitat von @gechger:
Oh weh,
das wirst Du nicht mit einer bat-Datei hinkriegen.
Alle Routinen folgen einer festen Regel, die es hier wohl nicht gibt. Da die Einträge stetig wechseln.....
Das ist jetzt Lötzinn, es wäre kein Problem selbst mit einer Regular Expression die Zeilen mit { Zahl } zu extrahieren.Oh weh,
das wirst Du nicht mit einer bat-Datei hinkriegen.
Alle Routinen folgen einer festen Regel, die es hier wohl nicht gibt. Da die Einträge stetig wechseln.....
Ich sehe nur das ich den Virus nicht habe und trotzdem Einträge nach diesem Muster. Eventuell von TwekUI erzeugt mit dem ich AutoRuns disabled habe.
Ich werde also nichts schreiben was bei manchen Anwendern Probleme verursachen könnte.
Gruß
LotPings
Ich werde also nichts schreiben was bei manchen Anwendern Probleme verursachen könnte.
Abgesehen davon... im abgesicherten Modus und mit einem Virenbefall als Hintergrund würde ich niemals einen Batch auf die Registry loslassen.
@Alucard7
In dem ursprünglichen Thread wird doch auf ein PDF verwiesen, in dem wiederum auch auf mindestens 1 Clean-Tool für diese ja nun recht betagten Schädlinge ( aus 2006 und 2007) verwiesen wird.
War da nichts in dieser Richtung zu finden?
Wenn schon irgendwas automatisiertes, dann doch lieber etwas darauf Spezialisiertes, oder?
BTW, wie kann man/frau denn sich mit Viren infizieren, die seit 2 bis 3 Jahren bei allen AV-Herstellern bekannt sind?
Grüße
Biber
[Edit]
<OT> Wenn AluCard7 nicht schon mit en Nerven zu Fuss wäre, dann würde ich ja anregen, zusätzlich zu der sprachlichen Verschraubung "Wurzel des Übels Grundlage entziehen!" eventuell noch der Dudenkommission die Wendungen
- " der Wurzel des Übels das Wasser abzugraben " oder
- "...hinter dem Nährboden alle Brücken abzubrechen" vorzuschlagen.
</OT>
[/Edit]
Hallo Alucard,
sobald Du mit Platzhaltern arbeitest erwischt Du garantiert auch systemrelevante Einträge. Das Risiko, das System komplett lahm zu legen ist viel zu hoch. Bei Dir sind es 30 PC und 1 Server, oder? Überleg mal, was es bedeutet, alles komplett neu installieren zu müssen, wenn etwas schief läuft mit der batch Datei. Ausfall der Produktivität von vielleicht 10 Tagen? Aber Komplettausfall!!!
Es ist arbeitsintensiv, aber sicherer Schritt für Schritt vorzugehen. Ich vermute auch, daß Euer Virenschutz nicht up to date ist. Ich kenne daß AVG nicht, aber auch andere Virenschutzlösungen helfen nicht, wenn man nicht regelmäßige Virendatenbanken hochladen kann.
Ich kann nur empfehlen, von einer Stapelverarbeitung die Finger zu lassen, alle Pcs mit aktuellen Virenschutz Programmen zu überprüfen und erstmal keine USB Sticks oder selbstgebrannte CDs zu erlauben.
Und dann ist es immer noch viel Arbeit.
Viel Glück
Christof
sobald Du mit Platzhaltern arbeitest erwischt Du garantiert auch systemrelevante Einträge. Das Risiko, das System komplett lahm zu legen ist viel zu hoch. Bei Dir sind es 30 PC und 1 Server, oder? Überleg mal, was es bedeutet, alles komplett neu installieren zu müssen, wenn etwas schief läuft mit der batch Datei. Ausfall der Produktivität von vielleicht 10 Tagen? Aber Komplettausfall!!!
Es ist arbeitsintensiv, aber sicherer Schritt für Schritt vorzugehen. Ich vermute auch, daß Euer Virenschutz nicht up to date ist. Ich kenne daß AVG nicht, aber auch andere Virenschutzlösungen helfen nicht, wenn man nicht regelmäßige Virendatenbanken hochladen kann.
Ich kann nur empfehlen, von einer Stapelverarbeitung die Finger zu lassen, alle Pcs mit aktuellen Virenschutz Programmen zu überprüfen und erstmal keine USB Sticks oder selbstgebrannte CDs zu erlauben.
Und dann ist es immer noch viel Arbeit.
Viel Glück
Christof
Es geht ja auch darum, autostart einträge zu löschen, damit sich die viren nicht erneut von z.B. sticks aus verbreiten.
So sind sie auch herein gekommen.
Sowas wie Tweakui oder sonstiges wurde nie verwendet.
Außerdem habe ich doch ein Antiviren-Programm, das jene löscht, nur halt nicht schnell genug, sodass sie sich schneller, durch unter anderem diese autostart einträge, verbreiten und erneuern als sie gelöscht weden.
Wie gesagt, sie kamen von sticks, die aber weiter benutzt werden müssen, jedoch halt nicht auto-gestartet werden dürfen.
=> Wurzel des Übels Grundlage entziehen!
So sind sie auch herein gekommen.
Sowas wie Tweakui oder sonstiges wurde nie verwendet.
Außerdem habe ich doch ein Antiviren-Programm, das jene löscht, nur halt nicht schnell genug, sodass sie sich schneller, durch unter anderem diese autostart einträge, verbreiten und erneuern als sie gelöscht weden.
Wie gesagt, sie kamen von sticks, die aber weiter benutzt werden müssen, jedoch halt nicht auto-gestartet werden dürfen.
=> Wurzel des Übels Grundlage entziehen!
zu biber: ich habe live mitangesehen, wie ein usb-stick eingesteckt wurde und sogleich auto-gestartet wurde, wodurch sich jene besagten viren trotz avg blitzschnell im netzwerk verbreitet haben, sie werden gefunden, mittlerweile ca 35000 !!! mal.
Deshalb will die Wurzel, USB-Stick Autostart, vermeiden. Wenn man jenen nämlich manuell öffnet, reagiert AVG schnell genug. ka warum das so ist?
Alles klar?
Bin für alle Vorschläge offen.
Deshalb will die Wurzel, USB-Stick Autostart, vermeiden. Wenn man jenen nämlich manuell öffnet, reagiert AVG schnell genug. ka warum das so ist?
Alles klar?
Bin für alle Vorschläge offen.
Vielleicht ist es aber eine neue Variante des altbekannten Virus? Bei den gleichen Symptomen.Kannst Du mal so eine autorun.inf einschicken an ein Viruslab? Vielleicht kriegen die mehr raus.
Schöne Grüße
Christof
PS: ich kann mir gut vorstellen, daß Deine Nerven gerade auf Grundeis stehen. Aber Du bist nicht verantwortlich für den Mist!
PS2: ich habe mit dem G-Data Programm bisher nur positive Erfahrungen gesammelt. Ist das eine Alternative?
Schöne Grüße
Christof
PS: ich kann mir gut vorstellen, daß Deine Nerven gerade auf Grundeis stehen. Aber Du bist nicht verantwortlich für den Mist!
PS2: ich habe mit dem G-Data Programm bisher nur positive Erfahrungen gesammelt. Ist das eine Alternative?
Ich frage mich ja, wieso die seit Monaten bekannten und verteilten Sicherheitsupdates zur Deaktivierung der Autoplay-Funktion
nicht schon lange installiert sind.
Vielleicht bewegst du endlich mal deinen Hintern und folgst dem Rat von LotPings von 17:59 Uhr, anstatt hier rumzujammern!
nicht schon lange installiert sind.
Bin für alle Vorschläge offen
Vielleicht bewegst du endlich mal deinen Hintern und folgst dem Rat von LotPings von 17:59 Uhr, anstatt hier rumzujammern!
...
Ich will eigentlich nur dieseSchlüssel einfach dauerhaft systemweit aus der Registry löschen mit meinen Startskripts oder eine systemweite einfache Lösung um wirksam das Autoplay abzuschalten, und keine neue Domäne bauen, nicht alle PC's neu aufsetzen, unnötige Notfall-CD's bauen, neue Antiviren-Programme kaufen(alle paar Stunden macht avg ein update->funktioniert alles wunderbar; löscht die Viren auch, kommen nur wegen jener Einträge immer wieder in Mengen, s.o.), Duden auswendig lernen, Internet-Clean-Tools zu Rate ziehen, oder sonstiges.
Mit bat in der Registrierung ist kein Problem, wenn man weiß was man macht!
==>> ........ reg delete hkcu\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ .........
war mein Ansatzpunkt!
gr
Ich will eigentlich nur dieseSchlüssel einfach dauerhaft systemweit aus der Registry löschen mit meinen Startskripts oder eine systemweite einfache Lösung um wirksam das Autoplay abzuschalten, und keine neue Domäne bauen, nicht alle PC's neu aufsetzen, unnötige Notfall-CD's bauen, neue Antiviren-Programme kaufen(alle paar Stunden macht avg ein update->funktioniert alles wunderbar; löscht die Viren auch, kommen nur wegen jener Einträge immer wieder in Mengen, s.o.), Duden auswendig lernen, Internet-Clean-Tools zu Rate ziehen, oder sonstiges.
Mit bat in der Registrierung ist kein Problem, wenn man weiß was man macht!
==>> ........ reg delete hkcu\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ .........
war mein Ansatzpunkt!
gr
Hallo Alucard,
habe mal ein bisschen recherchiert und Dein Ansatz scheint ok zu sein. Habe mehrere Ansätze gefunden, die genauso erfolgreich gearbeitet haben.
Ein gefundenes Beispiel:
Hallo
Im Key HKLM\Software\Microsoft\Windows\CurrentVersion\run kannst Du einen Key erstellen, welche das Programm (oder den batch) automatisch startet.
Windows Registry Editor Version 5.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="soundman.exe"
Das Programm soundman.exe startet automatisch... allerdings bei jedem Benutzer, der sich an dem PC einloggt. Wenn Du das nicht willst, musst Du den Key einfach im HKCU erstllen.
Der Effekt ist derselbe ob ein Shortcut in dem Startup-Menü ist. Die Frage ist nur, wie Du das genau machen willst:
Mit reg /update z.Bsp.
Hinzufügen:
reg /update "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMan"="soundman.exe"
Entfernen:
reg /update "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMan"=""
Mit HKCU nimmt es den Key im CurrentUserr ...
reg.exe ist im Resourcekit dabei. Lässt isch gut und praktisch ohne Probls in Scripts und batches einbauen.
Vielleicht klappt es ja mit dem Update Befehl, wenn der gesamte Ordner mit den Schrott-Schlüsseln deaktiviert wird.
reg /update "hkcu\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\"=""
Schöne Grüße
Christof
habe mal ein bisschen recherchiert und Dein Ansatz scheint ok zu sein. Habe mehrere Ansätze gefunden, die genauso erfolgreich gearbeitet haben.
Ein gefundenes Beispiel:
Hallo
Im Key HKLM\Software\Microsoft\Windows\CurrentVersion\run kannst Du einen Key erstellen, welche das Programm (oder den batch) automatisch startet.
Windows Registry Editor Version 5.0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="soundman.exe"
Das Programm soundman.exe startet automatisch... allerdings bei jedem Benutzer, der sich an dem PC einloggt. Wenn Du das nicht willst, musst Du den Key einfach im HKCU erstllen.
Der Effekt ist derselbe ob ein Shortcut in dem Startup-Menü ist. Die Frage ist nur, wie Du das genau machen willst:
Mit reg /update z.Bsp.
Hinzufügen:
reg /update "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMan"="soundman.exe"
Entfernen:
reg /update "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMan"=""
Mit HKCU nimmt es den Key im CurrentUserr ...
reg.exe ist im Resourcekit dabei. Lässt isch gut und praktisch ohne Probls in Scripts und batches einbauen.
Vielleicht klappt es ja mit dem Update Befehl, wenn der gesamte Ordner mit den Schrott-Schlüsseln deaktiviert wird.
reg /update "hkcu\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\"=""
Schöne Grüße
Christof
Wenn die Ergebnisse deiner "Recherche" immer so ausfallen, kommst du nie auf einen grünen Zweig.
Ansonsten ist deine "Anleitung" ziemlicher Müll.
Hab mittlerweile umgedacht, da das doch zu nichts führt und ich die richtige Schleife zum Entfernen der Einträge nicht selbst hin bekomme.
Ich suche jetzt eine Lösung, um den automatischen Start der autorun.inf in USB-Sticks abzuschalten.
Bis jetzt weiß ich nur, dass das mit gedrückter Shift-Taste funktionieren soll, ist natürlich keine Lösung.
Hat da jemand eine gescheite Lösung parat.
Danke.
Ich suche jetzt eine Lösung, um den automatischen Start der autorun.inf in USB-Sticks abzuschalten.
Bis jetzt weiß ich nur, dass das mit gedrückter Shift-Taste funktionieren soll, ist natürlich keine Lösung.
Hat da jemand eine gescheite Lösung parat.
Danke.
Hi BlaBla,
erstmal habe ich keine "Anleitung" geschrieben, sondern nur zitiert, was in anderen Foren erfolgreich getestet wurde. Immerhin kann es ja als Denkanstoss dienen.
Meine "Recherchen" dienen alleine dem Zweck, durch Anregungen dem Ziel näher zu kommen. Diese Art Recherche hat mir bei vielen eigenen Problemen entscheidende Lösungsansätze vermittelt.
Wäre ich aber auf der Suche nach Problemlösungen auf Kommentare Deiner Art gestossen, hätte mir die ganze Recherche nichts genutzt. Ich kann in Deinen Kommentaren absolut nichts erkennen, was bei dem Problem von alucard weitergeholfen hätte. Außer Blabla, was in Deinem Nick treffend gekennzeichnet ist, kam doch gar nichts sinnvolles von Dir.
Ich bezweifle nicht, daß Deine Kompetenz und Dein Wissen hoch entwickelt ist. Aber um einem gestressten und entnervten User zu helfen, sollten die Kommentare schon etwas helfend wirken. Aus Wolke 7 heraus ist es schwer, die richtige Bodenhaftung für gestresste User zu entwickeln.
Ist auch nur ein Denkanstoss, aber denk mal drüber nach, daß User, die hier Hilfe suchen, nicht Dein Wissen haben. Eine Schritt-für-Schritt Anleitung kann da schon Wunder wirken.
Trotz aller gegenseitiger Kritik
schöne Grüße
Christof
PS: Alucard, bei Deinem neuen Lösungansatz habe ich weder eine Empfehlung noch einen Lösungansatz. Sobald ich etwas Luft habe, gehe ich mal wieder recherchieren. Vielleicht finden wir ja etwas, was man mal probieren kann. Oder BlaBLa hat mal eine wirklich hilfreiche Idee......
PS2: @blabla hast Du eigentlich ein Minnimum an Support Erfahrung???
erstmal habe ich keine "Anleitung" geschrieben, sondern nur zitiert, was in anderen Foren erfolgreich getestet wurde. Immerhin kann es ja als Denkanstoss dienen.
Meine "Recherchen" dienen alleine dem Zweck, durch Anregungen dem Ziel näher zu kommen. Diese Art Recherche hat mir bei vielen eigenen Problemen entscheidende Lösungsansätze vermittelt.
Wäre ich aber auf der Suche nach Problemlösungen auf Kommentare Deiner Art gestossen, hätte mir die ganze Recherche nichts genutzt. Ich kann in Deinen Kommentaren absolut nichts erkennen, was bei dem Problem von alucard weitergeholfen hätte. Außer Blabla, was in Deinem Nick treffend gekennzeichnet ist, kam doch gar nichts sinnvolles von Dir.
Ich bezweifle nicht, daß Deine Kompetenz und Dein Wissen hoch entwickelt ist. Aber um einem gestressten und entnervten User zu helfen, sollten die Kommentare schon etwas helfend wirken. Aus Wolke 7 heraus ist es schwer, die richtige Bodenhaftung für gestresste User zu entwickeln.
Ist auch nur ein Denkanstoss, aber denk mal drüber nach, daß User, die hier Hilfe suchen, nicht Dein Wissen haben. Eine Schritt-für-Schritt Anleitung kann da schon Wunder wirken.
Trotz aller gegenseitiger Kritik
schöne Grüße
Christof
PS: Alucard, bei Deinem neuen Lösungansatz habe ich weder eine Empfehlung noch einen Lösungansatz. Sobald ich etwas Luft habe, gehe ich mal wieder recherchieren. Vielleicht finden wir ja etwas, was man mal probieren kann. Oder BlaBLa hat mal eine wirklich hilfreiche Idee......
PS2: @blabla hast Du eigentlich ein Minnimum an Support Erfahrung???
Hi Alucard,
hab mal wieder recherchiert und dies gefunden:
Der gängige Weg, Autostart zu deaktivieren, führt über die beiden Registry-Schlüssel "NoDriveAutoRun" und "NoDriveTypeAutoRun". Diese sind jedoch sehr bekannt und lassen sich von einem Angreifer relativ leicht umgehen.
Keine Chance bietet einem Kriminellen dagegen der folgende Trick: Öffnen Sie den Registrierungs-Editor mit [Windows R], dem Befehl regedit und "OK".
Navigieren Sie zum Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion". Klicken Sie mit der rechten Maustaste auf den Eintrag "IniFileMapping" und wählen Sie den Befehl "Neu, Schlüssel" aus.
Nennen Sie den neuen Schlüssel Autorun.inf. Achten Sie darauf, dass der neue Schlüssel "Autorun.inf" ausgewählt ist, und klicken Sie im rechten Fenster doppelt auf "(Standard)". Dann geben Sie den Wert @sys:DoesNotExist ein und bestätigen mit "OK".
Die Änderung ist sofort aktiv. Ab jetzt kann sich kein Schädling mehr heimlich per Autostart auf Ihrem PC einschleichen.
Vielleicht hilft das weiter...
Schöne Grüße
Christof
EDIT: habe auch noch einen MS Beitrag gefunden. Hört sich auf den ersten Klick kompliziert an, aber schau einfach mal rein:
http://support.microsoft.com/kb/967715/
EDIT2: noch was gefunden...
Wann immer Sie CDs, USB-Sticks, Wechselplatten oder Speicherkarten-Lesegeräte einstecken, will Windows diese automatisch starten. Dies können Sie in der Registry abstellen. Öffnen Sie diese über Start - Ausführen - regedit. Navigieren Sie zu HKEY_CURRENT_USER - Software- Microsoft -Windows - CurrentVersion - Policies - Explorer. Wählen Sie Bearbeiten - Neu - DWORDWert, um einen neuen Eintrag zu erzeugen, und nennen Sie ihn NoDriveTypeAutoRun. Klicken Sie doppelt auf den erzeugten Eintrag, und geben Sie als Wert ffffffff Hexadezimal ein (achtmal f). Das schaltet die Autoplay-Funktion für alle Laufwerke ein für allemal ab.
Edit3: habe leider keine Stapelverarbeitungroutine gefunden, die das automatisch erledigt. Muß wohl an jedem PC einzeln durchgeführt werden. Kann sein, daß es mit den Richlinien klappt.....
hab mal wieder recherchiert und dies gefunden:
Der gängige Weg, Autostart zu deaktivieren, führt über die beiden Registry-Schlüssel "NoDriveAutoRun" und "NoDriveTypeAutoRun". Diese sind jedoch sehr bekannt und lassen sich von einem Angreifer relativ leicht umgehen.
Keine Chance bietet einem Kriminellen dagegen der folgende Trick: Öffnen Sie den Registrierungs-Editor mit [Windows R], dem Befehl regedit und "OK".
Navigieren Sie zum Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion". Klicken Sie mit der rechten Maustaste auf den Eintrag "IniFileMapping" und wählen Sie den Befehl "Neu, Schlüssel" aus.
Nennen Sie den neuen Schlüssel Autorun.inf. Achten Sie darauf, dass der neue Schlüssel "Autorun.inf" ausgewählt ist, und klicken Sie im rechten Fenster doppelt auf "(Standard)". Dann geben Sie den Wert @sys:DoesNotExist ein und bestätigen mit "OK".
Die Änderung ist sofort aktiv. Ab jetzt kann sich kein Schädling mehr heimlich per Autostart auf Ihrem PC einschleichen.
Vielleicht hilft das weiter...
Schöne Grüße
Christof
EDIT: habe auch noch einen MS Beitrag gefunden. Hört sich auf den ersten Klick kompliziert an, aber schau einfach mal rein:
http://support.microsoft.com/kb/967715/
EDIT2: noch was gefunden...
Wann immer Sie CDs, USB-Sticks, Wechselplatten oder Speicherkarten-Lesegeräte einstecken, will Windows diese automatisch starten. Dies können Sie in der Registry abstellen. Öffnen Sie diese über Start - Ausführen - regedit. Navigieren Sie zu HKEY_CURRENT_USER - Software- Microsoft -Windows - CurrentVersion - Policies - Explorer. Wählen Sie Bearbeiten - Neu - DWORDWert, um einen neuen Eintrag zu erzeugen, und nennen Sie ihn NoDriveTypeAutoRun. Klicken Sie doppelt auf den erzeugten Eintrag, und geben Sie als Wert ffffffff Hexadezimal ein (achtmal f). Das schaltet die Autoplay-Funktion für alle Laufwerke ein für allemal ab.
Edit3: habe leider keine Stapelverarbeitungroutine gefunden, die das automatisch erledigt. Muß wohl an jedem PC einzeln durchgeführt werden. Kann sein, daß es mit den Richlinien klappt.....
Hi gechger.
Erstmals danke für die "Belehrung" von blabla.., wollte es selbst nicht machen, hätte mir als Neuling nur neue Wissens und Nicht-Wissens-Diskussionen eingebracht
.
Der erste Tipp hatte ich schon ausprobiert, hat halt das Autostart-Fenster deaktiviert mehr aber nicht.
Allerdings der 2. sieht sehr interessant aus und lässt sich auch mit meinen Anmeldeskripts realisieren ;).
Werde das die Woche in Angriff nehmen, da er so langsam ziemich lästig wird.
Vielen Dank für die erfolgreiche Recherche. Werd mich wieder melden!!!
Erstmals danke für die "Belehrung" von blabla.., wollte es selbst nicht machen, hätte mir als Neuling nur neue Wissens und Nicht-Wissens-Diskussionen eingebracht
.Der erste Tipp hatte ich schon ausprobiert, hat halt das Autostart-Fenster deaktiviert mehr aber nicht.
Allerdings der 2. sieht sehr interessant aus und lässt sich auch mit meinen Anmeldeskripts realisieren ;).
Werde das die Woche in Angriff nehmen, da er so langsam ziemich lästig wird.
Vielen Dank für die erfolgreiche Recherche. Werd mich wieder melden!!!
Zitat von @gechger:
erstmal habe ich keine "Anleitung" geschrieben, sondern nur zitiert, was in anderen Foren erfolgreich getestet wurde.
erstmal habe ich keine "Anleitung" geschrieben, sondern nur zitiert, was in anderen Foren erfolgreich getestet wurde.
Ach, mit Befehlen, die es gar nicht gibt? Solltest du dir mal patentieren lassen.
Ich kann in Deinen Kommentaren absolut nichts erkennen, was bei dem Problem von alucard weitergeholfen hätte.
Zuerst dachte ich, die wärest nur etwas einfältig. Inzwischen muss ich aber feststellen, dass du selbst zum Lesen zu dämlich bist.
Da erübrigt sich jeder weitere Kommentar.
Hi,
nach ersten kleineren Tests sieht es sehr vielversprechend aus, werde es noch speziell bei der Virus-autorun.inf ausprobieren.
Danke!
Bis dann.
nach ersten kleineren Tests sieht es sehr vielversprechend aus, werde es noch speziell bei der Virus-autorun.inf ausprobieren.
Danke!
Bis dann.
Hi Alucard,
vielleicht kannst Du diesen Artikel auch gut gebrauchen:
http://adriansauer.com/tag/autostart/
Schöne Grüße
Christof
vielleicht kannst Du diesen Artikel auch gut gebrauchen:
http://adriansauer.com/tag/autostart/
Schöne Grüße
Christof
Hallo Alucard,
habe im eigenen Netz heute die Deaktivierung der autorun über Gruppenrichtlinien erfolgreich getestet. Es kann aber sein, daß noch ein Windows Update installiert werden muß, damit es wirklich klappt.
Zitat:
Unter Windows XP muß entweder das Update 953252 oder das Update 967715 installiert sein, unter Windows Vista das Update 950582 – wobei nur die beiden letztgenannten über die Auto-Update-Funktionalität von Windows verteilt werden
Bei mir kann jetzt kein USB Stick mehr einen Autostart auslösen.
Ich bin nach dieser Anleitung vorgegangen:
http://www.3dcenter.org/artikel/windows-sicherheit-datentraeger-autorun ...
Viel Erfolg bei Deien Bemühungen
Schöne Grüße
Christof
habe im eigenen Netz heute die Deaktivierung der autorun über Gruppenrichtlinien erfolgreich getestet. Es kann aber sein, daß noch ein Windows Update installiert werden muß, damit es wirklich klappt.
Zitat:
Unter Windows XP muß entweder das Update 953252 oder das Update 967715 installiert sein, unter Windows Vista das Update 950582 – wobei nur die beiden letztgenannten über die Auto-Update-Funktionalität von Windows verteilt werden
Bei mir kann jetzt kein USB Stick mehr einen Autostart auslösen.
Ich bin nach dieser Anleitung vorgegangen:
http://www.3dcenter.org/artikel/windows-sicherheit-datentraeger-autorun ...
Viel Erfolg bei Deien Bemühungen
Schöne Grüße
Christof
Hi, ich meld mich nach ein paar Tagen mal wieder und kann berichten, dass sich der Virus nicht mehr ausgebreitet hat und die Registrierungseinstellung mit "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion" IniFileMapping sehr gut funktioniert.
Vielen Dank für die sehr gute Recherche gechger.
Vielen Dank für die sehr gute Recherche gechger.
freut mich, Alucard, daß Du Dein Problem hast meistern können.
Und es ist schön für einen Supporter wie mich, vielleicht ein wenig dazu beigetragen zu haben.
Schöne Grüße
Christof