Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Eintrag unter Schlüssel Winlogon von Virus

Mitglied: xaverdunn

xaverdunn (Level 1) - Jetzt verbinden

02.07.2007, aktualisiert 03.07.2007, 5457 Aufrufe, 3 Kommentare

Hallo,

das ist eine Sache die mich schon lange beschäftigt.
Im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon gibt es die Zeichenfolge "System" die Standardäßig keinen Wert hat. Viren tragen sich dort ein mit einen Pfad zur eigenen Datei.exe.
Was genau bewirkt dieser Eintrag da "System" eigentlich keine Autostartrampe ist?

Gruß Xaverdunn
Mitglied: gnarff
02.07.2007 um 23:03 Uhr
Hallo xaver!
Bewirkt u.A. dass die betreffende *.exe als Systemdatei erkannt und behandelt wird.
saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
03.07.2007 um 00:39 Uhr
Hallo gnarff,

das habe ich mir auch schon gedacht, aber was ergibt das für einen Sinn?
Löschen kann man die .exe wie bisher, geschützt wird sie vor dem löschen nicht.
Wiederhergestellt durch System wird sie auch nicht.
Was bewirkt dieser Schutz über den Registyeintrag, weisst du was genauers?

Gruß Xaverdunn
Bitte warten ..
Mitglied: gnarff
03.07.2007 um 03:14 Uhr
Hallo Xaver!

Die Registry und ihr [Miss]-Baruch ist ein ziemlich komplexes Thema und bietet Raum fuer mehr als nur ein Tutorial.

Glaube nicht, nur weil Du einen Schluessel geloescht hast, das er dann auch wirklich geloescht ist.
Ueberlange Schluesselnamen oder Pfadlaengen, werden von der Registry nicht angezeigt, genauso wie Schluessel mit fuehrenden NULL-Zeichen. Die maximale anzeigbare Schluessellaenge betraegt 255 Zeichen, fuer einen erstellten Wert sind dies 16.383 Zeichen.

Sobald etwas in HKEY_LOCAL_MACHINE eingetragen wird, werden damit auch die Unterstuetzungsdateien veraendert.
In diesem Falle koennen also Software, Software.log, Software.sav, aber auch Security, Security.log, Security.sav sowie System, System.alt, System.log, System.sav manipuliert werden.
"HKLM" enthält Konfigurationsinformationen, die für den jeweiligen Computer spezifisch sind und für alle Benutzer gleichermaßen gelten.
Die Windows Registry kennt drei Unterschluessel.

Wenn also etwas in HKEY_LOCAL_MACHINE eingetragen oder modifiziert wird, dann auch in HKEY_CLASSES_ROOT [ Unterschluessel der Vorgenannten "HKLM"] sowie in HKEY_CURRENT_CONFIG.
Ueber die HKEY_CURRENT_CONFIG erreichen wir die System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log Dateien.

Viele Trojaner sind Downloader oder Dropper, nachdem zunaechst ein schaedlicher Code auf den Rechner geladen wurde, entpackt sich dieser, oft nach einem Neustart, und wird installiert. Danach werden die eigentlichenSchadprogramme nachgeladen.
Wenn es bis zu diesem Punkt gekommen ist, sind die "urspruenglichen" Modifikationen an der Registrierdatenbank obsolet geworden.

Ich hoffe, ich habe mich einigermassen verstaendlich ausgedrueckt. Es ist nicht ganz einfach das Thema in ein paar Zeilen zu quetschen.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows 7
Winlogon Fehler 1388
Frage von Sv-SchneiderWindows 71 Kommentar

Guten Tag, Ich erhalte Folgenden Fehler bei Winlogon: Ein neues Mitglied konnte nicht zu einer lokalen Gruppe hinzugefügt werden, ...

Windows Server

Windows Server 2008r2 (Winlogon Dienst beendet sich)

Frage von MauricWindows Server3 Kommentare

Guten Morgen Zusammen, Es geht um einen Windows Server 2008r2 auf dem folgendes installiert ist: Rollen: - Anwendungsserver - ...

Viren und Trojaner

Zepto Virus

Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Windows Systemdateien

Registry Schlüssel mit Variablen erstellen

gelöst Frage von ukulele-7Windows Systemdateien2 Kommentare

Guten Morgen, mein Problem ist eigentlich ein uraltes, das ich endlich zufriedenstellend lösen möchte. Wir haben eine Anwendung die ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...