Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eintrag unter Schlüssel Winlogon von Virus

Frage Sicherheit Viren und Trojaner

Mitglied: xaverdunn

xaverdunn (Level 1) - Jetzt verbinden

02.07.2007, aktualisiert 03.07.2007, 5433 Aufrufe, 3 Kommentare

Hallo,

das ist eine Sache die mich schon lange beschäftigt.
Im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon gibt es die Zeichenfolge "System" die Standardäßig keinen Wert hat. Viren tragen sich dort ein mit einen Pfad zur eigenen Datei.exe.
Was genau bewirkt dieser Eintrag da "System" eigentlich keine Autostartrampe ist?

Gruß Xaverdunn
Mitglied: gnarff
02.07.2007 um 23:03 Uhr
Hallo xaver!
Bewirkt u.A. dass die betreffende *.exe als Systemdatei erkannt und behandelt wird.
saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
03.07.2007 um 00:39 Uhr
Hallo gnarff,

das habe ich mir auch schon gedacht, aber was ergibt das für einen Sinn?
Löschen kann man die .exe wie bisher, geschützt wird sie vor dem löschen nicht.
Wiederhergestellt durch System wird sie auch nicht.
Was bewirkt dieser Schutz über den Registyeintrag, weisst du was genauers?

Gruß Xaverdunn
Bitte warten ..
Mitglied: gnarff
03.07.2007 um 03:14 Uhr
Hallo Xaver!

Die Registry und ihr [Miss]-Baruch ist ein ziemlich komplexes Thema und bietet Raum fuer mehr als nur ein Tutorial.

Glaube nicht, nur weil Du einen Schluessel geloescht hast, das er dann auch wirklich geloescht ist.
Ueberlange Schluesselnamen oder Pfadlaengen, werden von der Registry nicht angezeigt, genauso wie Schluessel mit fuehrenden NULL-Zeichen. Die maximale anzeigbare Schluessellaenge betraegt 255 Zeichen, fuer einen erstellten Wert sind dies 16.383 Zeichen.

Sobald etwas in HKEY_LOCAL_MACHINE eingetragen wird, werden damit auch die Unterstuetzungsdateien veraendert.
In diesem Falle koennen also Software, Software.log, Software.sav, aber auch Security, Security.log, Security.sav sowie System, System.alt, System.log, System.sav manipuliert werden.
"HKLM" enthält Konfigurationsinformationen, die für den jeweiligen Computer spezifisch sind und für alle Benutzer gleichermaßen gelten.
Die Windows Registry kennt drei Unterschluessel.

Wenn also etwas in HKEY_LOCAL_MACHINE eingetragen oder modifiziert wird, dann auch in HKEY_CLASSES_ROOT [ Unterschluessel der Vorgenannten "HKLM"] sowie in HKEY_CURRENT_CONFIG.
Ueber die HKEY_CURRENT_CONFIG erreichen wir die System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log Dateien.

Viele Trojaner sind Downloader oder Dropper, nachdem zunaechst ein schaedlicher Code auf den Rechner geladen wurde, entpackt sich dieser, oft nach einem Neustart, und wird installiert. Danach werden die eigentlichenSchadprogramme nachgeladen.
Wenn es bis zu diesem Punkt gekommen ist, sind die "urspruenglichen" Modifikationen an der Registrierdatenbank obsolet geworden.

Ich hoffe, ich habe mich einigermassen verstaendlich ausgedrueckt. Es ist nicht ganz einfach das Thema in ein paar Zeilen zu quetschen.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows 7
Winlogon Fehler 1388
Frage von Sv-SchneiderWindows 71 Kommentar

Guten Tag, Ich erhalte Folgenden Fehler bei Winlogon: Ein neues Mitglied konnte nicht zu einer lokalen Gruppe hinzugefügt werden, ...

Viren und Trojaner
Zepto Virus
Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Windows Server
Windows Server 2008r2 (Winlogon Dienst beendet sich)
Frage von MauricWindows Server3 Kommentare

Guten Morgen Zusammen, Es geht um einen Windows Server 2008r2 auf dem folgendes installiert ist: Rollen: - Anwendungsserver - ...

Windows Systemdateien
Windows Registry - Schlüssel entfernen
Frage von CorraggiounoWindows Systemdateien3 Kommentare

Hallo zusammen, ich habe mir die 30 Tage kostenlos Version von Bitdefender auf meinem Windows 7 PC installiert. Da ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 3 StundenBatch & Shell1 Kommentar

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 5 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 20 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 21 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Server-Hardware
Braucht ein Server eine Grafikkarte?
gelöst Frage von lcer00Server-Hardware14 Kommentare

Hallo zusammen, habe gerade 3 Stunden gebraucht, um herauszubekommen, dass die Remotemanagement-Console von Intel (RMM4) nur funktioniert, wenn die ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...