Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eintrag unter Schlüssel Winlogon von Virus

Frage Sicherheit Viren und Trojaner

Mitglied: xaverdunn

xaverdunn (Level 1) - Jetzt verbinden

02.07.2007, aktualisiert 03.07.2007, 5368 Aufrufe, 3 Kommentare

Hallo,

das ist eine Sache die mich schon lange beschäftigt.
Im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon gibt es die Zeichenfolge "System" die Standardäßig keinen Wert hat. Viren tragen sich dort ein mit einen Pfad zur eigenen Datei.exe.
Was genau bewirkt dieser Eintrag da "System" eigentlich keine Autostartrampe ist?

Gruß Xaverdunn
Mitglied: gnarff
02.07.2007 um 23:03 Uhr
Hallo xaver!
Bewirkt u.A. dass die betreffende *.exe als Systemdatei erkannt und behandelt wird.
saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
03.07.2007 um 00:39 Uhr
Hallo gnarff,

das habe ich mir auch schon gedacht, aber was ergibt das für einen Sinn?
Löschen kann man die .exe wie bisher, geschützt wird sie vor dem löschen nicht.
Wiederhergestellt durch System wird sie auch nicht.
Was bewirkt dieser Schutz über den Registyeintrag, weisst du was genauers?

Gruß Xaverdunn
Bitte warten ..
Mitglied: gnarff
03.07.2007 um 03:14 Uhr
Hallo Xaver!

Die Registry und ihr [Miss]-Baruch ist ein ziemlich komplexes Thema und bietet Raum fuer mehr als nur ein Tutorial.

Glaube nicht, nur weil Du einen Schluessel geloescht hast, das er dann auch wirklich geloescht ist.
Ueberlange Schluesselnamen oder Pfadlaengen, werden von der Registry nicht angezeigt, genauso wie Schluessel mit fuehrenden NULL-Zeichen. Die maximale anzeigbare Schluessellaenge betraegt 255 Zeichen, fuer einen erstellten Wert sind dies 16.383 Zeichen.

Sobald etwas in HKEY_LOCAL_MACHINE eingetragen wird, werden damit auch die Unterstuetzungsdateien veraendert.
In diesem Falle koennen also Software, Software.log, Software.sav, aber auch Security, Security.log, Security.sav sowie System, System.alt, System.log, System.sav manipuliert werden.
"HKLM" enthält Konfigurationsinformationen, die für den jeweiligen Computer spezifisch sind und für alle Benutzer gleichermaßen gelten.
Die Windows Registry kennt drei Unterschluessel.

Wenn also etwas in HKEY_LOCAL_MACHINE eingetragen oder modifiziert wird, dann auch in HKEY_CLASSES_ROOT [ Unterschluessel der Vorgenannten "HKLM"] sowie in HKEY_CURRENT_CONFIG.
Ueber die HKEY_CURRENT_CONFIG erreichen wir die System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log Dateien.

Viele Trojaner sind Downloader oder Dropper, nachdem zunaechst ein schaedlicher Code auf den Rechner geladen wurde, entpackt sich dieser, oft nach einem Neustart, und wird installiert. Danach werden die eigentlichenSchadprogramme nachgeladen.
Wenn es bis zu diesem Punkt gekommen ist, sind die "urspruenglichen" Modifikationen an der Registrierdatenbank obsolet geworden.

Ich hoffe, ich habe mich einigermassen verstaendlich ausgedrueckt. Es ist nicht ganz einfach das Thema in ein paar Zeilen zu quetschen.

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Internet Domänen
gelöst Domain Host Eintrag In Richtfunk Netz (7)

Frage von Betact zum Thema Internet Domänen ...

Router & Routing
AVM entweicht geheimer FritzBox-Schlüssel (5)

Link von mikrotik zum Thema Router & Routing ...

DNS
gelöst Kann wpad Eintrag nicht erstellen (3)

Frage von Ex0r2k16 zum Thema DNS ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...