Beiträge von yakini

Hallo,

ich suche eine Möglichkeit einen einzelnen Reg-Schlüssel vor der Veränderung durch ein Programm zu schützen.

Konkretes Problem:

Ein Programm ändert den Schlüssel Printoverlaydisable nach einer bestimmten Aktion von 0 auf 1.

Ich hätte gerne das der Schlüssel schreibgeschützt ist und auf 0 bleibt, oder aber, so wie ich das jetzt mit einer batch-Datei von Hand mache, dass er nach Veränderung wieder auf 0 gesetzt wird.

Der Schlüssel liegt unter:

HKEY_LOCAL_MACHINE
SOFTEWARE
MICROSOFT
WINDOWS
Current Verion

Hat jemand eine Idee, wie ich das realisieren kann?

Und bitte... keine Diskussion über das warum....

Danke schon mal für konstruktive Vorschläge.

...danke für die Infos und Links.

Es ist schon irgendwie so, als ob der Hersteller meines Autos eine Kontrolllampe mit der Aufschrift "allgemeiner Autofehler" im Armaturenbrett installiert hat und sonst nichts näheres erklärt...

Im Prinzip ist es mir auch nicht wirklich wichtig mit dem Nod32, es macht mich nur irgendwie fertig, daß sich ein einzelnes Programm auf einem System, auf dem sonst jedes Konkurrenzprodukt läuft, nicht mehr starten läßt und ich den Grund nicht rauskriege.

Microsoft und seine super Fehlermeldungen.... Ich denke da nur an "der Zugriff von 00x00000 auf den Speicher 00x00000 kann nicht ausgeführt werden" usw.

Wie der Wurm nun wirklich hieß, ich weiß es nicht mehr, ich weiß nur noch, es war ein Bagle, der hat im Hintergrund einen eMule Client eingerichtet und jede Menge Daten nachgeladen und zur Verfügung gestellt. Alle (!) Sicherheitsprogramme, selbst die, von denen man denkt die kennt gar keiner, wurden deinstalliert oder lahm gelegt und waren bei Neuinstallation keine gültige Win32 Anwendung mehr.
Diverse Linux Boot-CDs mit Antivirendingens und Antimalwaredingens und viel Handarbeit haben das System wieder sauber geputzt. Zumindest, sagen das alle möglichen Programme. Auch Datenverkehr nach außen gibt es keinen mehr im Hintergrund. So wie ich Windows kenne liegen in irgend einer Ecke aber natürlich noch Fragmente von dem Zeug herum.
Interessant war übrigens das, der damals aktive Nod32, die Datei, aus der die kleine Drecksau entschlüpft ist, die bewußt von Hand auf Viren geprüft wurde, als sauber eingestuft hat.

Den CCleaner hatte ich schon.

Die MS Seite bringt mich auf die Idee nochmal die Dienste anzusehen, ein nicht gestarteter Dienst, der sonst für nicht viel gebraucht wird....?

Ich versteh schon, ich werds nicht rausfinden.

Neu werde ich sowieso installieren, das System um das es hier geht ist aber ein ziemlich umfangreiches, steht in der Firma, und es braucht lange um alles wieder auf dem richtigen Stand zu haben.
Der Grund, warum der Nutzer sich das Ding eingefangen hat, ist aber soo blöd, da braucht es die Bestrafung aber förmlich... Das Sytem war so umfangreich gesichert, daß es der aktiven Hilfe des Benutzers bedurfte um es zu verseuchen. Hirn 2.0 war komplett abgeschaltet.

Na egal - ich danke nochmal für die Hilfe, ich werd aufhören mir darüber einen Kopf zu machen.

...ich habe das alles verstanden und kenne die Verfahrensweise wie man Systemveränderungen erkennt.
Diese Möglichkeiten stehen mir aber im Nachhinein hier nicht zur Verfügung.

Aaaaber, ich will gar nicht wissen, was der Virus gemacht oder gelöscht hat. Das ist doch nur Beispielhaft.

Ich will wissen, woran erkennt Windows, wann ein Programm keine gültige Win32-Anwendung ist, bzw. wo steht das.
Da Programme, die neu und sauber installiert werden, beim Programmstart von Windows als nicht gültige Win32-Anwendung erkannt werden, muß
irgendwo im System das Programm oder eine Signatur daraus dementsprechend gekennzeichnet sein.

Und das interessiert mich halt. Wo stehts und wie ist es gemacht...

Nochmal zum Durchsuchen der Registry, natürlich kann ich nicht nach Schlüsseln suchen, die nicht mehr da sind.
Aber es scheint ziemlich unwahrscheinlich, daß ein fehlender Schlüssel ein bestimmtes neu installiertes Programm blockiert. Eher ein veränderter Schlüssel oder der Verweis auf irgendeine
Datei.

...danke, daß Du Dein fundiertes Fachwissen mit mir teilst....

Da wäre ich wirklich nicht drauf gekommen, daß Windows viele Dateien hat und auch die Registry viele Einträge... ich dachte immer Windows hat nur zwei drei Dateien...

...und mir ist es egal wie viele Dateien ich durchsuchen muß (ich nehm da nämlich einen Computer dazu), aber es wäre halt cool zu wissen wonach ich suchen muß.

..ach der Name des Virus ist doch Wurscht, war irgendein Bagle.
Ich will nicht wissen was DIESER Virus oder Trojaner getan hat sondern ich will verstehen, wo ein Programm (in diesem Fall eben ein Trojaner) in Windows etwas verändern muß, damit anschließend Windows selbst meint, das eben gestartete Programm sei keine gültige Win32-Anwendung. Irgendwo muß Windows diese Information ja hernehmen.... ???

Hi allerseits,

ich habe folgendes Problem und dazu ein paar Fragen zum Verständnis:

Nach einer Infizierung eines Systems (XPprof) mit einem Trojaner waren sämtliche Sicherheitsapplikationen (Virenscanner, Adaware, Spybot, TuneUp-Utilities usw) deaktiviert.
Neuinstallation oder Neustart der Tools endeten immer mit der Fehlermeldung "Programm abcd ist keine gültige Win32 Anwendung"

Der Trojaner wurde durch diverse Programme von Boot-CDs aus identifiziert und entfernt. Das System läuft seither stabil, verschiedene Tests lassen den Schluß zu, das der Trojaner nicht mehr vorhanden ist.

Ein Virenscanner (Eset Nod32) lässt sich jedoch auch jetzt noch nicht installieren. Fehlermeldung "Nod32 ist keine gültige Win32 Anwendung"

Mir ist klar, daß ich das System neu aufsetzen kann und das vielleicht doch noch irgendwas böses im Rechner aktiv ist. Darum geht es mir im Moment nicht.

Ich möchte herausfinden wo im System der Trojaner den Eintrag gemacht haben kann, welche Anwendungen nun plötzlich keine gültigen Win32-Anwendungen mehr sind.
Bzw. Woran erkennt Windows, das dies oder jenes keine gültige Win32-Anwendung ist und wo kann man das vielleicht ändern.

Im Fall von Eset Nod32 habe ich die Registry durchforstet und auch Textsuchen übers System laufen lassen, ich kann einfach nichts finden.

Danke schon mal für hilfreiche Antworten.