Eintrag unter Schlüssel Winlogon von Virus
Hallo,
das ist eine Sache die mich schon lange beschäftigt.
Im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon gibt es die Zeichenfolge "System" die Standardäßig keinen Wert hat. Viren tragen sich dort ein mit einen Pfad zur eigenen Datei.exe.
Was genau bewirkt dieser Eintrag da "System" eigentlich keine Autostartrampe ist?
Gruß Xaverdunn
das ist eine Sache die mich schon lange beschäftigt.
Im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon gibt es die Zeichenfolge "System" die Standardäßig keinen Wert hat. Viren tragen sich dort ein mit einen Pfad zur eigenen Datei.exe.
Was genau bewirkt dieser Eintrag da "System" eigentlich keine Autostartrampe ist?
Gruß Xaverdunn
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 62805
Url: https://administrator.de/contentid/62805
Ausgedruckt am: 20.11.2024 um 08:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo Xaver!
Die Registry und ihr [Miss]-Baruch ist ein ziemlich komplexes Thema und bietet Raum fuer mehr als nur ein Tutorial.
Glaube nicht, nur weil Du einen Schluessel geloescht hast, das er dann auch wirklich geloescht ist.
Ueberlange Schluesselnamen oder Pfadlaengen, werden von der Registry nicht angezeigt, genauso wie Schluessel mit fuehrenden NULL-Zeichen. Die maximale anzeigbare Schluessellaenge betraegt 255 Zeichen, fuer einen erstellten Wert sind dies 16.383 Zeichen.
Sobald etwas in HKEY_LOCAL_MACHINE eingetragen wird, werden damit auch die Unterstuetzungsdateien veraendert.
In diesem Falle koennen also Software, Software.log, Software.sav, aber auch Security, Security.log, Security.sav sowie System, System.alt, System.log, System.sav manipuliert werden.
"HKLM" enthält Konfigurationsinformationen, die für den jeweiligen Computer spezifisch sind und für alle Benutzer gleichermaßen gelten.
Die Windows Registry kennt drei Unterschluessel.
Wenn also etwas in HKEY_LOCAL_MACHINE eingetragen oder modifiziert wird, dann auch in HKEY_CLASSES_ROOT [ Unterschluessel der Vorgenannten "HKLM"] sowie in HKEY_CURRENT_CONFIG.
Ueber die HKEY_CURRENT_CONFIG erreichen wir die System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log Dateien.
Viele Trojaner sind Downloader oder Dropper, nachdem zunaechst ein schaedlicher Code auf den Rechner geladen wurde, entpackt sich dieser, oft nach einem Neustart, und wird installiert. Danach werden die eigentlichenSchadprogramme nachgeladen.
Wenn es bis zu diesem Punkt gekommen ist, sind die "urspruenglichen" Modifikationen an der Registrierdatenbank obsolet geworden.
Ich hoffe, ich habe mich einigermassen verstaendlich ausgedrueckt. Es ist nicht ganz einfach das Thema in ein paar Zeilen zu quetschen.
saludos
gnarff
Die Registry und ihr [Miss]-Baruch ist ein ziemlich komplexes Thema und bietet Raum fuer mehr als nur ein Tutorial.
Glaube nicht, nur weil Du einen Schluessel geloescht hast, das er dann auch wirklich geloescht ist.
Ueberlange Schluesselnamen oder Pfadlaengen, werden von der Registry nicht angezeigt, genauso wie Schluessel mit fuehrenden NULL-Zeichen. Die maximale anzeigbare Schluessellaenge betraegt 255 Zeichen, fuer einen erstellten Wert sind dies 16.383 Zeichen.
Sobald etwas in HKEY_LOCAL_MACHINE eingetragen wird, werden damit auch die Unterstuetzungsdateien veraendert.
In diesem Falle koennen also Software, Software.log, Software.sav, aber auch Security, Security.log, Security.sav sowie System, System.alt, System.log, System.sav manipuliert werden.
"HKLM" enthält Konfigurationsinformationen, die für den jeweiligen Computer spezifisch sind und für alle Benutzer gleichermaßen gelten.
Die Windows Registry kennt drei Unterschluessel.
Wenn also etwas in HKEY_LOCAL_MACHINE eingetragen oder modifiziert wird, dann auch in HKEY_CLASSES_ROOT [ Unterschluessel der Vorgenannten "HKLM"] sowie in HKEY_CURRENT_CONFIG.
Ueber die HKEY_CURRENT_CONFIG erreichen wir die System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log Dateien.
Viele Trojaner sind Downloader oder Dropper, nachdem zunaechst ein schaedlicher Code auf den Rechner geladen wurde, entpackt sich dieser, oft nach einem Neustart, und wird installiert. Danach werden die eigentlichenSchadprogramme nachgeladen.
Wenn es bis zu diesem Punkt gekommen ist, sind die "urspruenglichen" Modifikationen an der Registrierdatenbank obsolet geworden.
Ich hoffe, ich habe mich einigermassen verstaendlich ausgedrueckt. Es ist nicht ganz einfach das Thema in ein paar Zeilen zu quetschen.
saludos
gnarff