BraveSentry – die wundersame Rückkehr – kein Onlinemärchen

#31 Anleitung fuer Regmon
http://virus-protect.org/artikel/tools/regmon.html

AOL verwechselt den Brave Sentry mit Nero ?
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Zumindest interpretiert APP den Eintrag in der Registry unter
HKCR\.key als BraveSentry, wenn dort register als Inhalt gefunden wird.
Und bei mir wird dieser Eintrag von Nero gesetzt (Version 6.6.0.18)

Das geht eindeutig aus dem Log von Regmon hervor.

Bei einer Änderung des Textes von register auf "egal was" findet APP keine Probleme.

Entweder ist also Nero in irgendeiner Form verseucht oder der Alarm ist,
wie schon länger vermutet, ein bug von APP.

Zu dem .key konnte ich bisher im Internet noch nichts brauchbares finden

Nicht jeder hat Nero installiert, also ist das wohl nicht die alleinige Ursache.
Aber über Regmon lässt sich, zumindest für die beiden bekannten Schlüssel
recht einfach herausfinden, was APP daran auszusetzen hat und aus welcher
Anwendung sie kommen.
Man muss nur die Filter richtig einsetzen, sonst wird der Log zu gross.

Noch ein Tipp für die Suchenden:
Nur AOLServiceHost überwachen und dann nach SUCCESS, besser eventuell DeleteKey* suchen. Dürfte nur zu finden sein, wenn APP etwas verdächtiges entdeckt und den Key dann löscht. Damit sollte sich der als infiziert markierte
Schlüsseleintrag der Registry filtern lassen. Dann muss man nur noch die Anwendung identifizieren, die diesen Eintrag setzt, indem man künftig nur auf den/die identifizierten Schlüssel filtert.
Damit es nicht jedem geht, wie mir:
Die Schlüssel werden mit Semikolon(nicht Komma) getrennt und Leerzeichen hinter dem Semikolon sind nicht erwünscht (werden als Suchkriterium gewertet)

Ich bin nicht sicher, ob das für alle Eventualitäten ausreicht.

Wer das Problem immer direkt nach Systemstart hat, kann sicherheitshalber mit der Option Startüberwachung ohne Filter arbeiten. Der Log wird riesig, kann aber als Textdatei gespeichert und bsp in eine Tabellenkalkulation kopiert und dort wunderbar gefiltert werden (Excel oder das ebensogute kostenlose Staroffice hat wohl jeder, es sind geringfügige Grundkenntnisse erforderlich)