BraveSentry, Auf Wiedersehen?!? |
||
---|---|---|
#0
| ||
02.04.2006, 15:29
...neu hier
Beiträge: 8 |
||
|
||
02.04.2006, 23:21
Member
Beiträge: 19 |
#2
Hallo,
das mit dem gesperrten .key funktioniert. Letztlich würde das aber bedeuten, dass Nero infiziert ist, was ich mir nicht vorstellen kann. Die Infektion würde mit der Aktion nicht behoben. Mehr dazu im Thread von HerrFix. |
|
|
||
03.04.2006, 09:31
...neu hier
Themenstarter Beiträge: 8 |
#3
Hallo!
Seit Ihr sicher, dass es von Nero kommt? Auf meinem Rechner ist Nero nämlich garnicht installiert! |
|
|
||
03.04.2006, 20:24
Member
Beiträge: 19 |
#4
Nein,
natürlich nicht, aber deinem Text steht, dass es mit Nero immer wieder funktioniert hat und bei mir tauchte das Problem nach 8 Tagen ohne Brave just in dem Moment auf, als ich Nero testweise gestartet habe (nur Express, da gibt es leider keinen Log). Und wie oben beschrieben, kam er bei jedem neuen Aufruf von Nero immer wieder. Daraufhin habe ich einige Logs angeschaut und Nero gefunden, was zu der Hoffnung Anlass gab, endlich einen gemeinsamen Nenner zu haben. Jezt bin ich Brave wieder los, hopefully bis zum Nero-Start. Eventuell sind tatsächlich verschiedene Programme infiziert, eventuell wird ein Eintrag .key auch von anderen Programmen gemacht und ist undramatisch. Im Netz konnte ich bisher nichts Brauchbares dazu finden. Um den echten BraveSentry handelt es sich ohnehin nicht. Den muss man selbst installieren und dafür gibt es auch Reparaturmöglichkeiten über BFU, Punisher und Hijack und er ist sehr eindeutig über Hijackthis-Logs identifizierbar. Die Reparaturtools sind nicht ohne Risiko und helfen hier nicht weiter. Das Tool Regmon zeigt auch eindeutig an, dass der Eintrag von Nero gesetzt wird und leider auch einen BufferOverflow auslöst(immer verdächtig): http://www.wintotal.de/softw/index.php?rb=30&id=78 0382 45.47949219 nero.exe:2728 OpenKey HKCU\.key NOT FOUND 10383 45.47953796 nero.exe:2728 OpenKey HKCR SUCCESS Access: 0x2000000 10384 45.47957993 nero.exe:2728 OpenKey HKCR\.key NOT FOUND 10385 45.48029709 nero.exe:2728 CreateKey HKCR\.key SUCCESS Access: 0x2 10386 45.48033142 nero.exe:2728 CloseKey HKCR SUCCESS 10387 45.48035431 nero.exe:2728 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key 10388 45.48041153 nero.exe:2728 OpenKey HKCU\.key NOT FOUND 10389 45.48066330 nero.exe:2728 SetValue HKCR\.key\(Default) SUCCESS "" 10390 45.48068237 nero.exe:2728 CloseKey HKCR\.key SUCCESS 10392 45.48177338 vsmon.exe:1460 QueryValue [color="red"]HKLM\SYSTEM\ControlSet001\Services\Tcpip\Linkage\Bind BUFFER OVERFLOW 10393 45.48179626 vsmon.exe[/color]:1460 QueryValue HKLM\SYSTEM\ControlSet001\Services\Tcpip\Linkage\Bind SUCCESS "\Device\{FC2EC176-8205-4FAE-BC6E-A33A45424589}" 10394 45.48196030 nero.exe:2728 OpenKey HKCU\.key NOT FOUND 10395 45.48199844 nero.exe:2728 OpenKey HKCR\.key SUCCESS Access: 0x2 10396 45.48201752 nero.exe:2728 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key 10397 45.48207474 nero.exe:2728 OpenKey HKCU\.key NOT FOUND 10398 45.48220062 nero.exe:2728 SetValue HKCR\.key\(Default) SUCCESS "regfile" 10399 45.48336792 nero.exe:2728 CloseKey HKCR\.key SUCCESS 10400 45.49292374 nero.exe:2728 OpenKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ogg.dll NOT FOUND 10401 45.49448395 nero.exe:2728 OpenKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\video.dll NOT FOUND 10402 45.49492264 nero.exe:2728 CloseKey HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 SUCCESS 10403 45.49502182 nero.exe:2728 OpenKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI32 SUCCESS Access: 0x80000000 |
|
|
||
Die Lösung liegt tatsächlich im Reg. Schlüssel : "HKEY_CLASSES_ROOT\ .key"
Folgendes:
Jedes mal wo Brave aktiv ist legt er den Schlüssel ".key" an. Wird er von PP entdeckt und gesperrt oder entfernt man ihn über PP, verschwindet dieser Schlüssel wieder.
Die Idee diesen Schlüssel selber zu erstellen war völlig richtig.
Das Problem liegt darin das dieser von Brave wieder gelöscht bzw. überschrieben wird.
Ich tat folgendes:
Den ".key" Schlüssel selber erstellt (ein wert muss man nicht eingeben) und mit einem rechtsklick darauf kommt man in die "BERECHTIGUNGEN". Dann ein Häkchen in das Kästchen "Vollzugriff Verweigern" und schon kann Brave ihn nicht mehr löschen und somit auch kein eigenen Schlüssel erstellen.
Ich habe jetzt schon 10 - 15 mal probiert Brave zu aktivieren was bei mir ohne probleme über Nero IMMER funktionierte und siehe da: ER KANN NICHT MEHR weil er sein Schlüssel nicht anlegen kann.
Und somit hoffe ich sagen zu können:
"BraveSentry, Auf Wiedersehen"
Wie gesagt, der Text ist nicht von mir!
Aber über Antwort wäre ich dankbar!
P.S. Bei mir hat es auch so funktioniert!