Habe die Lösung für BraveSentry und habe das auch AOL gemeldet |
||
---|---|---|
#0
| ||
05.04.2006, 17:11
...neu hier
Beiträge: 1 |
||
|
||
05.04.2006, 19:38
Member
Beiträge: 19 |
#2
Passt,
siehe mein Beitrag von gestern (HerrFix / Seite 3) Das steht auch drin, wie man herausfinden kann, was APP so treibt, bzw. welche Tools den .key u.U. auch setzen. Ist trivial. Es geht nicht nur um Nero und nicht nur um diesen Key |
|
|
||
06.04.2006, 00:31
Ehrenmitglied
Beiträge: 29434 |
#3
es gibt User, die keinen Nero installiert haben ...........
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2006, 20:07
Member
Beiträge: 19 |
#4
Ja und jeder kann sehr einfach mit Regmon, herausfinden, was APP bei ihm anmeckert und wo das Problem liegt. Einfacher geht's kaum.
Regmon gibt es auf diversen vertrauenswürdigen Seiten im Netz. Nicht jeder hat Nero installiert, also ist das wohl nicht die alleinige Ursache. Aber über Regmon lässt sich, zumindest für die beiden bekannten Schlüssel recht einfach herausfinden, was APP daran auszusetzen hat und aus welcher Anwendung sie kommen. Man muss nur die Filter richtig einsetzen, sonst wird der Log zu gross. und das geht, wie folgt: Nur AOLServiceHost überwachen und dann nach DeleteKey suchen. Dürfte nur zu finden sein, wenn APP etwas verdächtiges entdeckt und den Key dann löscht. Damit sollte sich der als infiziert markierte Schlüsseleintrag der Registry filtern lassen. Dann muss man nur noch die Anwendung identifizieren, die diesen Eintrag setzt, indem man künftig nur auf den/die identifizierten Schlüssel filtert. Damit es nicht jedem geht, wie mir: Die Schlüssel werden mit Semikolon(nicht Komma) getrennt und Leerzeichen hinter dem Semikolon sind nicht erwünscht (werden als Suchkriterium gewertet) Ich bin nicht sicher, ob das für alle Eventualitäten ausreicht. Das funktioniert nur bei den Usern, bei denen das Problem in der Registry liegt. Wer das Problem immer direkt nach Systemstart hat, kann sicherheitshalber mit der Option Startüberwachung ohne Filter arbeiten. Der Log wird riesig, kann aber als Textdatei gespeichert und bsp über eine Tabellenkalkulation wunderbar gefiltert werden (Excel oder das ebensogute kostenlose Staroffice hat wohl jeder, es sind geringfügige Grundkenntnisse erforderlich). Vielleicht nochmal zur Verdeutlichung. bei mir war es .key, deshalb habe ich auch auf HCKU\.key* und HKCR\.key* gefiltert. Es gab immerhin 58 Einträge:. So sucht APP (nicht nur den key selbst, auch der Inhalt wird untersucht, steht dort etwas anderes drin, gibt es keine Warnung): 27 25.52017784 AOLServiceHost.:308 OpenKey HKCR\.key SUCCESS Access: 0x20019 28 25.52022171 AOLServiceHost.:308 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key 29 25.52025223 AOLServiceHost.:308 OpenKey HKCU\.key NOT FOUND 30 25.52026939 AOLServiceHost.:308 EnumerateValue HKCR\.key\ SUCCESS "regfile" 31 25.52028656 AOLServiceHost.:308 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key 32 25.52030945 AOLServiceHost.:308 OpenKey HKCU\.key NOT FOUND 33 25.52032280 AOLServiceHost.:308 EnumerateValue HKCR\.key\ SUCCESS "regfile" 34 25.52037621 AOLServiceHost.:308 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key Das ist die Aktion aufgrund des gefunden "Trojaners" und die solte immer zu finden sein: 56 25.67441559 AOLServiceHost.:308 DeleteKey HKCR\.key SUCCESS Key: 0xE5C47378 Und das macht Nero (6.6.018 Original OEM-Version) 3 4.87641382 nero.exe:3332 CloseKey HKCR\.key SUCCESS 4 4.87643862 nero.exe:3332 CreateKey HKCR\.key SUCCESS Access: 0x2 5 4.87648439 nero.exe:3332 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key 7 4.87684917 nero.exe:3332 SetValue HKCR\.key\(Default) SUCCESS "" 8 4.87698746 nero.exe:3332 CloseKey HKCR\.key SUCCESS 10 4.87706518 nero.exe:3332 OpenKey HKCR\.key SUCCESS Access: 0x2 11 4.87708855 nero.exe:3332 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key 13 4.87724209 nero.exe:3332 SetValue HKCR\.key\(Default) SUCCESS "regfile" 14 4.87726021 nero.exe:3332 CloseKey HKCR\.key SUCCESS Dieser Beitrag wurde am 06.04.2006 um 22:11 Uhr von BerndG editiert.
|
|
|
||
Immer wenn PP ihn löscht, repariert Nero ihn wieder. deshalb kehrt Brave immer wieder. Probiert es doch selber mal aus. Startet Nero Media Player und schaltet ihn wieder aus. Danach lasst ihr PP schnelldurchsuchen. Er wird Brave finden. Löscht ihn. Startet Nero Media wieder und macht das gleiche erneut. Er wird immer wieder Brave anzeigen.
Es handelt sich also um einen Bug. Ich habe das AOL gemeldet und mit einen Experten gesprochen. Es wird bald ein Update geben, das den Bug von AOL PP beheben wird. Bei weiteren fragen stehe ich gern zur Verfügung
Deshalb ist er auch nach Format c wieder da. weil man ja auch Nero wieder installiert;-)