Home » Viren, Trojaner & Malware Forum » Habe die Lösung für BraveSentry und habe das auch AOL gemeldet » Themenansicht

Habe die Lösung für BraveSentry und habe das auch AOL gemeldet
#0
05.04.2006, 17:11
Ric
...neu hier

Beiträge: 1
#1 BraveSentry wird von AOL PP als .key erkannt. Es ist der Schlüssel von Nero.
Immer wenn PP ihn löscht, repariert Nero ihn wieder. deshalb kehrt Brave immer wieder. Probiert es doch selber mal aus. Startet Nero Media Player und schaltet ihn wieder aus. Danach lasst ihr PP schnelldurchsuchen. Er wird Brave finden. Löscht ihn. Startet Nero Media wieder und macht das gleiche erneut. Er wird immer wieder Brave anzeigen.

Es handelt sich also um einen Bug. Ich habe das AOL gemeldet und mit einen Experten gesprochen. Es wird bald ein Update geben, das den Bug von AOL PP beheben wird. Bei weiteren fragen stehe ich gern zur Verfügung

Deshalb ist er auch nach Format c wieder da. weil man ja auch Nero wieder installiert;-)
Dieser Beitrag wurde am 05.04.2006 um 17:39 Uhr von Ric editiert.
Seitenanfang Seitenende
05.04.2006, 19:38
BerndG
Member

Beiträge: 19
#2 Passt,

siehe mein Beitrag von gestern (HerrFix / Seite 3)
Das steht auch drin, wie man herausfinden kann, was APP so treibt, bzw. welche Tools den .key u.U. auch setzen. Ist trivial.
Es geht nicht nur um Nero und nicht nur um diesen Key
Seitenanfang Seitenende
06.04.2006, 00:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 es gibt User, die keinen Nero installiert haben ...........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2006, 20:07
BerndG
Member

Beiträge: 19
#4 Ja und jeder kann sehr einfach mit Regmon, herausfinden, was APP bei ihm anmeckert und wo das Problem liegt. Einfacher geht's kaum.
Regmon gibt es auf diversen vertrauenswürdigen Seiten im Netz.

Nicht jeder hat Nero installiert, also ist das wohl nicht die alleinige Ursache.
Aber über Regmon lässt sich, zumindest für die beiden bekannten Schlüssel
recht einfach herausfinden, was APP daran auszusetzen hat und aus welcher
Anwendung sie kommen.
Man muss nur die Filter richtig einsetzen, sonst wird der Log zu gross.

und das geht, wie folgt:
Nur AOLServiceHost überwachen und dann nach DeleteKey suchen. Dürfte nur zu finden sein, wenn APP etwas verdächtiges entdeckt und den Key dann löscht. Damit sollte sich der als infiziert markierte Schlüsseleintrag der Registry filtern lassen.
Dann muss man nur noch die Anwendung identifizieren, die diesen Eintrag setzt, indem man künftig nur auf den/die identifizierten Schlüssel filtert.
Damit es nicht jedem geht, wie mir:
Die Schlüssel werden mit Semikolon(nicht Komma) getrennt und Leerzeichen hinter dem Semikolon sind nicht erwünscht (werden als Suchkriterium gewertet)

Ich bin nicht sicher, ob das für alle Eventualitäten ausreicht. Das funktioniert nur bei den Usern, bei denen das Problem in der Registry liegt.

Wer das Problem immer direkt nach Systemstart hat, kann sicherheitshalber mit der Option Startüberwachung ohne Filter arbeiten. Der Log wird riesig, kann aber als Textdatei gespeichert und bsp über eine Tabellenkalkulation wunderbar gefiltert werden (Excel oder das ebensogute kostenlose Staroffice hat wohl jeder, es sind geringfügige Grundkenntnisse erforderlich).

Vielleicht nochmal zur Verdeutlichung. bei mir war es .key, deshalb habe ich auch auf HCKU\.key* und HKCR\.key* gefiltert. Es gab immerhin 58 Einträge:.
So sucht APP (nicht nur den key selbst, auch der Inhalt wird untersucht, steht dort etwas anderes drin, gibt es keine Warnung):
27 25.52017784 AOLServiceHost.:308 OpenKey HKCR\.key SUCCESS Access: 0x20019
28 25.52022171 AOLServiceHost.:308 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key
29 25.52025223 AOLServiceHost.:308 OpenKey HKCU\.key NOT FOUND
30 25.52026939 AOLServiceHost.:308 EnumerateValue HKCR\.key\ SUCCESS "regfile"
31 25.52028656 AOLServiceHost.:308 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key
32 25.52030945 AOLServiceHost.:308 OpenKey HKCU\.key NOT FOUND
33 25.52032280 AOLServiceHost.:308 EnumerateValue HKCR\.key\ SUCCESS "regfile"
34 25.52037621 AOLServiceHost.:308 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key

Das ist die Aktion aufgrund des gefunden "Trojaners" und die solte immer zu finden sein:
56 25.67441559 AOLServiceHost.:308 DeleteKey HKCR\.key SUCCESS Key: 0xE5C47378

Und das macht Nero (6.6.018 Original OEM-Version)
3 4.87641382 nero.exe:3332 CloseKey HKCR\.key SUCCESS
4 4.87643862 nero.exe:3332 CreateKey HKCR\.key SUCCESS Access: 0x2
5 4.87648439 nero.exe:3332 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key
7 4.87684917 nero.exe:3332 SetValue HKCR\.key\(Default) SUCCESS ""
8 4.87698746 nero.exe:3332 CloseKey HKCR\.key SUCCESS
10 4.87706518 nero.exe:3332 OpenKey HKCR\.key SUCCESS Access: 0x2
11 4.87708855 nero.exe:3332 QueryKey HKCR\.key SUCCESS Name: \REGISTRY\MACHINE\SOFTWARE\Classes\.key
13 4.87724209 nero.exe:3332 SetValue HKCR\.key\(Default) SUCCESS "regfile" 14 4.87726021 nero.exe:3332 CloseKey HKCR\.key SUCCESS
Dieser Beitrag wurde am 06.04.2006 um 22:11 Uhr von BerndG editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1