regsvc.exe remote registry control ausschalten ? |
||
---|---|---|
#0
| ||
08.03.2003, 22:54
...neu hier
Beiträge: 6 |
||
|
||
08.03.2003, 23:18
Ehrenmitglied
Beiträge: 2283 |
#2
Remote-Registrierungsdienst (engl.: Remote Registry Service): Ist dieser Dienst aktiviert, so kann in einem Netzwerk auf die Registry des Rechners zugegriffen werden. Voraussgesetzt es liegen entsprechende Berechtigungen vor. Eine Deaktivierung hat keinen Einfluss auf die Arbeit der Registry.
Dateiname: regsvc.exe abhängig von: keine Standard Win2kServer: automatisch Standard Win2kPro: automatisch sichere Konfiguration: deaktiviert Gateway-Konfiguration: deaktiviert Spiele-Konfiguration: deaktiviert Kannst ihn ruhig deaktivieren. http://www.different-thinking.de/windows_2000_dienste.php __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
08.03.2003, 23:20
Member
Beiträge: 813 |
#3
Ja, im Grunde ist dieser Dienst dafür gedacht.
Wie genau diese Remote-Registrierung abläuft, welche Authentifikation erforderlich ist und welche Gefahren dadurch entstehen könnten, weiß ich aber nicht. Jedenfalls schadet es nicht, den Dienst dauerhaft zu deaktivieren. Edit: Mist, zu langsam... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 08.03.2003 um 23:21 Uhr von forge77 editiert.
|
|
|
||
08.03.2003, 23:26
Ehrenmitglied
Beiträge: 2283 |
#4
Du brauchst auf jeden Fall die entsprechenden Rechte auf dem betroffenen Computer - also Mitglied der lokalen Administratorgruppe.
R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
09.03.2003, 00:30
...neu hier
Themenstarter Beiträge: 6 |
#5
danke für Antworten (wie deaktiviere ich den dienst)
Das Problem ist das ich kommischerweise in der letzten woch zweimal von sog. trojanern heimgesucht wurde eigentlich haben diejenigen irgendwie es geschaft auf meinem Rechner remote access tools zu installieren. Das erstemal war es ein tool sich sogar im system tray sichtbar machte (ich habe leider den namen vergessen ) aber es war glaube ich von microsoft ein tool welches remote technisch den Bildschirminhalt samt funktionen sendet. Das zweite war heute gegen 18:00, getarnt war das ding als rundll32.exe aber in C:\Winnt\Fonts und als explorer.exe. Der ursprüngliche Dateiname war wiederm ein bekanntes remote -Bildschirm - tool der rundll32.exe. (PsTools) Ich habe keine ahnung ob wie die sachen auf meinem rechner installieren können. Der erste einbruch könnte von emule 026a herrühren da dort ein bekannter bug dafür sorgt beim versenden eines modifizierten welcome packets ein buffer overflow zustannde kommen kann. Kann mir jemand sagen wie ich dieses übel beenden kann. Gruß Jhab Dieser Beitrag wurde am 09.03.2003 um 00:31 Uhr von jhab editiert.
|
|
|
||
09.03.2003, 00:37
...neu hier
Themenstarter Beiträge: 6 |
#6
Achso Vergessen!
Vielleicht kennt auch jemand ein Programm welches ausschließlich Anwendungen überwacht und abfragt ob sie sich ins internet verbinden dürfen. gruß Jhab |
|
|
||
09.03.2003, 01:04
Member
Beiträge: 813 |
#7
Zitat Das Problem ist das ich kommischerweise in der letzten woch zweimalWer oder was sagt dir das? Hast du einen (guten) Viren-/Trojanerscanner installiert? Zitat Ich habe keine ahnung ob wie die sachen auf meinem rechner installieren können.E-Mail, ICQ, speziell präparierte Websites, emule, offene Datei- und Druckerfreigabe,... Welchen Browser und welchen E-Mail-Client benutzt du? Hast du ein Netzwerk? Dass ein buffer overflow in emule (irgendwie) ausgenutzt wurde, halte ich für sehr unwahrscheinlich... Zitat Vielleicht kennt auch jemand ein Programm welches ausschließlich AnwendungenScroll mal nach ganz oben und schau dir das erste Wort oben links an (fängt mit F an...) Solche Tools sind dafür gedacht - aber sie erfordern etwas Einarbeitungszeit. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 09.03.2003 um 01:05 Uhr von forge77 editiert.
|
|
|
||
09.03.2003, 12:23
...neu hier
Themenstarter Beiträge: 6 |
#8
Danke für eure Antworten
forge77 Das sagt mir kein trojan scanner, weil die Anwendungen keine Trojaner sind sondern legale remote access tools die sich unter tarnung von systemdatein oder stuipide einfach öfentlich präsentieren, in meinem System installiert worden. Browser: mozilla Druckerfreigabe deaktiviert. Ausser zonealarm, hat bisher kerio, outpost, und personal tiny meinen Comp lahmgelegt bei kerio war es ein windows exception fehler, welcher nicht nur bei mir exestiert. Bei outpost verstehe ich nicht, das selbst nach genauer Ruleset eingabe (von dieser Website) keine Verbindungen zu meinen Rechner aufgebaut werden können oder raus kommen. Ich werde vollständig geblokt auch wenn ich alle Programmen vollständig vertraue oder den Lernmodusganz abstelle und faktisch die Firewall deaktiviere. Da Zonealarm nervt weil man nix kontrollieren kann - und was noch wichtiger ist (vsmon.exe, zonealarm prüft trotz vertrauter Anwendung alle tcp, port, verbindungen und dies ist nach ein paar stunden emule nicht schön = 100 % Systemauslastung grund vsmon.exe) Als ich dann hier nochmal nachfragte (vor ein paar monaten) sagte man mir man brauche nicht unbedingt ein Firewall man kann die unötigen Ports/Dienste auch selber schließen. Da die damals angebenen links geschlossen waren, konnte ich auch hier nichts machen. (h**p://www.bluemerlin-security.de/wxpports.php3) Ich würde mich gerne mehr mit dem Thema Sicherheit befassen, mir fehlen aber die guten start-möglichkeiten (sich in die Tiefen der RFC's hineinstürzen) ist glaube für mich der falsche weg. Gruß Jhab |
|
|
||
09.03.2003, 12:58
Member
Beiträge: 1516 |
#9
schau mal hier http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823
__________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
09.03.2003, 14:21
...neu hier
Themenstarter Beiträge: 6 |
#10
Vielen dank für den Link @spunki
Jetzt sehe ich wie ich dienste verwalte. Und jetzt weiß ich auch wieder das Programm welches remote technisch auf meinem Computer installiert wurde. DameWare mini remote Control Ich habe es gleich mal deaktiviert. Ausserdem finde ich es komisch das ich ohne aktivierung "Netbios - Einstellungen über DHCP beziehen" ich nicht ins netz komme es ensteht ein Gerätefehler in PPPoE. Vielleicht kann mir jemand sagen ob ich weiterhin angst haben muss wegen dem DameWare mini remote controller oder ob netbios doch deaktivieren kann. den remote regestry service habe ich ohne Probleme deaktiviert. Gruß Jhab edit: Ich sehe gerade in der Win2000 ereignissanzeige diese Fehlermeldung Der Dienst "DameWare Mini Remote Control" wurde aufgrund folgenden Fehlers nicht gestartet: Das System kann den angegebenen Pfad nicht finden. Dann heisst das, das mein Manuelles löschen und entfernen der Registry einträge früchte getragen hat ?? Dieser Beitrag wurde am 09.03.2003 um 14:27 Uhr von jhab editiert.
|
|
|
||
09.03.2003, 15:01
...neu hier
Themenstarter Beiträge: 6 |
#11
Das gibt es doch garnicht jetzt habe ich gerade einen Bluescreen absturz mit der Fehlermeldung Speicherabbild konnte nicht blablabla
was geht den ab mit meinem Rechner Kann es sein das das ein exploit war ich weiß nicht mehr weiter Gruß jhab |
|
|
||
ich habe gerade mitbekommen (Process Explorer),
das ich den regsvc laufen habe
Ist das nicht ein bisschen gefährlich oder verstehe ich unter remote
flasch das man von aussen meine regestrierung verändern kann.
Gruß
Jhab