regsvc.exe remote registry control ausschalten ?

#1 Hi

ich habe gerade mitbekommen (Process Explorer),
das ich den regsvc laufen habe

Ist das nicht ein bisschen gefährlich oder verstehe ich unter remote
flasch das man von aussen meine regestrierung verändern kann.

Gruß
Jhab

#2 Remote-Registrierungsdienst (engl.: Remote Registry Service): Ist dieser Dienst aktiviert, so kann in einem Netzwerk auf die Registry des Rechners zugegriffen werden. Voraussgesetzt es liegen entsprechende Berechtigungen vor. Eine Deaktivierung hat keinen Einfluss auf die Arbeit der Registry.

Dateiname: regsvc.exe
abhängig von: keine
Standard Win2kServer: automatisch
Standard Win2kPro: automatisch
sichere Konfiguration: deaktiviert
Gateway-Konfiguration: deaktiviert
Spiele-Konfiguration: deaktiviert

Kannst ihn ruhig deaktivieren.

http://www.different-thinking.de/windows_2000_dienste.php
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Ja, im Grunde ist dieser Dienst dafür gedacht.
Wie genau diese Remote-Registrierung abläuft, welche Authentifikation erforderlich ist und welche Gefahren dadurch entstehen könnten, weiß ich aber nicht.

Jedenfalls schadet es nicht, den Dienst dauerhaft zu deaktivieren.

Edit: Mist, zu langsam...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#4 Du brauchst auf jeden Fall die entsprechenden Rechte auf dem betroffenen Computer - also Mitglied der lokalen Administratorgruppe.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 danke für Antworten (wie deaktiviere ich den dienst)

Das Problem ist das ich kommischerweise in der letzten woch zweimal
von sog. trojanern heimgesucht wurde eigentlich haben diejenigen irgendwie es geschaft auf meinem Rechner remote access tools zu installieren.


Das erstemal war es ein tool sich sogar im system tray sichtbar machte (ich habe leider den namen vergessen ) aber es war glaube ich von microsoft ein tool welches remote technisch den Bildschirminhalt samt funktionen sendet.
Das zweite war heute gegen 18:00, getarnt war das ding als rundll32.exe
aber in C:\Winnt\Fonts und als explorer.exe.
Der ursprüngliche Dateiname war wiederm ein bekanntes remote -Bildschirm - tool der rundll32.exe. (PsTools)

Ich habe keine ahnung ob wie die sachen auf meinem rechner installieren können.

Der erste einbruch könnte von emule 026a herrühren da dort ein bekannter bug dafür sorgt beim versenden eines modifizierten welcome packets ein buffer overflow zustannde kommen kann.

Kann mir jemand sagen wie ich dieses übel beenden kann.

Gruß
Jhab

#6 Achso Vergessen!

Vielleicht kennt auch jemand ein Programm welches ausschließlich Anwendungen
überwacht und abfragt ob sie sich ins internet verbinden dürfen.

gruß
Jhab

#7

Zitat

Das Problem ist das ich kommischerweise in der letzten woch zweimal
von sog. trojanern heimgesucht wurde eigentlich haben diejenigen irgendwie es geschaft auf meinem Rechner remote access tools zu installieren.

Wer oder was sagt dir das? Hast du einen (guten) Viren-/Trojanerscanner installiert?

Zitat

Ich habe keine ahnung ob wie die sachen auf meinem rechner installieren können.

E-Mail, ICQ, speziell präparierte Websites, emule, offene Datei- und Druckerfreigabe,... Welchen Browser und welchen E-Mail-Client benutzt du? Hast du ein Netzwerk?

Dass ein buffer overflow in emule (irgendwie) ausgenutzt wurde, halte ich für sehr unwahrscheinlich...

Zitat

Vielleicht kennt auch jemand ein Programm welches ausschließlich Anwendungen
überwacht und abfragt ob sie sich ins internet verbinden dürfen.

Scroll mal nach ganz oben und schau dir das erste Wort oben links an (fängt mit F an...)
Solche Tools sind dafür gedacht - aber sie erfordern etwas Einarbeitungszeit.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#8 Danke für eure Antworten

forge77
Das sagt mir kein trojan scanner, weil die Anwendungen keine Trojaner
sind sondern legale remote access tools die sich unter tarnung von systemdatein oder stuipide einfach öfentlich präsentieren, in meinem System installiert worden.

Browser: mozilla
Druckerfreigabe deaktiviert.

Ausser zonealarm, hat bisher kerio, outpost, und personal tiny meinen Comp lahmgelegt
bei kerio war es ein windows exception fehler, welcher nicht nur bei mir exestiert.
Bei outpost verstehe ich nicht, das selbst nach genauer Ruleset eingabe (von dieser Website) keine Verbindungen zu meinen Rechner aufgebaut werden können oder raus kommen.

Ich werde vollständig geblokt auch wenn ich alle Programmen vollständig vertraue
oder den Lernmodusganz abstelle und faktisch die Firewall deaktiviere.

Da Zonealarm nervt weil man nix kontrollieren kann - und was noch wichtiger ist (vsmon.exe, zonealarm prüft trotz vertrauter Anwendung alle tcp, port, verbindungen und dies ist nach ein paar stunden emule nicht schön = 100 % Systemauslastung grund vsmon.exe)

Als ich dann hier nochmal nachfragte (vor ein paar monaten)
sagte man mir man brauche nicht unbedingt ein Firewall man kann die unötigen Ports/Dienste auch selber schließen.
Da die damals angebenen links geschlossen waren, konnte ich auch hier nichts
machen. (h**p://www.bluemerlin-security.de/wxpports.php3)

Ich würde mich gerne mehr mit dem Thema Sicherheit befassen, mir fehlen
aber die guten start-möglichkeiten (sich in die Tiefen der RFC's hineinstürzen)
ist glaube für mich der falsche weg.



Gruß
Jhab

#9 schau mal hier http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#10 Vielen dank für den Link @spunki
Jetzt sehe ich wie ich dienste verwalte.
Und jetzt weiß ich auch wieder das Programm welches remote technisch auf meinem Computer installiert wurde.

DameWare mini remote Control

Ich habe es gleich mal deaktiviert.
Ausserdem finde ich es komisch das ich ohne aktivierung "Netbios - Einstellungen über DHCP beziehen" ich nicht ins netz komme
es ensteht ein Gerätefehler in PPPoE.

Vielleicht kann mir jemand sagen ob ich weiterhin angst haben muss wegen dem
DameWare mini remote controller oder ob netbios doch deaktivieren kann.

den remote regestry service habe ich ohne Probleme deaktiviert.

Gruß
Jhab

edit:

Ich sehe gerade in der Win2000 ereignissanzeige diese Fehlermeldung

Der Dienst "DameWare Mini Remote Control" wurde aufgrund folgenden Fehlers nicht gestartet:
Das System kann den angegebenen Pfad nicht finden.

Dann heisst das, das mein Manuelles löschen und entfernen der Registry einträge früchte getragen hat ??

#11 Das gibt es doch garnicht jetzt habe ich gerade einen Bluescreen absturz mit der Fehlermeldung Speicherabbild konnte nicht blablabla
was geht den ab mit meinem Rechner

Kann es sein das das ein exploit war
ich weiß nicht mehr weiter

Gruß
jhab