Eigenartiger Registry- Schlüssel

  • #21
jüki schrieb:
Also: cmd > Enter > Eingabe:
reg delete /HKEY_CURRENT_USER\Software\Classes\http > Enter?
Zum Vergrößern anklicken....
Ja, wobei Du HKEY_CURRENT_USER aber auch der Einfachheit halber durch HKCU ersetzen kannst/solltest. Ein angehängtes /va /f schadet aber auch nicht.

Ich spreche leider nicht englisch - mit dem RootkitRevealer komme ich trotzdem zurecht.
Aber leider nicht mit RegDelNull- ich habe es mal geladen, entpackt und gestartet. Blitzt nur kurz ein schwarzes Fenster auf, weiter nichts.
Also mache ich da etwas falsch.
Zum Vergrößern anklicken....
Ebenfalls in einem Eingabeaufforderungsfenster aufrufen
Code: 
regdelnull <Pfad/Schlüssel> [-s]
wobei der optionale Parameter -s alle Unterschlüssel gleich mitlöscht. Allerdings müsstest Du eben erst herausfinden, ob sich im Schlüssel ein versteckter Registry-Eintrag befindet. Und dafür zuerst den RootkitRevealer einsetzen.

Bye,
Freudi
 
  • #22
Danke, Freudi - ich werde es so, wie Du es mir geraten hast, versuchen. Und berichten.
Ein schönes Wochenende wünsch ich Dir!

Jürgen
 
  • #23
BTW: hm ... Fernzugriff vielleicht?

http://www.doctordeploy.com/registry-eintraege-verschwinden-beim-kompilieren-t291.html

Damit Twixtel in einer Terminalserverumgebung die angezeigten URLs öffnen kann,
müssen in der Registry folgende Einträge gemacht werden:

1. HKEY_LOCAL_MACHINE\Software\Classes\http\shell\open\command
Zum Vergrößern anklicken....
http://support.microsoft.com/kb/256986/de

Im Schlüssel HKEY_CURRENT_USER\Software\Classes sind Einstellungen gespeichert,
die Standardeinstellungen überschreiben und nur für den interaktiven Benutzer gelten.

Wenn Sie einem Schlüssel unter HKEY_CLASSES_ROOT Werte hinzufügen und der Schlüssel bereits unter
HKEY_CURRENT_USER\Software\Classes existiert, speichert das System die Informationen unter
diesem Schlüssel anstatt unter dem Schlüssel HKEY_LOCAL_MACHINE\Software\Classes.
Zum Vergrößern anklicken....
 
  • #24
Ich schrieb in Antwort #15 am: Gestern um 20:30:48
Ein Virus oder Trojaner, der so etwas veranlassen könnte, kann es nicht sein - der Test- PC ist sauber. (Kein Internet)
- demzufolge auch kein Fernzugriff.
ich habe hier 4 PCs und einen Server da stehen - der Test- PC, auf dem ich solche Eigenartigkeiten versuche, zu analysieren, ist nicht mit dem Internet verbunden.
Und ausschließlich für Testzwecke vorgesehen. (Was das Kind, das sich Gast nennt, noch nicht begriffen hat)

Jürgen
 
  • #25
Nur um nochmal sicher zu gehen:
Es ist nur ein Benutzer aktiv angemeldet angemeldet und kein weiterer (Schnelle Benutzerumschaltung)? Dann bleibts bei dem Geschriebenen.

Bye,
Freudi
 
  • #26
Nur ein Benutzer - Administrator - ich.
Auch kein Gastkonto, keine Schnelle Benutzerumschaltung.
XP SP 3 + alle empfohlenen Patches.
Upgedatet wird per USB- Stick.

Jürgen
 
  • #27
also ich hab keinen plan von wem/was dieser schlüssel kommt, ich kann dir aber, wenn obige schritte nicht funzen, ein script basteln das den eintrag löscht. musst nur bescheid geben :).
 
  • #28
Natürlich habe ich da Interesse daran, Danke! - ich habe Dir eine PN gesendet.
Ich habe mir ein Image von diesem (fehlerbehafteten) Betriebssystem erzeugt, das kann ich innerhalb von 3 Minuten wiederherstellen, um dieses Script zu erproben.

Jürgen
 
  • #29
Ich habe am Wochenende die Geschichte noch einmal angegangen und es auch nach den Vorschlägen von @schrauber behandelt.
Der Erfolg war ebenso negativ. PC friert ein.
Da es mir, ich sagte es mehrmals, nicht vordergründig um die Löschung des Schlüssels geht -ich verfüge zu jeder Zeit über saubere Images- sondern um das Warum, habe ich mich weiterhin schlau gemacht.
Dies erklärte mir ein Programmierer:
Solche Verhaltensweisen resultieren aus der Booleschen Logik, also liegen im Bereich des Maschinensprache.
Dabei wird bei einem bedingten Sprung (Entscheidung) eines der beiden Entscheidungs- Kriterien irreparabel beschädigt. Normalerweise repariert die Fehlerkorrektur so etwas - wenn aber in der Bytegruppe eines Befehls an 3 Stellen zugleich ein Fehler auftritt, wird in manchen Fällen die Fehlerkorrektur mißlingen und aus dem Bedingten Sprung wird ein Unbedingter.
Der PC, bzw. seine Ablaufsteuerung läuft sozusagen im Kreis.
Da damit auch kein weiterer Entscheidungspunkt angesteuert werden kann, ist auch keinerlei weitere Einflußnahme möglich. Nur Aus oder Reset.
Diese Fehler werden sehr selten durch Schadprogramme erzeugt. Meist komplex durch Bedien- und Installationsfehler im Zusammenhang mit fehlerhaften Sektoren auf der Festplatte.
In diesem Falle beging ich den Fehler, bei einem Programm, welches sich nicht sauber deinstallieren lies, den Ordner zu löschen. Dies hat möglicherweise - zusammen mit mehreren durch HDTune (nachträglich) entdeckten Festplattenfehlern zu diesem eigenartigem Effekt geführt.
Ich bedanke mich noch einmal für Eure Hilfe.
Und bei der Administration für die Reinhaltung des Threads.

Jürgen
 
  • #30
Danke an @cetera und kieler für den Softwarebot Hinweis.

pan_fee
 
  • #31
SOFTWARE\Classes\HTTP ... scheint auch die Basis für Startup Optionen diverser Browser zu sein ...
Topic: Autoruns 9.01 with Alternative Browsers http://forum.sysinternals.com/forum_posts.asp?TID=13211
Zum Vergrößern anklicken....
 
Thema:

Eigenartiger Registry- Schlüssel

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.959
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben