Frage zu Registryschlüssel HKLM\...\...\Image File Execution Options

  • #1
S

_solon_

Guest
Grüß Gott,

kennt jemand von euch vielleicht die Bedeutung dieses Registry-Schlüssels:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

Grund der Frage:
der Spyware Terminator hat 2 Einträge angemahnt:
egui.exe und ekrn.exe -> gehören beide zu nod32.

Ich kanns natürlich ignorieren aber mich würde halt mal interessiern,
- was der Sinn diese4s Schlüssels ist und
- ob man Einträge dort gefahrlos löschen kann.

Danke.
 
  • #3
hi,

dort fehlt aber noch was an Info. normalerweise steht dort noch ein unterschlüssel. schauen wir mal genauer.

Bitte lade Systemlook hxxp://jpshortstuff.247fixes.com/SystemLook.exe

Doppelklick auf das tool und gib folgendes in die box ein ( kopieren und einfügen)

Code: 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /sub

und klicke auf Look. Poste den Inhalt des Logfiles.
 
  • #5
wenn es ein legitimer eintrag ist, sollte noch ein unterschlüssel dort stehen :).

Image File Execution Options bedeutet ja, dass ich eine anforderung umleite, sprich wenn ich cmd.exe bei den optionen von notepad eintrage, öffnet sich bei textfile-doppelklick nicht notepad, sondern cmd :).
 
  • #6
Also es gibt keinerlei Unterschlüssel.
Also einfach beide Einträge löschen.
Passieren kann ja nichts, oder?
 
  • #7
würd ich so nicht unterschreiben.
 
  • #8
Hab' ich bis jetzt auch noch nicht gemacht weil mir immer noch nicht klar ist, welchen Sinn,
sprich welche Bedeutung diese Schlüssel haben.
 
  • #9
schrauber schrieb:
wenn es ein legitimer eintrag ist, sollte noch ein unterschlüssel dort stehen :).

Image File Execution Options bedeutet ja, dass ich eine anforderung umleite, sprich wenn ich cmd.exe bei den optionen von notepad eintrage, öffnet sich bei textfile-doppelklick nicht notepad, sondern cmd :).
Zum Vergrößern anklicken....

und aus diesem grund hab ich dich gebeten, ein kleines tool laufen zu lassen.
 
  • #10
PCDpan_fee schrieb:
hier kann ich mich auch irren :-X
Zum Vergrößern anklicken....

ich habe mich geirrt - der Registry-Eintrag ist sauber

sorry

schrauber schrieb:
wenn es ein legitimer eintrag ist, sollte noch ein unterschlüssel dort stehen :).
Zum Vergrößern anklicken....

falsch - wenn es ein legitimer Eintrag ist, sollte kein Unterschlüssel vorhanden sein.

Image_File_Execution_Options.png


pan_fee
 
  • #11
_solon_ schrieb:
Hab' ich bis jetzt auch noch nicht gemacht weil mir immer noch nicht klar ist, welchen Sinn,
sprich welche Bedeutung diese Schlüssel haben.
Zum Vergrößern anklicken....

Der dient eigentlich ausschließlich zum Debuggen. Für die entsprechende EXE wird ein entsprechender Debugger oder eine entsprechende Option eingetragen. Der Debugger öffnet sich im Regelfall zusätzlich zu dem entsprechenden Programm und erhält die Kontrolle, üblicherweise startet er auch das Programm. Im Falle von Notepad in Verbindung mit dem Debugger CMD.exe öffnen sich beide, weil CMD in dem Fall die Kontrolle hat und Notepad öffnet. Das bedeutet aber auch, dass man dort als Debugger eine Schädling eintragen kann. Wenn der jetzt nun auch das eigentliche Programm startet und selbst im Hintergrund verbleibt, merkt das niemand.

PCDpan_fee schrieb:
dieser Link ist interessant ....
Zum Vergrößern anklicken....

pan_fee
 
  • #12
Danke @alle.
Damit kann ich das Thema beenden.

Dann lass ich die Schlüssel halt. Sie lassen sich nämlich nicht löschen.
Hab's als Admin versucht, versucht mir die Rechte zu geben und was weiß ich noch alles.
Vielleicht gehts mit irgendeinem Tool ....
 
  • #13
_solon_ schrieb:
Sie lassen sich nämlich nicht löschen.
Hab's als Admin versucht, versucht mir die Rechte zu geben und was weiß ich noch alles.
Vielleicht gehts mit irgendeinem Tool ....
Zum Vergrößern anklicken....

warum willst du den Unterschlüssel nun löschen? :?
du schriebst doch ...
_solon_ schrieb:
Dann lass ich die Schlüssel halt.
Zum Vergrößern anklicken....

Also lass die Finger davon :knuppel2:

pan_fee
 
  • #14
PCDpan_fee schrieb:
_solon_ schrieb:
Sie lassen sich nämlich nicht löschen.
Hab's als Admin versucht, versucht mir die Rechte zu geben und was weiß ich noch alles.
Vielleicht gehts mit irgendeinem Tool ....
Zum Vergrößern anklicken....

warum willst du den Unterschlüssel nun löschen? :?
du schriebst doch ...
_solon_ schrieb:
Dann lass ich die Schlüssel halt.
Zum Vergrößern anklicken....

Also lass die Finger davon :knuppel2:

pan_fee
Zum Vergrößern anklicken....
OK - ist aber ziemlich nervend wenn bei jedem Lauf von Spyware Terminator eine entsprechende Meldung kommt.
Und dann hatte ich aus den Posts auch herausgelesen, dass diese Schlüssel für das Gesamtsystem nicht unstabilisierend sind.
Aber ok - dann lebe ich halt damit ... :)
 
Thema:

Frage zu Registryschlüssel HKLM\...\...\Image File Execution Options

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben