Korrupter (?) Registryschlüssel

jüki · 10.01.2011

Ich habe, mehr durch Zufall, in HKLM/Software einen eigenartigen Registryschlüssel entdeckt.
Da mir Minnetonka ein Rätsel war, wollte ich mal schauen, worum es da geht.
Mit diesem Resultat:

- das machte mich nun stutzig, ich wollte den Schlüssel entfernen - geht nicht.
Auch die Änderung der Rechte wird verweigert:

Meine Fragen nun:
- gibt es Vermutungen, womit ich mir dieses Ei selbst gelegt haben könnte?
- gibt es Möglichkeiten, diesen Schlüssel zu entfernen?
Möglicherweise sollte ich den auch garnicht beachten, einfach stehen lassen. Aber wie immer, wenn ich auf so etwas stoße, versuche ich die Zusammenhänge zu ergründen.

Danke für Hinweise!

Jürgen

Tom111 · 10.01.2011

Mit RegDelNull (http://virus-protect.org/regdelnull.html) solltest du den Schlüssel löschen können.

jüki · 10.01.2011

Hat auf Anhieb geklappt - vielen Dank.
Die Erklärung war wenigstens auf deutsch - für einen wie mich, der nicht englisch spricht, sehr nützlich.

Jürgen

jüki · 11.01.2011

Jetzt habe ich auch noch die eigentliche Ursache für diese Art von Schlüsseln entdeckt:

Die Windows-API behandelt Schlüsselnamen als mit Nullen endende Zeichenfolgen, während der Kernel sie als gezählte Zeichenfolgen behandelt.
Folglich ist es möglich, Registrierungsschlüssel zu erstellen, die im Betriebssystem sichtbar sind, für Registrierungstools wie Regedit jedoch nur teilweise sichtbar sind.
Der Reghide-Beispielcode von Sysinternals führt dieses Verfahren vor, das sowohl von Malware als auch von Rootkits dazu verwendet wird, um Registrierungsdaten auszublenden.

Es eröfffnet aber auch gleichzeitig eine neue Betrachtungsweise für Schädlinge:
Der Reghide-Beispielcode von Sysinternals führt dieses Verfahren vor, das sowohl von Malware als auch von Rootkits dazu verwendet wird, um Registrierungsdaten auszublenden
Obwohl sich die Schädlingsbekämpfer aller Coleur auch weiterhin nicht davon abbrigen lassen werden, verseuchte PCs zu reinigen, ist das ein weiteres und gutes Argument für die Formatierung korrumpierter PCs.

Jürgen

PCDpan_fee · 12.01.2011

siehe auch ...
WinTotal Tipparchiv:
http://www.wintotal.de/tipparchiv/?id=1213

pan_fee

jüki · 12.01.2011

Das ist sehr interessant, pan_fee - meinst Du, damit hätte ich die (nun gelöschten) Einträge sichtbar machen können?
Hab mir das (wie schon so vieles) als pdf abgespeichert.

Jürgen

PCDpan_fee · 12.01.2011

das weiß man nicht aber der Tipp sollte dir nur zur Info dienen.

pan_fee

jüki · 12.01.2011

Danke, pan_fee.
Ich habe zu Vergleichszwecken zwei vollkommen identische Installationen - eine auf einer SSD- und eine auf einer SATA- Festplatte.
Und ich habe ein Image, welches diesen Fehler noch beinhaltet.
Das werde ich sobald ich Zeit habe, mal rückerstellen und die Sache prüfen.
Das Ergebnis teile ich hier mit.

Jürgen

PCDpan_fee · 13.01.2011

jüki schrieb:
Das Ergebnis teile ich hier mit.

wäre interessant.

pan_fee

jüki · 13.01.2011

Ich hab es erprobt - und kein Erfolg.
Möglicherweise funktioniert das auch unter Win7 x64 damit nicht?
Ich habe den Schlüssel exportiert, das ist er:

[HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software]
[HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere]

- der letzte (fehlerhafte) Ordner Versions fehlt. wird nicht angezeigt.
Möglicherweise ist der anderweitig defekt.
RegDelNull ist das Einzige, welches diesen Schlüssel findet und das Einzige, womit man diesen Schlüssel löschen kann,
Einen zweiten, ebenso defekten Schlüssel fand ich noch in

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CSLID\{BEB...}]

- den ich ebenfalls entfernte.
Noch einmal herzlichen Dank für die Hinweise!

Jürgen

PCDpan_fee · 14.01.2011

Danke für den Test, Jürgen.

pan_fee

Korrupter (?) Registryschlüssel

jüki

Tom111

jüki

jüki

PCDpan_fee

jüki

PCDpan_fee

jüki

PCDpan_fee

jüki

PCDpan_fee

Korrupter (?) Registryschlüssel

ANGEBOTE & SPONSOREN

Neueste Beiträge

Neueste Themen

Statistik des Forums