"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

SlySoft und der versteckte Registry Schlüssel

LxDj 18.05.2006 - 12:22 115743 9
Posts

LxDj

2 Frags in 2 Seconds
Avatar
Registered: Jan 2003
Location: AT
Posts: 829
folgende sache.

ich hatt die trial von any dvd auf meinem rechner installiert.
nach ablauf der 21tage war die testperiode zu ende und ich hab das teil wieder deinstalliert.

heute hab ich so herumgesurft und in einem forum gelesen das slysoft produkte einen versteckten reg eintrag anlegen.
ich hab bei mir nachgesehen und tatsächlich hatte ich den auch.


und zwar nennt sich der -->
HKEY_CURRENT_USER\Software\Zepter Software

ich wollte in löschen doch der eintrag weigert sich enorm aus meiner registry zu verschwinden.
wieder etwas gegoogelt und ich fand folgendes:

Es ist eben nicht "nur" ein Registry-Eintrag. Es ist ein absichtlich fehlerhafter, über Windows32-API nicht einsehbarer Registry-Eintrag (mit NULL-Bytes), damit sein Inhalt für den normalen Nutzer und gängige Sicherheitssoftware unsichtbar bleibt. Der normale Nutzer kann den Schlüssel mit Bordmitteln weder einsehen, noch editieren, noch löschen. (Dafür benötigt man beispielweise Rootkit-Removal-Software). Slysoft nutzt absichtlich hier keine Standard-NT-Zugriffsrechte sondern Maßnahmen, wie sie üblicherweise nur von Malware verwendet werden. Dass dieser Eintrag dann auch noch unter falscher Flagge geschieht (Zepter Software) damit man ihm dem Urheber schwerer zuordnen kann ist das kleinste Problem.

mit einem prog namens RegDelNull soll man den eintrag angeblich löschen können, nur bei mir startet regdelnull und schliesst sich sofort wieder.

meine frage - was kann ich tun damit ich diesen eintrag löschen kann.
bzw hat wer eine ahnung was der eintrag eigentlich macht?

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4248
dient vermutlich dazu, daß du nciht nach der testperiode deinstallierst und erneut installierst.

LxDj

2 Frags in 2 Seconds
Avatar
Registered: Jan 2003
Location: AT
Posts: 829
angeblich genügts da wemma alle anydvd einträge die man über die suchfunktion findet löscht.
des weiteren gibts auch einige freeware programme die ca das selbe erfüllen wie any dvd ;)

mein primäres anliegen - wie lösch ich diesen eintrag?

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
versuchs mal mit dem "Rootkit Revealer", freeware, v 1.7
http://www.zdnet.de/downloads/prg/2/v/deNV2V-wc.html

LxDj

2 Frags in 2 Seconds
Avatar
Registered: Jan 2003
Location: AT
Posts: 829
ok, der eintrag wird auch im revealer angezeigt. nur wie kann ich ihn löschen?

LxDj

2 Frags in 2 Seconds
Avatar
Registered: Jan 2003
Location: AT
Posts: 829
versuche noch immer den eintrag zu löschen.
hat vielleicht irgendwer von euch eine ahnung wie das zu berwerkstelligen ist?

HaBa

Legend
Dr. Funkenstein
Avatar
Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19611
Was genau stört dich dran außer dass du das Programm nicht nochmal installieren kannst?

LxDj

2 Frags in 2 Seconds
Avatar
Registered: Jan 2003
Location: AT
Posts: 829
mir gehts sicher nicht um eine neu installation von any dvd.
mir gehts ums prinzip das ein programm in der testphase ohne mein wissen registry einträge anlegt die selbst nach deinstallation vorhanden bleiben.
programme ala dvd decrypter oder dvd shrink stelllen kopien von dvds her auch ohne einen treiber wie any dvd im hintergrund.

ich will den eintrag einfach nur loswerden.

madp

Big d00d
Registered: Mar 2005
Location: vienna
Posts: 161
System Restore auf ein Datum vor der Malware Installation schon probiert?
Musst halt dann alle Programme die zwischenzeitlich dazugekommen sind erneut installieren.

TigerEnte

Bloody Newbie
Registered: Dec 2004
Location: Wien
Posts: 45
Zitat von LxDj
mit einem prog namens RegDelNull soll man den eintrag angeblich löschen können, nur bei mir startet regdelnull und schliesst sich sofort wieder.
für den fall, dass du nur auf die exe doppelgeklickt hast:
du musst in der doskonsole (Start-Programme-Zubehör) den Befehl C:\>regdelnull hklm -s eingeben siehe auch hier
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz