Aufgrund einer Macke in Windows werden die unter dem Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dienstname\Parameters im Wert ServiceDll angegebenen DLLs, die in SVCHOST Prozessen ausgeführt werden, scheinbar nur gefunden, wenn der angesprochene Wert vom Typ REG_EXPAND_SZ ist. Ein Key vom Typ REG_SZ wird da scheinbar ignoriert, auch wenn er auf die richtige DLL zeigt und den kompletten Pfad enthält!
Bin auf das Problem beim Fixen von dem Befall gestoßen, der in meiner Signatur erwähnt wird.
Registry-Windowsmacke in den ServiceDLLs...
-
-
-
Im Augenblick gehe ich davon aus, dass diese Macke alle Windowsversionen betrifft und den gesammten Service Controlmanager - ich teste das aber noch aus.
-
Das betrifft scheinbar nur die ServiceDLLs, nicht den gesammten Service Controlmanager.
-
Worauf sollten XProfan-Programmierer also genau achten? Vielleicht ist das noch nicht klar genug rüber gekommen.
-
Absolute Pfade sind da ja auch nicht unbedingt sinnvoll und stellen doch auch
ein größeres Sicherheitsrisiko dar, weil absolute Pfade lassen sich leichter
unbemerkt manipulieren. Geänderte Environmentvariablen wie SystemDrive usw. würden ja das ganze System lahmlegen. -
Stellt man einen Registrywert ServiceDLL unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dienstname\Parameters
wieder her, darf der unter keinen Umständen das Format REG_SZ haben (unter anderem WRITEINI von Profan) sondern muss zwingend das Format REG_EXPAND_SZ haben.
Bei Imagepath sollte man auch vorsichtig sein und das Format REG_SZ meiden. Zu schweren Fehlern kommt es da aber scheinbar nicht. -
Dux: Es geht darum, dort gelöschte Werte wieder herzustellen oder Einträge von Viren zu beseitigen. Unter anderem mit REGEDIT läuft ein Eintragen per Hand da schief. Auch XProfans Writeini zerschießt da das System.
-
Zitat von AHT;908875
Stellt man einen Registrywert ServiceDLL unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dienstname\Parameters
wieder her, darf der unter keinen Umständen das Format REG_SZ haben (unter anderem WRITEINI von Profan) sondern muss zwingend das Format REG_EXPAND_SZ haben.
Bei Imagepath sollte man auch vorsichtig sein und das Format REG_SZ meiden. Zu schweren Fehlern kommt es da aber scheinbar nicht.Ah ok, danke!
-
Hat sich bestätigt - betrifft den gesammten ServiceControlmanager.
Hier standen die bei Microsoft scheinbar selbst damit auf dem Schlauch: DNS-Client funktioniert nicht.Zitat
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache
Type REG_DWORD 0x20
Start REG_DWORD 0x3
ErrorControl REG_DWORD 0x1
ImagePath REG_SZ C:\WINDOWS\system32\svchost.exe -k NetworkService
DisplayName REG_SZ DNS-Client
Group REG_SZ TDI
DependOnService REG_MULTI_SZ Tcpip
ObjectName REG_SZ NT AUTHORITY\NetworkService
Description REG_SZ Wertet DNS-Namen (Domain Name System) fr diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen aufl”sen und Active Directory-Dom„nencontroller ermitteln. Falls dieser Dienst deaktiviert wird, k”nnen die Dienste, die von diesem Dienst ausschlieálich abh„ngig sind, nicht mehr gestartet werden.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Parameters
ServiceDll REG_SZ C:\WINDOWS\System32\dnsrslvr.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Security
Security REG_BINARY 01001480A8000000B4000000140000003000000002001C000100000002801400FF010F000101000000000001000000000200780005000000000014008D01020001010000000000050B000000000018009D0102000102000000000005200000002302000000001800FD0102000102000000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000000512000000010100000000000512000000010100000000000512000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Enum
0 REG_SZ Root\LEGACY_DNSCACHE\0000
Count REG_DWORD 0x1
NextInstance REG_DWORD 0x1
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!