Registry-Windowsmacke in den ServiceDLLs...

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Registry-Windowsmacke in den ServiceDLLs...

      Aufgrund einer Macke in Windows werden die unter dem Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dienstname\Parameters im Wert ServiceDll angegebenen DLLs, die in SVCHOST Prozessen ausgeführt werden, scheinbar nur gefunden, wenn der angesprochene Wert vom Typ REG_EXPAND_SZ ist. Ein Key vom Typ REG_SZ wird da scheinbar ignoriert, auch wenn er auf die richtige DLL zeigt und den kompletten Pfad enthält!

      Bin auf das Problem beim Fixen von dem Befall gestoßen, der in meiner Signatur erwähnt wird.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Absolute Pfade sind da ja auch nicht unbedingt sinnvoll und stellen doch auch
      ein größeres Sicherheitsrisiko dar, weil absolute Pfade lassen sich leichter
      unbemerkt manipulieren. Geänderte Environmentvariablen wie SystemDrive usw. würden ja das ganze System lahmlegen.
      Gruß Thomas
      Meine Hardware
      Wenn ich lügend sage, dass ich lüge, lüge ich oder sage ich Wahres?
      ComputerInfo für PPF
    • Stellt man einen Registrywert ServiceDLL unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dienstname\Parameters
      wieder her, darf der unter keinen Umständen das Format REG_SZ haben (unter anderem WRITEINI von Profan) sondern muss zwingend das Format REG_EXPAND_SZ haben.
      Bei Imagepath sollte man auch vorsichtig sein und das Format REG_SZ meiden. Zu schweren Fehlern kommt es da aber scheinbar nicht.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT;908875 schrieb:

      Stellt man einen Registrywert ServiceDLL unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dienstname\Parameters
      wieder her, darf der unter keinen Umständen das Format REG_SZ haben (unter anderem WRITEINI von Profan) sondern muss zwingend das Format REG_EXPAND_SZ haben.
      Bei Imagepath sollte man auch vorsichtig sein und das Format REG_SZ meiden. Zu schweren Fehlern kommt es da aber scheinbar nicht.


      Ah ok, danke!
      Gruß, Frank
    • Hat sich bestätigt - betrifft den gesammten ServiceControlmanager.
      Hier standen die bei Microsoft scheinbar selbst damit auf dem Schlauch: DNS-Client funktioniert nicht.


      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache
      Type REG_DWORD 0x20
      Start REG_DWORD 0x3
      ErrorControl REG_DWORD 0x1
      ImagePath REG_SZ C:\WINDOWS\system32\svchost.exe -k NetworkService
      DisplayName REG_SZ DNS-Client
      Group REG_SZ TDI
      DependOnService REG_MULTI_SZ Tcpip
      ObjectName REG_SZ NT AUTHORITY\NetworkService
      Description REG_SZ Wertet DNS-Namen (Domain Name System) fr diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen aufl”sen und Active Directory-Dom„nencontroller ermitteln. Falls dieser Dienst deaktiviert wird, k”nnen die Dienste, die von diesem Dienst ausschlieálich abh„ngig sind, nicht mehr gestartet werden.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Parameters
      ServiceDll REG_SZ C:\WINDOWS\System32\dnsrslvr.dll
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Security
      Security REG_BINARY 01001480A8000000B4000000140000003000000002001C000100000002801400FF010F000101000000000001000000000200780005000000000014008D01020001010000000000050B000000000018009D0102000102000000000005200000002302000000001800FD0102000102000000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000000512000000010100000000000512000000010100000000000512000000
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Enum
      0 REG_SZ Root\LEGACY_DNSCACHE\0000
      Count REG_DWORD 0x1
      NextInstance REG_DWORD 0x1
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT