SlySoft und der versteckte Registry Schlüssel

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

18.05.2006 - 12:22

folgende sache.

ich hatt die trial von any dvd auf meinem rechner installiert.
nach ablauf der 21tage war die testperiode zu ende und ich hab das teil wieder deinstalliert.

heute hab ich so herumgesurft und in einem forum gelesen das slysoft produkte einen versteckten reg eintrag anlegen.
ich hab bei mir nachgesehen und tatsächlich hatte ich den auch.

und zwar nennt sich der -->
HKEY_CURRENT_USER\Software\Zepter Software

ich wollte in löschen doch der eintrag weigert sich enorm aus meiner registry zu verschwinden.
wieder etwas gegoogelt und ich fand folgendes:

Es ist eben nicht "nur" ein Registry-Eintrag. Es ist ein absichtlich fehlerhafter, über Windows32-API nicht einsehbarer Registry-Eintrag (mit NULL-Bytes), damit sein Inhalt für den normalen Nutzer und gängige Sicherheitssoftware unsichtbar bleibt. Der normale Nutzer kann den Schlüssel mit Bordmitteln weder einsehen, noch editieren, noch löschen. (Dafür benötigt man beispielweise Rootkit-Removal-Software). Slysoft nutzt absichtlich hier keine Standard-NT-Zugriffsrechte sondern Maßnahmen, wie sie üblicherweise nur von Malware verwendet werden. Dass dieser Eintrag dann auch noch unter falscher Flagge geschieht (Zepter Software) damit man ihm dem Urheber schwerer zuordnen kann ist das kleinste Problem.

mit einem prog namens RegDelNull soll man den eintrag angeblich löschen können, nur bei mir startet regdelnull und schliesst sich sofort wieder.

meine frage - was kann ich tun damit ich diesen eintrag löschen kann.
bzw hat wer eine ahnung was der eintrag eigentlich macht?

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4294

18.05.2006 - 12:44

dient vermutlich dazu, daß du nciht nach der testperiode deinstallierst und erneut installierst.

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

18.05.2006 - 12:57

angeblich genügts da wemma alle anydvd einträge die man über die suchfunktion findet löscht.
des weiteren gibts auch einige freeware programme die ca das selbe erfüllen wie any dvd

mein primäres anliegen - wie lösch ich diesen eintrag?

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6529

18.05.2006 - 13:01

versuchs mal mit dem "Rootkit Revealer", freeware, v 1.7
http://www.zdnet.de/downloads/prg/2/v/deNV2V-wc.html

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

18.05.2006 - 13:38

ok, der eintrag wird auch im revealer angezeigt. nur wie kann ich ihn löschen?

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

19.05.2006 - 08:26

versuche noch immer den eintrag zu löschen.
hat vielleicht irgendwer von euch eine ahnung wie das zu berwerkstelligen ist?

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19751

19.05.2006 - 08:31

Was genau stört dich dran außer dass du das Programm nicht nochmal installieren kannst?

LxDj

2 Frags in 2 Seconds

Registered: Jan 2003
Location: AT
Posts: 829

20.05.2006 - 05:13

mir gehts sicher nicht um eine neu installation von any dvd.
mir gehts ums prinzip das ein programm in der testphase ohne mein wissen registry einträge anlegt die selbst nach deinstallation vorhanden bleiben.
programme ala dvd decrypter oder dvd shrink stelllen kopien von dvds her auch ohne einen treiber wie any dvd im hintergrund.

ich will den eintrag einfach nur loswerden.

madp

Big d00d

Registered: Mar 2005
Location: vienna
Posts: 161

20.05.2006 - 07:01

System Restore auf ein Datum vor der Malware Installation schon probiert?
Musst halt dann alle Programme die zwischenzeitlich dazugekommen sind erneut installieren.

TigerEnte

Bloody Newbie

Registered: Dec 2004
Location: Wien
Posts: 45

22.05.2006 - 12:00

Zitat von LxDj
mit einem prog namens RegDelNull soll man den eintrag angeblich löschen können, nur bei mir startet regdelnull und schliesst sich sofort wieder.

für den fall, dass du nur auf die exe doppelgeklickt hast:
du musst in der doskonsole (Start-Programme-Zubehör) den Befehl C:\>regdelnull hklm -s eingeben siehe auch hier

LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	18.05.2006 - 12:22 folgende sache. ich hatt die trial von any dvd auf meinem rechner installiert. nach ablauf der 21tage war die testperiode zu ende und ich hab das teil wieder deinstalliert. heute hab ich so herumgesurft und in einem forum gelesen das slysoft produkte einen versteckten reg eintrag anlegen. ich hab bei mir nachgesehen und tatsächlich hatte ich den auch. und zwar nennt sich der --> HKEY_CURRENT_USER\Software\Zepter Software ich wollte in löschen doch der eintrag weigert sich enorm aus meiner registry zu verschwinden. wieder etwas gegoogelt und ich fand folgendes: Es ist eben nicht "nur" ein Registry-Eintrag. Es ist ein absichtlich fehlerhafter, über Windows32-API nicht einsehbarer Registry-Eintrag (mit NULL-Bytes), damit sein Inhalt für den normalen Nutzer und gängige Sicherheitssoftware unsichtbar bleibt. Der normale Nutzer kann den Schlüssel mit Bordmitteln weder einsehen, noch editieren, noch löschen. (Dafür benötigt man beispielweise Rootkit-Removal-Software). Slysoft nutzt absichtlich hier keine Standard-NT-Zugriffsrechte sondern Maßnahmen, wie sie üblicherweise nur von Malware verwendet werden. Dass dieser Eintrag dann auch noch unter falscher Flagge geschieht (Zepter Software) damit man ihm dem Urheber schwerer zuordnen kann ist das kleinste Problem. mit einem prog namens RegDelNull soll man den eintrag angeblich löschen können, nur bei mir startet regdelnull und schliesst sich sofort wieder. meine frage - was kann ich tun damit ich diesen eintrag löschen kann. bzw hat wer eine ahnung was der eintrag eigentlich macht?
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4294	18.05.2006 - 12:44 dient vermutlich dazu, daß du nciht nach der testperiode deinstallierst und erneut installierst.
LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	18.05.2006 - 12:57 angeblich genügts da wemma alle anydvd einträge die man über die suchfunktion findet löscht. des weiteren gibts auch einige freeware programme die ca das selbe erfüllen wie any dvd mein primäres anliegen - wie lösch ich diesen eintrag?
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6529	18.05.2006 - 13:01 versuchs mal mit dem "Rootkit Revealer", freeware, v 1.7 http://www.zdnet.de/downloads/prg/2/v/deNV2V-wc.html
LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	18.05.2006 - 13:38 ok, der eintrag wird auch im revealer angezeigt. nur wie kann ich ihn löschen?
LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	19.05.2006 - 08:26 versuche noch immer den eintrag zu löschen. hat vielleicht irgendwer von euch eine ahnung wie das zu berwerkstelligen ist?
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19751	19.05.2006 - 08:31 Was genau stört dich dran außer dass du das Programm nicht nochmal installieren kannst?
LxDj 2 Frags in 2 Seconds Registered: Jan 2003 Location: AT Posts: 829	20.05.2006 - 05:13 mir gehts sicher nicht um eine neu installation von any dvd. mir gehts ums prinzip das ein programm in der testphase ohne mein wissen registry einträge anlegt die selbst nach deinstallation vorhanden bleiben. programme ala dvd decrypter oder dvd shrink stelllen kopien von dvds her auch ohne einen treiber wie any dvd im hintergrund. ich will den eintrag einfach nur loswerden.
madp Big d00d Registered: Mar 2005 Location: vienna Posts: 161	20.05.2006 - 07:01 System Restore auf ein Datum vor der Malware Installation schon probiert? Musst halt dann alle Programme die zwischenzeitlich dazugekommen sind erneut installieren.
TigerEnte Bloody Newbie Registered: Dec 2004 Location: Wien Posts: 45	22.05.2006 - 12:00 Zitat von LxDj mit einem prog namens RegDelNull soll man den eintrag angeblich löschen können, nur bei mir startet regdelnull und schliesst sich sofort wieder. für den fall, dass du nur auf die exe doppelgeklickt hast: du musst in der doskonsole (Start-Programme-Zubehör) den Befehl C:\>regdelnull hklm -s eingeben siehe auch hier

SlySoft und der versteckte Registry Schlüssel

Forum Index > Software > Applications, Apps & Drivers

LxDj

kleinerChemiker

LxDj

mr.nice.

LxDj

LxDj

HaBa

LxDj

madp

TigerEnte