was manipuliert meine registry?

R

ruyven_macaran

Guest
hab da mal ein problem:
aus unerklärlichen gründen ist der pfad für meinen user-autostart ordner identisch mit dem für alle nutzer.
wenn ich ihn in der registry ändere, ist er das beim nächsten start wieder.
problem: dadurch werden nicht nur alle programme im user ordner gar nicht ausgeführt, es werden auch alle im alle nutzer ordner doppelt ausgeführt.

ursache konnte ich bislang nicht finden, selbst ladene tools sind nicht installiert, beim einzigen boot-bezogenen brachte eine deinstallation keinen unterschied, viren sollte eigentlich auch keine da sein - mcaffee active scan hat jedenfalls nichts im system gefunden, panda online scan bislang auch nur ein bißchen spyware, allerdings auf einem laufwerk, auf dem sich eigentlich nur cd inhalte befinden, also keine systemintegrierte, höchstwahrscheinlich nichtmal installierte software.

jemand ne idee?



edit:
die spyware waren letztendlich nur cookies.
 

Onlinestate

Bekanntes Gesicht
Mitglied seit
31.08.2002
Beiträge
3.042
Reaktionspunkte
102
Du könntest ein Programm installieren, das Veränderungen an der Registry überwacht. Müsste glaub auch bei Spybot-S&D dabei sein.
Dann müsstest du auf den Schlüssel achten, der verändert wird. Normalerweise sollte da auch der schuldige Prozess bei stehen.
 
TE
T

The_Linux_Pinguin

Guest
Onlinestate am 05.03.2007 16:58 schrieb:
Du könntest ein Programm installieren, das Veränderungen an der Registry überwacht. Müsste glaub auch bei Spybot-S&D dabei sein.
Dann müsstest du auf den Schlüssel achten, der verändert wird. Normalerweise sollte da auch der schuldige Prozess bei stehen.

Nennt sich bei Spybot -> TeaTimer
Dafuer nervt das Teil wenn man was von Hand aendern will :/
 
TE
R

ruyven_macaran

Guest
The_Linux_Pinguin am 05.03.2007 17:53 schrieb:
Onlinestate am 05.03.2007 16:58 schrieb:
Du könntest ein Programm installieren, das Veränderungen an der Registry überwacht. Müsste glaub auch bei Spybot-S&D dabei sein.
Dann müsstest du auf den Schlüssel achten, der verändert wird. Normalerweise sollte da auch der schuldige Prozess bei stehen.

Nennt sich bei Spybot -> TeaTimer
Dafuer nervt das Teil wenn man was von Hand aendern will :/


hmm - bei mir nervts irgendwie grad gar nicht, teatime läuft, aber ich kann die registry beliebig ändern und "der andere" auch...

mach ich vielleicht irgendwas falsch/wie benutzt man das programm?
 

MartianBuddy

Bekanntes Gesicht
Mitglied seit
27.12.2004
Beiträge
666
Reaktionspunkte
0
ruyven_macaran am 05.03.2007 18:49 schrieb:
hmm - bei mir nervts irgendwie grad gar nicht, teatime läuft, aber ich kann die registry beliebig ändern und "der andere" auch...
Der "TeaTimer" bemerkt Änderungen empfindlicher Einträge der Registrierungs-Datenbanken und die Autostartschlüssel werden dabei ganz sicher überwacht.
"Tea Timer" überwacht aber nicht alle Reg-Schlüssel. Somit kannst Du andere Schlüssel und Werte schon ändern.

mach ich vielleicht irgendwas falsch/wie benutzt man das programm?
Das Programm ist aber nicht ganz unproblematisch:
Wenn mal Änderungen irrtümlicherweise erlaubt- oder nicht erlaubt wurden, muss die Datenbank von "Tea Timer" wieder neu erstellt werden.

- Gerade vor der Installation eines neuen Programms schaltet man den besser aus...

Ein 'ungebetener Gast' kann diesen natürlich auch deaktivieren.

Hilfe zu "Tea Timer" findest Du Hier oder in den entspr. Foren.
 
TE
R

ruyven_macaran

Guest
MartianBuddy am 06.03.2007 10:22 schrieb:
Der "TeaTimer" bemerkt Änderungen empfindlicher Einträge der Registrierungs-Datenbanken und die Autostartschlüssel werden dabei ganz sicher überwacht.
"Tea Timer" überwacht aber nicht alle Reg-Schlüssel. Somit kannst Du andere Schlüssel und Werte schon ändern.

also ich kann k:\äsekuchen als autostartordner angeben und das ding gibt keine meldung von sich...
wenn ich auf "einstellungen" gehe, sind auch "erlaubte" und "nicht erlaubte" prozesse auch jeweils leer - aber ich kann da auch nix ala "registryänderung" hinzufügen oder überhaupt nur irgendwo irgendwas einstellen.

Das Programm ist aber nicht ganz unproblematisch:
Wenn mal Änderungen irrtümlicherweise erlaubt- oder nicht erlaubt wurden, muss die Datenbank von "Tea Timer" wieder neu erstellt werden.

- Gerade vor der Installation eines neuen Programms schaltet man den besser aus...

Ein 'ungebetener Gast' kann diesen natürlich auch deaktivieren.

hmm - ich will weder was installieren noch hab ich was erlaubt oder verboten, ich will eigentlich nur wissen, wenn beim hochfahren oder runterfahren die registry verändert.

Hilfe zu "Tea Timer" findest Du Hier oder in den entspr. Foren.

warum muss man sich eigentlich wegen jeder scheiß kleinen frage irgendwo anmelden? :rolleyes:
naja, mir bleibt wohl nichts anderes übrig.
(naja - ich könnte autostarteinträge einfach in kklm/run eintragen, aber irgendwie ist mir dass dann doch ein bißchen zu umständlich.)

*in dos zeiten zurückträum, als garantiert jede automatische startoption in einer von zwei dateien zu finden war*
 

MartianBuddy

Bekanntes Gesicht
Mitglied seit
27.12.2004
Beiträge
666
Reaktionspunkte
0
ruyven_macaran am 06.03.2007 14:51 schrieb:
hmm - ich will weder was installieren noch hab ich was erlaubt oder verboten, ich will eigentlich nur wissen, wenn beim hochfahren oder runterfahren die registry verändert.
Alle diese oben angeführten Punkte *muss* der "Tea Timer" überwachen.
Wenn er das nicht tut, ist irgendwo ein Problem.

Ich würde "SS&D" nochmals komplett de-installieren. Dazu auch dieses kleine Werkzeug verwenden.

Darauf nochmals installieren.

warum muss man sich eigentlich wegen jeder scheiß kleinen frage irgendwo anmelden?
IMHO, muss man das doch nicht:

- Forum öffnen.

- "Search this Forum" wählen.

- Key Word(s): eingeben.

- Bei "Search in Forum(s)", "Search all open Forums" wählen.

- "Image verification" eingeben.

Das ergibt eine schöne anzahl Beiträge zum studieren, Deutsch wie Englisch ;)

Anmelden musst Du Dich ja nur, wenn Du einen Thread eröffnen willst.
- Aber das sollte zur Lösung des Problems nicht unbedingt erforderlich sein...
 
TE
R

ruyven_macaran

Guest
MartianBuddy am 06.03.2007 15:55 schrieb:
Alle diese oben angeführten Punkte *muss* der "Tea Timer" überwachen.
Wenn er das nicht tut, ist irgendwo ein Problem.

Ich würde "SS&D" nochmals komplett de-installieren. Dazu auch dieses kleine Werkzeug verwenden.

Darauf nochmals installieren.

done.

belibieges ändern weiterhin möglich, für jeden.

- Forum öffnen.
- "Search this Forum" wählen.
- Key Word(s): eingeben.
- Bei "Search in Forum(s)", "Search all open Forums" wählen.
- "Image verification" eingeben.
Das ergibt eine schöne anzahl Beiträge zum studieren, Deutsch wie Englisch ;)

und jetzt guck mal, wieviele davon ein problem haben, weil sie zuwenig änderungen angezeigt bekommen ;)
zumindest mir fallen keine sinnvollen stichworte ein, um gezielt nach etwas fehlendem, unbekannten zu suchen.
 

MartianBuddy

Bekanntes Gesicht
Mitglied seit
27.12.2004
Beiträge
666
Reaktionspunkte
0
ruyven_macaran am 06.03.2007 18:49 schrieb:
belibieges ändern weiterhin möglich, für jeden.
Wird die "TeaTimer.exe" überhaupt geladen?

- Wie Du unten erwähnst, reagiert dieser sonst sehr nervös auf Reg-Änderungen...

Die aktuelle SS&D-Version ist zur Zeit ja 1.4. Aber mit einem Update wird die "TeaTimer.exe" auf Ver. 1.5 'befördert'.

Hast Du dieses Update auch installiert?

und jetzt guck mal, wieviele davon ein problem haben, weil sie zuwenig änderungen angezeigt bekommen ;)
zumindest mir fallen keine sinnvollen stichworte ein, um gezielt nach etwas fehlendem, unbekannten zu suchen.
Na ja, ich habe mir nicht alle Einträge duchgesehen. Aber das ist schon so, das 'Ding' zeigt eher zuviel an, als zuwenig.

Ich habe bei SS&D ein Foren-Konto. Wenn Du willst, eröffne ich mal ein Thema diesbezüglich.

Andere Sicherheitssoftware kannst Du aber schon problemlos ausführen?

Wenn ja, wäre der Fehler eigentlich schon in "SS&D" zu vermuten.
 
TE
R

ruyven_macaran

Guest
MartianBuddy am 06.03.2007 19:46 schrieb:
Wird die "TeaTimer.exe" überhaupt geladen?

hab zumindest ein tray icon und teatimer.exe ist als laufender prozess eingetragen.

- Wie Du unten erwähnst, reagiert dieser sonst sehr nervös auf Reg-Änderungen...

Die aktuelle SS&D-Version ist zur Zeit ja 1.4. Aber mit einem Update wird die "TeaTimer.exe" auf Ver. 1.5 'befördert'.

Hast Du dieses Update auch installiert?

n manuelles update kann ich auf der seite nicht finden, die automatisch ladbaren sind alle installiert.


Na ja, ich habe mir nicht alle Einträge duchgesehen. Aber das ist schon so, das 'Ding' zeigt eher zuviel an, als zuwenig.

meine persönliche vermutung ist ja, dass es einfach an der falschen stelle guckt.
ist vielleicht was bekannt, ob es auf c: fixiert ist? (da wäre bei mir nur ne win98 installation zu finden)

Ich habe bei SS&D ein Foren-Konto. Wenn Du willst, eröffne ich mal ein Thema diesbezüglich.

wenn du lust hast, ansonsten leg ich mir halt eins an.

ich find nur das prinzip immer wieder merkwürdig, dass man sich überall anmelden, registrieren,... muss, um überhaupt mal was sagen zu können.
ist ja nicht so, dass bugforen sondernlich gute basis für einen flamewar werden.

Andere Sicherheitssoftware kannst Du aber schon problemlos ausführen?

hmm - oben genannte online virenscanner, sonst hab ich spontan nichts griffbereit, was ich unter "sicherheitssoftware" kategorisieren würde.
(surfe derzeit via uni-lan, zumindest solange bis ich meinen router am laufen hab - firewall ist in beiden fällen extern. und in sachen virenscanner hat sich brain1.0 in 5,5jahren intensiver flatrate nutzunt nur einmal von nem freund via icq und einmal von microsoft via setup austricksen lassen, da seh ich also keinen bedarf nach weiterer software ;) )

Wenn ja, wäre der Fehler eigentlich schon in "SS&D" zu vermuten. [/quote]
 

MartianBuddy

Bekanntes Gesicht
Mitglied seit
27.12.2004
Beiträge
666
Reaktionspunkte
0
ruyven_macaran am 06.03.2007 20:29 schrieb:
meine persönliche vermutung ist ja, dass es einfach an der falschen stelle guckt.
ist vielleicht was bekannt, ob es auf c: fixiert ist? (da wäre bei mir nur ne win98 installation zu finden)
Das sollte nicht der Fall sein.
Ich habe auch auf C: Windows 98, D: + E: XP Professional und überwacht hat er aber nur D:, also das Laufwerk / Partition auf welcher "SS&D" installiert wurde.

Ähm, auf welcher Partition hast Du "SS&D" eigentlich installiert?

wenn du lust hast, ansonsten leg ich mir halt eins an.
Kein Problem. Nimmt mich selber wunder, ob eine Lösung für das Problem gefunden werden kann.
Dazu bräuchte ich noch folgende Angaben:

- Installationsort.

- Version.

- Betriebssystem (SP?)

ich find nur das prinzip immer wieder merkwürdig, dass man sich überall anmelden, registrieren,... muss, um überhaupt mal was sagen zu können.
ist ja nicht so, dass bugforen sondernlich gute basis für einen flamewar werden.
Da stimme ich Dir zu. Ob das einfach darum geht, unser Forum wird von so- und sovielen Usern frequentiert?

hmm - oben genannte online virenscanner, sonst hab ich spontan nichts griffbereit, was ich unter "sicherheitssoftware" kategorisieren würde.
Dabei ging es mir eher darum, ob sich eine andere Sicherheitssoftware ordnungsgemäss ausführen liesse oder ob die auch geblockt(?) würde.
 
TE
R

ruyven_macaran

Guest
MartianBuddy am 07.03.2007 11:05 schrieb:
Ähm, auf welcher Partition hast Du "SS&D" eigentlich installiert?

E: - standardlaufwerk für programme (in registry so eingetragen)
wär natürlich ne möglichkeit, dass das ding nur auf der eigenen partition sucht.
werd ich mal ausprobieren.
gibts vielleicht "gemeinsame dateien", die auch auf dem zugehörigen laufwerk vorliegen müssen? (die sind nämlich auch auf e:..)

Kein Problem. Nimmt mich selber wunder, ob eine Lösung für das Problem gefunden werden kann.
Dazu bräuchte ich noch folgende Angaben:

- Installationsort.

ss&d: e:\programme (wie alle programme. gemeinsame dateien in e:\gemeinsame dateien)
win98: c:
winXP: f:


aktuellste/gestern runtergeladen (1.4)

- Betriebssystem (SP?)

XP professional, alle service packs, alle updates, die anfang letzter woche im netz waren, einschließlich .net schrott und wga gerümpel


Da stimme ich Dir zu. Ob das einfach darum geht, unser Forum wird von so- und sovielen Usern frequentiert?

das kann man auch über cookies machen

Dabei ging es mir eher darum, ob sich eine andere Sicherheitssoftware ordnungsgemäss ausführen liesse oder ob die auch geblockt(?) würde.

wie gesagt: ich hab nichts, was in die kategorie sicherheitssoftware fallen würde, um einen test zu machen.
aber ich hab nirgendwo etwas anderes installiert oder eingestellt, dass ärger machen sollte.

edit:[/quote]

bei der deinstallation hat er diesmal gemeckert... merkwürdig.
 

MartianBuddy

Bekanntes Gesicht
Mitglied seit
27.12.2004
Beiträge
666
Reaktionspunkte
0
ruyven_macaran am 07.03.2007 13:15 schrieb:
E: - standardlaufwerk für programme (in registry so eingetragen)
wär natürlich ne möglichkeit, dass das ding nur auf der eigenen partition sucht. werd ich mal ausprobieren.
Warten wir diesen Versuch noch ab, ob der was bringt. Sonst eröffne ich dann im Forum einen neuen Thread zum Problem...

gibts vielleicht "gemeinsame dateien", die auch auf dem zugehörigen laufwerk vorliegen müssen? (die sind nämlich auch auf e:..)
Diese werden unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" abgelegt.
 
TE
R

ruyven_macaran

Guest
MartianBuddy am 07.03.2007 14:44 schrieb:
Warten wir diesen Versuch noch ab, ob der was bringt. Sonst eröffne ich dann im Forum einen neuen Thread zum Problem...

dann mach mal, geändert hat sich da nämlich nichts.

Diese werden unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" abgelegt.

und bei der deinstallation, selbst mit zusaztool, nicht entfernt...
peinlich für ne software, die dazu da sein soll, unerwünschte dinge auf dem system zu verhindern.
 

MartianBuddy

Bekanntes Gesicht
Mitglied seit
27.12.2004
Beiträge
666
Reaktionspunkte
0
ruyven_macaran am 07.03.2007 18:28 schrieb:
dann mach mal, geändert hat sich da nämlich nichts.
Erledigt!

Link

und bei der deinstallation, selbst mit zusaztool, nicht entfernt...
peinlich für ne software, die dazu da sein soll, unerwünschte dinge auf dem system zu verhindern.
Na ja, dieses Zusatztool entfernt nur die Übriggelassenen Reg-Einträge.

Das ist ein generelles Problem jeglicher Softwareinstallation.
- Nenne mir nur eine, die Restlos und Rückstandsfrei wieder de-installiert wird. ;)
 
TE
R

ruyven_macaran

Guest
MartianBuddy am 08.03.2007 11:02 schrieb:
Das ist ein generelles Problem jeglicher Softwareinstallation.
- Nenne mir nur eine, die Restlos und Rückstandsfrei wieder de-installiert wird. ;)

zumindest hatte ich vor meiner system-neuinstallation weniger ordner auf der festplatte, als demos&co im laufe der jahre angelegt haben müssen ;)

außerdem hab ich da noch programme und spiele, die gar nicht installiert werden müssen, zählt das? :B


b2t:
hab gestern aoe3 installiert und zwei sachen herausgefunden:
1. das ding bemerkt durchaus änderungen an der registry
2. das ding nervt ungemein


aktuelle deutung:
der start-up ordner wird überhaupt nicht überwacht.
 

MartianBuddy

Bekanntes Gesicht
Mitglied seit
27.12.2004
Beiträge
666
Reaktionspunkte
0
ruyven_macaran am 09.03.2007 14:15 schrieb:
außerdem hab ich da noch programme und spiele, die gar nicht installiert werden müssen, zählt das?
Ganz Sicher nicht...
Das gehört in die Kategorie "Unsportlichkeit"

aktuelle deutung:
der start-up ordner wird überhaupt nicht überwacht.
Wenn Du mit diesem den "Autostart"-Ordner meinst, liegst Du sehr wahrscheinlich richtig. ;)

Ich würde, nachzulesen in der Hilfe, unter -

Was ist / macht der Resident TeaTimer?

die Sachlage so beurteilen:

Zitat:
"Es entdeckt sofort startende bekannte bösartige Prozesse, beendet diese und gibt Ihnen einige Optionen, wie mit diesen in der Zukunft zu verfahren ist."

Dem "Tea Timer" ist es grundsätzlich wurscht, von welcher "Startrampe" diese "bekannten, bösartigen Prozesse" abgefeuert werden.

- Erst wenn einer dieser Prozesse als "bösartig" eingestuft wurde und / oder versucht einen vom "Tea Timer" überwachten Reg-Schlüssel oder Wert zu ändern, wird diesbezüglich eine oder mehrere Warnung ausgegeben.

Oder kurz und bündig: "Tea Timer" überwacht nur startende Prozesse und versuchte Änderungen an den von ihm überwachten Reg-Einträgen.
 
TE
R

ruyven_macaran

Guest
MartianBuddy am 09.03.2007 15:47 schrieb:
Oder kurz und bündig: "Tea Timer" überwacht nur startende Prozesse und versuchte Änderungen an den von ihm überwachten Reg-Einträgen.

dann ist das programm also gar nicht für meine zwecke geeignet :confused:

(änderungen am registrypfad für den autostartordner zu finden?)
 

MartianBuddy

Bekanntes Gesicht
Mitglied seit
27.12.2004
Beiträge
666
Reaktionspunkte
0
ruyven_macaran am 09.03.2007 19:27 schrieb:
dann ist das programm also gar nicht für meine zwecke geeignet (änderungen am registrypfad für den autostartordner zu finden?)
Wie erwähnt, so würde ich das beurteilen.
Da IMO der "Autostart"-Ordner von den Schädlingen als Startrampe ignoriert wird, weil Du den gut überwachen kannst und Veränderungen eigentlich umgehend bemerkst.

- Änderungen an den "Run"-Schlüsseln hingegen moniert es sofort...
 
TE
R

ruyven_macaran

Guest
MartianBuddy am 10.03.2007 13:24 schrieb:
ruyven_macaran am 09.03.2007 19:27 schrieb:
dann ist das programm also gar nicht für meine zwecke geeignet (änderungen am registrypfad für den autostartordner zu finden?)
Wie erwähnt, so würde ich das beurteilen.
Da IMO der "Autostart"-Ordner von den Schädlingen als Startrampe ignoriert wird, weil Du den gut überwachen kannst und Veränderungen eigentlich umgehend bemerkst.

- Änderungen an den "Run"-Schlüsseln hingegen moniert es sofort...

:(

das mit den run einträgen ist vielleicht selbstschutz - man kann keine schädlinge entdecken, die vor dem start des diagnoseprogramms starten bzw. dessen start verhindern.


kennt vielleicht jemand anders ein programm, dass auch andere registryänderungen überwachen kann?

oder jemand eine idee, was überhaupt die ursache seien könnte?
(ich hab eigentlich keine programme installiert, die selbstständig die registry verändern würden und selbst wenn ich mir irgendwie einen unauffindbaren schädling zugelegt hätte - diese änderung ist vollkommen sinnlos, das muss andere ursachen haben)
 
TE
R

ruyven_macaran

Guest
um das ganze mal zum abschluss zu bringen:

neben dem bisher besprochenen "startup" eintrag in
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
dessen verzeichnispfad bei jedem neustart von "meinbenutzername" auf "all users" umgestellt wurde, habe ich mitlerweile in unmittelbarer nähe, in
HKEY_USERS\S-1-5-21-1275210071-57989841-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
einen weiteren "startup" eintrag entdeckt, dieser stand bislang auf
"%ALLUSERSPROFILE%\Startmenü\Programme\Autostart"
(aufgrund der allgemeinen formulierung enging er meinen bisherigen suchanfrange)
nach änderung auf
"%USERPROFILE%\Startmenü\Programme\Autostart"

hat sich das problem gelöst.
 
Oben Unten