registry-schlüssel frage

[mich0r 10]

Hallo,

 

hatte ein Problem:

 

Freundin hat ein Programm auf meinem Rechner installiert (aus versehen) QualityCode (kommt seinem namen nach ... -.-* :mad: ) ich hab es wieder über software deinstalliert. Aber das Programm hat noch andere Programme mitinstalliert welche die Funktion haben immer so nach 5 min den IE aufpoppen zu lassen und läd irgendwelche Porno seiten.

Diese kleinen Programme konnte ich nicht löschen (wurden gerade verwendet).

Im Taskmanager konnt ich sie zwar beenden aber sie kamen in sec-bruchteilen wieder...

Nun habe ich die Registry durchsucht und bin fündig geworden.

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

in diesem "Ordner" (weiß den Fachbegriff nicht) waren Einträge die auf die Programme verlinken. Diese gelöscht und schon konnte ich die Programme nach einem Restart löschen.

 

Sooo... was hat jetzt der "Ordner" HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache für eine Funktion ??

 

mfg mich0r

[weg5st0 10]

Hi mich0r,

 

eigentlich ist die Funktion des Schlüssels unerheblich.

Du hast dir Backdoors und Trojaner eingefangen, von denen du nicht weisst was sie tun. Damit ist eine Neuinstallation die einzig richtige Wahl.

[DigitalKeeper 10]

@ weg5st0

 

Das ist keine Antwort auf seine Frage, und letztendlich auch keine Lösung. Hier geht es um eine nicht unerhebliche Problemstellung, die beantwortet werden sollte. Sooo "unerheblich" ist der Schlüssel nicht! (Computer-Forensis) ebenso wie der MUICACHE. Und eine Neuinstallation ist gar nicht nötig. Er hat ja die betreffenden Teile entfernt. Letztlich kann das System geprüft werden, welches weniger Aufwand macht, als eine Neuinstallation. Natürlich wäre hier ein Backup-Image sehr hilfreich *smile*

 

@ Thread

 

MUI steht für Multilingual User Interface

 

Office benutzt eine Abwandlung davon; ebenso andere Programme. In erster Linie dient diese Api zum umschalten zwischen den verschiedenen Sprachen für verschiedene Programme/Systeme und ermöglicht es, zB bei Office schnell zwischen den Sprachen umzuschalten. Es gibt durchaus Unternehmen, wo dieses Relevant ist (allein schon aus Kostengründen). Gerade im Internationalen Bereich, wenn ich zB per GPO ein Update verteile, dann muss ich verschiedene Sprachanpassungen vornehmen, und brauche dazu "MUICACHE" (ich gebe keine weitere Erklärung dazu).

 

Viele "Windeier" machen sich diese Schwachstelle zunutze, um Ihre Paranoiden Programme besser und schneller verteilen zu können (Privilegien). Mit den korrekten Sicherheitseinstellungen und einer entsprechenden IT-Leitlinie sollte es zwar nicht passieren, ABER.....wie sieht denn die Praxis aus?

 

Na, in 90% aller EDV-Umgebungen haben die User Adminrechte, oder einige Privilegien zuviel. Zum einen, weil die Admins zu faul sind, den Aufwand zu betreiben (und meistens auch keine Zeit, weil der Chef immer im Nacken sitzt); zum anderen weil die Anwendungssoftware sonst nicht einwandfrei funktionieren würde.

 

Als Beispiel sei hier nur mal Veritas-Backup erwähnt - der Wahnsinn, das - im Netzwerk mit den Rechten KORREKT und funktionierend anzupassen - wir haben umgestellt, hehehe...der Aufwand ist nicht zu rechtfertigen.

 

Für weitere Infos: Frequently Asked Questions: Windows Server 2003, Windows XP & Windows 2000 MUI

 

hoffe gehelft zu ham...

 

mfg

 

Anmerkung: Oft genug wird vieles im IT-Bereich auf Kosten der Sicherheit für geringere Investitionen geopfert. Hoffentlich fliegt mal so einem "Geizhals" seine "geflickschusterte gerade so am laufende" IT-Umgebung um die Ohren, und kostet ihm fast seine Existenz, damit hier mal ein "umdenken" stattfindet! Musste mal gesagt werden...mal abgesehen davon, das eine korrekt eingerichtete EDV-Umgebung weniger Aufwand und Kosten verursacht, als die Investition anfangs....

[grizzly999 11]

Hier geht es um eine nicht unerhebliche Problemstellung, die beantwortet werden sollte.

Das ist korrekt, die hatte weg5st0 auch beantwortet: Am besten Plattmachen

 

Und eine Neuinstallation ist gar nicht nötig. Er hat ja die betreffenden Teile entfernt.

Und das kannst du dem TO garantieren?! Kannst du das? Wenn Nein, redest du fahrlässig über anderer Leut's Security. IMHO.

Weisst du, was da alles installiert wurde? Vielleicht tolle, einfach zu findende Keys als HoneyPot?! Selbst der "Entdecker" von RootKits, Mark Russinovich (sagt dir der was?), mit seinem RootKit Revelaer, traut sich nicht zu, mit dem Tool alle, insbesondere auch keine künftigen, RootKits zu finden. Aber du sagst, so ein Zeuchs war da zwar drauf, ist jetzt ja aber alles weg. Meines Erachtens mehr als Fahrlässig. :rolleyes:

 

 

Letztlich kann das System geprüft werden,

Kommentar siehe oben

 

 

grizzly999

[DigitalKeeper 10]

Hehehe, eine 100%ige Sicherheit gibt es nie nich - das wissen die IT'ler ganz genau....

 

Wenn er schon in der Registry "rumfummelt" dann weiss er zumindest, wo er was packen muss, gelle?!

 

"Mark Russinovich" sagt mir etwas...

 

Und eine Neuinstallation ist gar nicht nötig. Er hat ja die betreffenden Teile entfernt. Letztlich kann das System geprüft werden, welches weniger Aufwand macht, als eine Neuinstallation.

das war eher Zynisch gemeint...

 

Ich dachte das wäre mit dem Satz...

 

Natürlich wäre hier ein Backup-Image sehr hilfreich *smile*

 

...eigentlich deutlich genug.

 

Fahrlässig finde ich nur, das über 90% der EDV-Systeme ihre User mit Adminrechten ausstatten, und die Profile nicht entsprechend gesichert sind.

 

Und das kannst du dem TO garantieren?! Kannst du das?

 

Nein! Das kann Niemand!

 

Wenn Nein, redest du fahrlässig über anderer Leut's Security.

Irr-Relevant!

 

Aber du sagst, so ein Zeuchs war da zwar drauf, ist jetzt ja aber alles weg.

Habe ich mit keiner Silbe erwähnt, das da Alles weg sein soll!

 

mfg

 

-eof