Recommended Posts

Mein wöchentlicher Scan mit EAM brachte soeben folgendes zu Tage (keine weiteren Funde):

Value: HKEY_USERS\S-1-5-21-3035796299-1269756407-3002914737-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLETASKMGR     gefunden: Setting.DisableTaskMgr (A)
Value: HKEY_USERS\S-1-5-21-3035796299-1269756407-3002914737-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS     gefunden: Setting.DisableRegistryTools (A)

Das bezieht sich wohl auf das hier:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableTaskMgr"=dword:00000000

Nun weiß ich zwar, was diese Einträge bedeuten, jedoch nicht, woher sie kommen (sind das Defaults?). Aber da sie auf "0" stehen, bedeuten sie doch keine Gefahr, oder?

Ist das ein Fehlalarm oder sollte ich das von EAM reparieren lassen?

Share this post


Link to post
Share on other sites

Hallo,

 

ein direkter Fehlalarm ist es nicht. Hier werden Schlüssel erkannt die zum Teil auch von Malware genutzt werden um zu verhindern das der Nutzer den Taskmanager oder den Registryeditor starten kann.

 

Auch Drittprogramme die Taskmanager und/oder Registryeditor - Funktionalität bereitstellen setzen solche Registryschlüssel.

 

Da in diesem Fall nur die Schlüssel gefunden werden und keine dazugehörige Schadsoftware können die Funde ignoriert oder zur Ausnahmeliste hinzugefügt werden.

Share this post


Link to post
Share on other sites

Vielen Dank für die Antworten. Aber würde mit

 


...  oder zur Ausnahmeliste hinzugefügt werden.

 

eine zukünftige Erkennung nicht verhindert?

 

Und da besagter Fund zum ersten Mal auftrat, nochmal meine Frage: weiß jemand, ob diese beiden Einträge Default und mit Wert "0" für irgendwas gut sind oder kann ich sie einfach löschen? Dann würde EAM auch nichts mehr finden.

Share this post


Link to post
Share on other sites

Hallo,

 

 

Aber würde mit .... eine zukünftige Erkennung nicht verhindert?

 

Ja die Erkennung würde ignoriert werden. Sieht nicht nach einem Defaulteintrag aus. Auf meinem Windows 7 ist der Registryeintrag nicht vorhanden.

 

Sie können den entsprechenden Schlüssel in Regedit mal exportieren als Backup. Dann den Schlüssel löschen, Rechner neustarten und schauen ob soweit alles normal läuft.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.