SevenSpirits
R.I.P.
Ein wichtiger jedoch oftmals wenig beachteter Aspekt der Sicherheit sind die Autostarteinträge.
Bei der Suche nach geeigneten Programmen für den Downloadbereich fand ich ein Programm , dessen Hersteller nicht nur zur Arbeitsweise des Programmes selbst detaillierte Informationen bietet sondern auch Hintergrundwissen vermittelt :
RegRun 3 Security Suite
Kurz-Info :
RR3 nimmt einen wichtigen jedoch oft wenig beachteten Aspekt des PC-Schutzes unter die Lupe : Die (vielfältigen) Möglichkeiten der Autostarts von Windows . Diese Prozesse sind ein beliebtes Ziel von Trojanern , welche mit einem einzigen Befehl schon Schaden anrichten können . Ähnlich AdWatch - dem SpyWare Monitor von AdAware - findet ein Echtzeit-Monitoring suspekter Prozesse statt , welches mit einem konfigurablen Regelwerk überwacht und gesteuert werden kann . Nach Ablauf von 30 Tagen ist der Erwerb einer Registriernummer/Seriennummer zum weiteren Erhalt der vollen Funktionalität des Programmes notwendig .
Diese Informationen habe ich etwas eingedeutscht , da sie meiner Meinung nach eine gute Einführung in die Thematik Autostarts - Viren - Trojaner sind .
<1> Autostart-Manager : ( Start Control)
1. Registry
1.1 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Die Programme dieses Schlüssels starten vor allen anderen Registry-Schlüsseln und den anderen Autostart Ordnern )
1.2 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Diese Programme starten nachdem sich ein User angemeldet hat und gelten für alle User .
1.3 HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Diese Programme starten nur für bestimmte User.
2. Win.ini
Die Win.ini beihaltet Informationen für die Rückwärtskompatibilität und enthält zwei Angaben für Auto-Start Programme : Load und Run .
3. System.ini
Die System.ini beihaltet Informationen für die Rückwärtskompatibilität und enthält eine Angabe für Auto-Start Programme : Shell
4. Config.sys
Die Config.Sys beihaltet Daten und Parameter für die Konfiguration des MS-Dos-Modus.
5. Autoexec.bat
Die Autoexec.bat beihaltet Daten und Parameter für die Konfiguration des MS-Dos-Modus ( nach Abarbeitung werden die Daten und Parameter der Config.Sys eingelesen )
6. Winstart.bat
Auch von hier können Programme gestartet werden - bei Initialisierung (von Windows) prüft Windows jedesmal ob diese Datei vorhanden ist - um Windows schneller starten zu können , genügt die Anlage der winstart.bat mit dem Eintrag @echo off im Windows Verzeichniss.
7. Autostart Ordner
8. Gemeinsamer Autostart Ordner
9. Windows NT/2000/XP services
10 . Run Once Registry Schlüssel ( jeweils separat für 1.1 - 1.3 )
Beinhalten die Namen der Programme , welche Windows beim nächsten Systemstart aufruft .
11 . RunEx (Win 98 / Win 2000) Die Schlüssel RunOnceEx und RunEx dienen zur Funktionalitäts-Erweiterung der Run-Registry-Keys.
12 . VxD und Treiber
Auf der unteren Ebene des Start Prozesses sind die System-Treiber angesiedelt . Viele Systemprobleme resultieren aus diesem Bereich .
Was sind (lt. Symantec) Trojaner :
Ein Programm daß weder Reproduktionen hervorruft noch sich selbst reproduziert - jedoch die Sicherheit des PC zerstört oder beeinträchtigt .
(Symantec Security Response - Glossary)
Aus der Logik dieser Gefahrenklasse ergibt sich , daß ein Trojaner erstmal gestartet werden muß , um Schaden anzurichten .
Auf der Basis dieser Kenntniss arbeitet das Sicherheitskonzept von RR3 :
Was wird durch <2> WatchDog überwacht :
Windows 95/98/ME Dateien :
AUTOEXEC.BAT
CONFIG.SYS
WINSTART.BAT
Autostart-Einträge:
load, run (WIN.INI)
shell (SYSTEM.INI)
Registry Schlüssel:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Active Setup\Installed Components
[User können weitere Einträge per Registry Tracer hinzufügen(for example: Internet Explorer home page.) ] .
Datei Erweiterungen (may be expanded by user): pif, bat, com, exe.
VXD and Device drivers.
Finally: STARTUP and COMMON STARTUP folders.
Windows NT4/2000/XP:
Files:
%SYSTEMROOT%\SYSTEM32\config.nt
%SYSTEMROOT%\SYSTEM32\autoexec.nt
Startup entries:
load, run in the mapped to the registry WIN.INI
shell in the the mapped to the registry SYSTEM.INI
Registry keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Active Setup\Installed Components
In addition to the registry keys above:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls
(by Registry Tracer)
File Extensions(may be expanded by user): pif, bat, com, exe.
Device drivers.
Services.
Eine andere Möglichkeit Trojaner zu starten ist die Auswechselung ausführbarer Dateien und DLL`s .
<3> Anti Replacement ( Schutz vor Auswechselung)
RR3 entdeckt automatisch Dateien , welche ausgewechselt werden sollen . Windows bedient sich einer speziellen Technologie , um geöffnete (ausführbare) Dateien oder DLL`s auszuwechseln :
Win 9x/ME per Wininit.ini
Win NT/2000/XP per Registry-Einträgen :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
<4> _System Files Protection (Sicherung der original Dateien)
RR3 speichert die Originaldateien in einen speziellen (Backup/Restore) Ordner . Es verwendet dabei einen 100% Vergleich und/oder einen Signaturvergleich .
<5> System Files Editor :
Löschen und modifizieren jeglicher Autostarteinträge - Eigenständige Erstellung neuer Autostarteinträge - Überwachung von Veränderungen - Sicherung der Autostarteinträge (beliebige Anzahl verschiedener Sicherungen) - Kontrolle der Autostarts bevor Windows startet - Programme mit Verzögerung starten - Stapelverarbeitungsdateien eigenständig starten - Kontrolle von veränderten Autostarteinträgen - Beschreibungen für gemeinsam genutzte Autostarteinträge - Verschieben von Autostarteinträgen
<6> Windows Start beschleunigen : Startup Optimizer
Informationen zu Autostarteinträgen unterteilt in die Kategorien :
Notwendig - nutzlos - gefährlich - und Einträgen Ihrer Wahl (User spezifische Einträge)
Zu diesem Themenbereich Online Suche in der Greatis Datenbank
http://greatis.com/regrun3appdatabase.htm
<7> Launch soon und RunJob
LaunchSoon startet ein einzelnes Programm mit Zeitverzögerung (optional Launch once per Day)
RunJob startet eine unlimitierte Anzahl von Programmen (Jobs) und unterstützt somit den RegRun " Kontrollierter Autostart Modus" - dies ist nützlich um zb beim Start die Konfiguration für ein bestimmtes Spiel anzupassen .
<8> WINCleaner (GoldEdition)
Säubert Windows Temporary Files - Recycle Bin - Windows Recent Documents Folder
Scandisk Temporary Files - Internet Explorer Cache - Internet Explorer History - Internet Explorer Cookies - Netscape Navigator Cache - Opera Cache - Any User Defined Folder
Die Index.dat(´s) lassen sich mit etwas Phantasie vor dem Windows Launch löschen ... .
<9>Startup Analyser (Windows 95/98/Me)
StarUp Analyzer zeigt die verdeckten Prozesse des Windows Systemstarts auf . Startup Analyzer arbeitet verdeckt - lediglich ein Stop Button erscheint (Soll verhindern , daß sich das System beim Start aufhängt) . Das Programm läuft jeweils nur einmal - es kann aber über das Control Center Startup oder das WatchDog PopUp Menü wieder für den nächsten Systemstart aktiviert werden .
Es ist nützlich um völlig unsichtbare Prozesse / Programme aufzuzeigen (trojans, viruses, keyloggers) .
<10> Bootlog Analyser
Ermöglicht die Fehleranalyse (Troubleshooting) anhand der Bootlog.txt.
Virusschutz Symantec Definition :
Ein Virus ist ein Programm , welches sich dupliziert , daß andere Programme / den BootSektor / den Partitionsbereich oder sonstige Dateien infiziert und dabei Macros verwendet um sich in Dateien einzunisten oder an Dateien anzuhängen .
(Symantec Security Response - Glossary)
<11> Infection Detector und Antivirus Coordinator
RR3 ersetzt keine Anti-Viren-Software - es hat einen Viren-Detector.
Es sucht nach bekannten und unbekannten Viren - dabei bedient es sich nicht eines Signatur-Scannings sondern eher um eine Art Infektions-Scannings.
RR3 überwacht virenanfällige Programme und Macros und benachrichtigt Sie bei Veränderungen . Darüberhinaus können Sie die veränderten Dateien mit Ihrem Anti-Virus-Programm überprüfen .
Mithilfe des Antivirus Coordinator ist eine automatische Überprüfung verdächtiger Startdateien möglich.
<12> Advanced Startup Optimizer ( Windows Core Components )
Gegen neuere Generationen von Viren und Trojanern schützt das Modul Advanced Startup Optimizer .
1. Active Setup
Active Setup Registry Schlüssel speichern Informationen zu installierter Software und sie werden benötigt um heruntergeladene (installierte) ActiveX Komponenten automatisch ansprechen zu können .
Lesen Sie dazu den entsprechenden Artikel in der CNET
2. ShellExecuteHooks
ShellExecuteHooks Registry Schlüssel beinhalten eine Liste von COM-Objekten , welche ausführbare Befehle beinhalten . Der Werte Name ( Value Name) ist der GUID des COM-Objektes . Programm Spalten (Einzelne Einträge) beziehen sich auf den COM-Server . Gewöhnlich muss " shell32.dll " eingetragen sein . Andere Objekte der Liste werden i.d.R. nicht benötigt und können Viren und Trojaner enthalten .
3. Browser Helper Objects
Browser Helper Objects sind COM-Objekte , welcher der Internet Explorer bei Programmstart mitlädt . Ein BHO kann zum Beispiel jegliche Browser Aktivität ausspionieren , das Browser Menü verändern , etc. .
Lesen Sie mehr dazu : BHO und BHO Objects
4. "VxD"
VxD bedeutet Virtual "something" Device . MS benennt sein Treiber oftmals auf diese Art und Weise , obwohl zB VKD Virtual Keyboard Device bedeutet .
VxD´S werden in den geschützten Speicherbereich des Betriebssystems (ring-0) geladen und haben vollen Zugriff auf die Hardware des Systems . Etliche moderne Viren und Trojaner installieren ihre eigenen VxD`s um Ihr System zu infizieren ....
<13> Clean Boot
Windows Safe Mode Alternative
<14> Secure Start
Secure Start wird vor dem Windows Start aktiviert und analysiert die Windows Registry , die Startdateien und die VxD`s . Es alarmiert sie sofort bei Veränderungen und Sie haben die Möglichkeit veränderte Einträge durch den Originaleintrag zu ersetzen , neue Einträge zu löschen und gelöschte Einträge wieder herzustellen .
<15> Process Manager
Erlaubt die Analyse und Kontrolle aller laufenden Prozesse und Module .
<16> Used Files
Anzeige alle geöffneten Datein auf Ihrem Computer
<17> Rescue
Backup und Restore der Registry und Systemdateien
<18> Trojan Analyzer
(Für Win 95 / 98 ME implementiert - Für WIN 2000 / XP in Vorbereitung)
Trojan Analyzer erlaubt Ihnen zu entscheiden ob eine verdächtige Datei nützlich oder gefährlich ist .
TA registriert alle Dateien , welche das überwachte Programm zu öffnen oder zu schreiben versucht - incl . der Registry Einträge .
TA bietet wei Methoden an die Überwachung zu starten :
1. Sie können manuell nach ausführbaren Dateien suchen oder
2. Sie können einen bereits laufenden Prozess überwachen lassen
Der optionale Write-Protect Mode verhindert das Kreieren , Löschen und Umbenennen von Dateien mit den Endungen exe , com , dll , sys , 386, vxd , cpl .
Vor und nach Überwachungsbeginn überprüft TA automatisch alle ausführbaren Dateien (exe, com, pif, bat) und stellt diese wieder her . Dies schützt Sie vor den Folgen einer etwaigen bei de Überwachung auftretenden Virus Aktivität des überwachten Programmes .
<19> File Extension Manager
Verwalten von Dateierweiterungen
<20> Registry Assistant
Search and Replace , Tips`nTricks , Shortcuts etc.
<21> Registry Tracer
Überwachung der gesamten Registry oder einzelner Registryeinträge .
Bei Veränderungen werden Sie alarmiert und können diese rückgängig machen .
In Vorbereitung
<xx> Port Monitor
Überwachung von Ports und Programmen , welche auf das Internet zugreifen und zugreifen können . Dieses Feature benachrichtigt Sie immer dann , wenn ein neues Programm auf das Internet zugreift oder an einem Port lauscht ( Port listen) , so daß Sie diese Aktivität falls notwendig unterbinden können . Außerdem überwacht es die üblichen Trojaner Ports .
<xx> Script Checker
Advanced Script Checker analysiert Skript Dateien ( Vbs , JS ... ) und HTML-Code vor ihrer Ausführung . Es warnt Sie vor verdächtigen oder gefährlichen Skripten und gibt Ihnen die Möglichkeit deren Ausführung zu verhindern .
Advanced Script Checker arbeitet - im Gegensatz zu den meisten anderen "Skript Blockern" - auf DLL-Ebene , um sicherzustellen daß auch dann seine Funktion gewährleistet ist , wenn ein Skript durch eine Datei mit falscher Erweiterung gestartet wurde der aber sich in einer EMail oder einer WebSite versteckt .
<xx> Macro Checker
Überprüft MS Office Dokumente auf schädlichen Code bevor diese geöffnet werden .
.
Bei der Suche nach geeigneten Programmen für den Downloadbereich fand ich ein Programm , dessen Hersteller nicht nur zur Arbeitsweise des Programmes selbst detaillierte Informationen bietet sondern auch Hintergrundwissen vermittelt :
RegRun 3 Security Suite
Kurz-Info :
RR3 nimmt einen wichtigen jedoch oft wenig beachteten Aspekt des PC-Schutzes unter die Lupe : Die (vielfältigen) Möglichkeiten der Autostarts von Windows . Diese Prozesse sind ein beliebtes Ziel von Trojanern , welche mit einem einzigen Befehl schon Schaden anrichten können . Ähnlich AdWatch - dem SpyWare Monitor von AdAware - findet ein Echtzeit-Monitoring suspekter Prozesse statt , welches mit einem konfigurablen Regelwerk überwacht und gesteuert werden kann . Nach Ablauf von 30 Tagen ist der Erwerb einer Registriernummer/Seriennummer zum weiteren Erhalt der vollen Funktionalität des Programmes notwendig .
Diese Informationen habe ich etwas eingedeutscht , da sie meiner Meinung nach eine gute Einführung in die Thematik Autostarts - Viren - Trojaner sind .
<1> Autostart-Manager : ( Start Control)
1. Registry
1.1 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Die Programme dieses Schlüssels starten vor allen anderen Registry-Schlüsseln und den anderen Autostart Ordnern )
1.2 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Diese Programme starten nachdem sich ein User angemeldet hat und gelten für alle User .
1.3 HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Diese Programme starten nur für bestimmte User.
2. Win.ini
Die Win.ini beihaltet Informationen für die Rückwärtskompatibilität und enthält zwei Angaben für Auto-Start Programme : Load und Run .
3. System.ini
Die System.ini beihaltet Informationen für die Rückwärtskompatibilität und enthält eine Angabe für Auto-Start Programme : Shell
4. Config.sys
Die Config.Sys beihaltet Daten und Parameter für die Konfiguration des MS-Dos-Modus.
5. Autoexec.bat
Die Autoexec.bat beihaltet Daten und Parameter für die Konfiguration des MS-Dos-Modus ( nach Abarbeitung werden die Daten und Parameter der Config.Sys eingelesen )
6. Winstart.bat
Auch von hier können Programme gestartet werden - bei Initialisierung (von Windows) prüft Windows jedesmal ob diese Datei vorhanden ist - um Windows schneller starten zu können , genügt die Anlage der winstart.bat mit dem Eintrag @echo off im Windows Verzeichniss.
7. Autostart Ordner
8. Gemeinsamer Autostart Ordner
9. Windows NT/2000/XP services
10 . Run Once Registry Schlüssel ( jeweils separat für 1.1 - 1.3 )
Beinhalten die Namen der Programme , welche Windows beim nächsten Systemstart aufruft .
11 . RunEx (Win 98 / Win 2000) Die Schlüssel RunOnceEx und RunEx dienen zur Funktionalitäts-Erweiterung der Run-Registry-Keys.
12 . VxD und Treiber
Auf der unteren Ebene des Start Prozesses sind die System-Treiber angesiedelt . Viele Systemprobleme resultieren aus diesem Bereich .
Was sind (lt. Symantec) Trojaner :
Ein Programm daß weder Reproduktionen hervorruft noch sich selbst reproduziert - jedoch die Sicherheit des PC zerstört oder beeinträchtigt .
(Symantec Security Response - Glossary)
Aus der Logik dieser Gefahrenklasse ergibt sich , daß ein Trojaner erstmal gestartet werden muß , um Schaden anzurichten .
Auf der Basis dieser Kenntniss arbeitet das Sicherheitskonzept von RR3 :
Was wird durch <2> WatchDog überwacht :
Windows 95/98/ME Dateien :
AUTOEXEC.BAT
CONFIG.SYS
WINSTART.BAT
Autostart-Einträge:
load, run (WIN.INI)
shell (SYSTEM.INI)
Registry Schlüssel:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Active Setup\Installed Components
[User können weitere Einträge per Registry Tracer hinzufügen(for example: Internet Explorer home page.) ] .
Datei Erweiterungen (may be expanded by user): pif, bat, com, exe.
VXD and Device drivers.
Finally: STARTUP and COMMON STARTUP folders.
Windows NT4/2000/XP:
Files:
%SYSTEMROOT%\SYSTEM32\config.nt
%SYSTEMROOT%\SYSTEM32\autoexec.nt
Startup entries:
load, run in the mapped to the registry WIN.INI
shell in the the mapped to the registry SYSTEM.INI
Registry keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Active Setup\Installed Components
In addition to the registry keys above:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls
(by Registry Tracer)
File Extensions(may be expanded by user): pif, bat, com, exe.
Device drivers.
Services.
Eine andere Möglichkeit Trojaner zu starten ist die Auswechselung ausführbarer Dateien und DLL`s .
<3> Anti Replacement ( Schutz vor Auswechselung)
RR3 entdeckt automatisch Dateien , welche ausgewechselt werden sollen . Windows bedient sich einer speziellen Technologie , um geöffnete (ausführbare) Dateien oder DLL`s auszuwechseln :
Win 9x/ME per Wininit.ini
Win NT/2000/XP per Registry-Einträgen :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
<4> _System Files Protection (Sicherung der original Dateien)
RR3 speichert die Originaldateien in einen speziellen (Backup/Restore) Ordner . Es verwendet dabei einen 100% Vergleich und/oder einen Signaturvergleich .
<5> System Files Editor :
Löschen und modifizieren jeglicher Autostarteinträge - Eigenständige Erstellung neuer Autostarteinträge - Überwachung von Veränderungen - Sicherung der Autostarteinträge (beliebige Anzahl verschiedener Sicherungen) - Kontrolle der Autostarts bevor Windows startet - Programme mit Verzögerung starten - Stapelverarbeitungsdateien eigenständig starten - Kontrolle von veränderten Autostarteinträgen - Beschreibungen für gemeinsam genutzte Autostarteinträge - Verschieben von Autostarteinträgen
<6> Windows Start beschleunigen : Startup Optimizer
Informationen zu Autostarteinträgen unterteilt in die Kategorien :
Notwendig - nutzlos - gefährlich - und Einträgen Ihrer Wahl (User spezifische Einträge)
Zu diesem Themenbereich Online Suche in der Greatis Datenbank
http://greatis.com/regrun3appdatabase.htm
<7> Launch soon und RunJob
LaunchSoon startet ein einzelnes Programm mit Zeitverzögerung (optional Launch once per Day)
RunJob startet eine unlimitierte Anzahl von Programmen (Jobs) und unterstützt somit den RegRun " Kontrollierter Autostart Modus" - dies ist nützlich um zb beim Start die Konfiguration für ein bestimmtes Spiel anzupassen .
<8> WINCleaner (GoldEdition)
Säubert Windows Temporary Files - Recycle Bin - Windows Recent Documents Folder
Scandisk Temporary Files - Internet Explorer Cache - Internet Explorer History - Internet Explorer Cookies - Netscape Navigator Cache - Opera Cache - Any User Defined Folder
Die Index.dat(´s) lassen sich mit etwas Phantasie vor dem Windows Launch löschen ... .
<9>Startup Analyser (Windows 95/98/Me)
StarUp Analyzer zeigt die verdeckten Prozesse des Windows Systemstarts auf . Startup Analyzer arbeitet verdeckt - lediglich ein Stop Button erscheint (Soll verhindern , daß sich das System beim Start aufhängt) . Das Programm läuft jeweils nur einmal - es kann aber über das Control Center Startup oder das WatchDog PopUp Menü wieder für den nächsten Systemstart aktiviert werden .
Es ist nützlich um völlig unsichtbare Prozesse / Programme aufzuzeigen (trojans, viruses, keyloggers) .
<10> Bootlog Analyser
Ermöglicht die Fehleranalyse (Troubleshooting) anhand der Bootlog.txt.
Virusschutz Symantec Definition :
Ein Virus ist ein Programm , welches sich dupliziert , daß andere Programme / den BootSektor / den Partitionsbereich oder sonstige Dateien infiziert und dabei Macros verwendet um sich in Dateien einzunisten oder an Dateien anzuhängen .
(Symantec Security Response - Glossary)
<11> Infection Detector und Antivirus Coordinator
RR3 ersetzt keine Anti-Viren-Software - es hat einen Viren-Detector.
Es sucht nach bekannten und unbekannten Viren - dabei bedient es sich nicht eines Signatur-Scannings sondern eher um eine Art Infektions-Scannings.
RR3 überwacht virenanfällige Programme und Macros und benachrichtigt Sie bei Veränderungen . Darüberhinaus können Sie die veränderten Dateien mit Ihrem Anti-Virus-Programm überprüfen .
Mithilfe des Antivirus Coordinator ist eine automatische Überprüfung verdächtiger Startdateien möglich.
<12> Advanced Startup Optimizer ( Windows Core Components )
Gegen neuere Generationen von Viren und Trojanern schützt das Modul Advanced Startup Optimizer .
1. Active Setup
Active Setup Registry Schlüssel speichern Informationen zu installierter Software und sie werden benötigt um heruntergeladene (installierte) ActiveX Komponenten automatisch ansprechen zu können .
Lesen Sie dazu den entsprechenden Artikel in der CNET
2. ShellExecuteHooks
ShellExecuteHooks Registry Schlüssel beinhalten eine Liste von COM-Objekten , welche ausführbare Befehle beinhalten . Der Werte Name ( Value Name) ist der GUID des COM-Objektes . Programm Spalten (Einzelne Einträge) beziehen sich auf den COM-Server . Gewöhnlich muss " shell32.dll " eingetragen sein . Andere Objekte der Liste werden i.d.R. nicht benötigt und können Viren und Trojaner enthalten .
3. Browser Helper Objects
Browser Helper Objects sind COM-Objekte , welcher der Internet Explorer bei Programmstart mitlädt . Ein BHO kann zum Beispiel jegliche Browser Aktivität ausspionieren , das Browser Menü verändern , etc. .
Lesen Sie mehr dazu : BHO und BHO Objects
4. "VxD"
VxD bedeutet Virtual "something" Device . MS benennt sein Treiber oftmals auf diese Art und Weise , obwohl zB VKD Virtual Keyboard Device bedeutet .
VxD´S werden in den geschützten Speicherbereich des Betriebssystems (ring-0) geladen und haben vollen Zugriff auf die Hardware des Systems . Etliche moderne Viren und Trojaner installieren ihre eigenen VxD`s um Ihr System zu infizieren ....
<13> Clean Boot
Windows Safe Mode Alternative
<14> Secure Start
Secure Start wird vor dem Windows Start aktiviert und analysiert die Windows Registry , die Startdateien und die VxD`s . Es alarmiert sie sofort bei Veränderungen und Sie haben die Möglichkeit veränderte Einträge durch den Originaleintrag zu ersetzen , neue Einträge zu löschen und gelöschte Einträge wieder herzustellen .
<15> Process Manager
Erlaubt die Analyse und Kontrolle aller laufenden Prozesse und Module .
<16> Used Files
Anzeige alle geöffneten Datein auf Ihrem Computer
<17> Rescue
Backup und Restore der Registry und Systemdateien
<18> Trojan Analyzer
(Für Win 95 / 98 ME implementiert - Für WIN 2000 / XP in Vorbereitung)
Trojan Analyzer erlaubt Ihnen zu entscheiden ob eine verdächtige Datei nützlich oder gefährlich ist .
TA registriert alle Dateien , welche das überwachte Programm zu öffnen oder zu schreiben versucht - incl . der Registry Einträge .
TA bietet wei Methoden an die Überwachung zu starten :
1. Sie können manuell nach ausführbaren Dateien suchen oder
2. Sie können einen bereits laufenden Prozess überwachen lassen
Der optionale Write-Protect Mode verhindert das Kreieren , Löschen und Umbenennen von Dateien mit den Endungen exe , com , dll , sys , 386, vxd , cpl .
Vor und nach Überwachungsbeginn überprüft TA automatisch alle ausführbaren Dateien (exe, com, pif, bat) und stellt diese wieder her . Dies schützt Sie vor den Folgen einer etwaigen bei de Überwachung auftretenden Virus Aktivität des überwachten Programmes .
<19> File Extension Manager
Verwalten von Dateierweiterungen
<20> Registry Assistant
Search and Replace , Tips`nTricks , Shortcuts etc.
<21> Registry Tracer
Überwachung der gesamten Registry oder einzelner Registryeinträge .
Bei Veränderungen werden Sie alarmiert und können diese rückgängig machen .
In Vorbereitung
<xx> Port Monitor
Überwachung von Ports und Programmen , welche auf das Internet zugreifen und zugreifen können . Dieses Feature benachrichtigt Sie immer dann , wenn ein neues Programm auf das Internet zugreift oder an einem Port lauscht ( Port listen) , so daß Sie diese Aktivität falls notwendig unterbinden können . Außerdem überwacht es die üblichen Trojaner Ports .
<xx> Script Checker
Advanced Script Checker analysiert Skript Dateien ( Vbs , JS ... ) und HTML-Code vor ihrer Ausführung . Es warnt Sie vor verdächtigen oder gefährlichen Skripten und gibt Ihnen die Möglichkeit deren Ausführung zu verhindern .
Advanced Script Checker arbeitet - im Gegensatz zu den meisten anderen "Skript Blockern" - auf DLL-Ebene , um sicherzustellen daß auch dann seine Funktion gewährleistet ist , wenn ein Skript durch eine Datei mit falscher Erweiterung gestartet wurde der aber sich in einer EMail oder einer WebSite versteckt .
<xx> Macro Checker
Überprüft MS Office Dokumente auf schädlichen Code bevor diese geöffnet werden .
.
Zuletzt bearbeitet: