Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   NoDriveTypeAutoRun > 255 (https://www.trojaner-board.de/77430-nodrivetypeautorun-255-a.html)

ordell1234 14.09.2009 09:12
NoDriveTypeAutoRun > 255
 
Wenn alle 8 bits auf 1 gesetzt sind, müßte doch bei

Dez: 255
Hex: 0xff

Sense sein. AutoRun - Wikipedia, the free encyclopedia

Woher kommt ein - üblich anzutreffender - Dezimalwert von 323?

MightyMarc 14.09.2009 09:21
Zitat:
Zitat von ordell1234 (Beitrag 465398)
Woher kommt ein - üblich anzutreffender - Dezimalwert von 323?
Wo ist der üblich anzutreffen?

ordell1234 14.09.2009 09:49
hier: http://www.trojaner-board.de/70315-k...tml#post415622

hier: http://www.trojaner-board.de/77214-v...tml#post465211

hier: "NoDriveTypeAutoRun 323" - Google Search

Bei mir in einem frischen XP home -> mit nlite beackert, sollte aber keine Auswirkung haben

MightyMarc 14.09.2009 09:59
Zitat:
Zitat von ordell1234 (Beitrag 465405)
Bei mir in einem frischen XP home -> mit nlite beackert, sollte aber keine Auswirkung haben
Die eine Gruppe scheint die der Infektionen zu sein, und die andere die der Leute die am OS frickeln.
Es gibt als Standard lediglich 0x91 und 0x95. Alles andere ist erstmal unüblich, zumindest bei einer frischen Installation. nLite kann übrigens auch das Autostartverhalten ändern, weswegen ich bei Deinem Rechner erstmal davon ausgehe, dass es dorther stammt.

Marc

ordell1234 14.09.2009 10:24
Deine Ahnung war richtig. bei dem Frischegrad von XP Home habe ich geflunkert -> combofix lief schon und von dem Tool stammen die Einträge

Welcher Befehl genau, ist mir jetzt zu mühsam -> den code versteht keine S.. mehr

ordell1234 14.09.2009 13:09
xpreg.dat enthält
Zitat:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=dword:03FFFFFF
"NoDriveTypeAutoRun"=dword:00000143
und wird über swreg eingelesen

binär wäre das 101000011 -> ob Auslese/Tippfehler weiß wohl nur subs


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131