psi.exe von Secunia beschädigt die Registry!
Neues Problem!
Zuerst dachte ich bei diesem Thread, da hört jemand die Flöhe husten. Dann habe ich mich näher mit meinem Explorer befasst und gedacht, wir haben dem armen srynoname bitter Unrecht getan: der Explorer verhält sich wirklich merkwürdig unter meinem Nutzer. (Inzwischen hat aber srynoname bestätigt, dass es ihm nur um die Bagatelle geht, die sonst kaum jemanden stört.)
Nun aber zu meinen Problemen:
a) Vista verwendet seltsame Ordnertypen: die Partition C: wird als Musikordner und der Ordner Programme(x86) als Bilderordner dargestellt; dabei ändert sich gelegentlich noch die Spaltendarstellung.
Die Lösung findet sich, wenn man im Forum oder im Web nach ordnertyp oder nach sniffedfoldertype oder shell bags sucht. Fleißige Menschen haben dafür schon ein Reg-Datei gemacht.
b) Dieses Problem erscheint mir erheblich befremdlicher.
Beim Experimentieren unter einem neu angelegten Nutzer bemerkte ich, dass beim Klicken im Explorer ein Systemsound C:\Windows\media\Windows Navigation Start.wav wiedergegeben wird. Unter meinem Nutzer erscheint der Sound nicht.
Ich habe also mittels des Assitenten für Systemsound Windows-Standard bzw. Keine Sounds hin und her geschaltet - der Klick-Sound war da. Spätestens nach dem nächsten Systemstart war der Sound wieder weg. Also neues Spiel neues Glück - das hat echt genervt.
Welcher Schlüssel in der Registry könnte betroffen sein?!
Ich habe während der Einstellung mit dem Assistenten das Programm procmon.exe, Process Monitor von Sysinternals, laufen lassen und bin nach wieder einer Reparatur auf das Programm rundll32.exe und folgende Daten gekommen:
Date & Time: 07.09.2009 15:10:21
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Default\(Default)
TID: 3656
Duration: 0.0000037
Type: REG_SZ
Length: 92
Data: C:\Windows\media\Windows Navigation Start.wav
Ich hatte procmon bereits unmittelbar nach dem Systemstart gestartet und folgendes festgestellt:
Das Programm psi.exe von Secunia beschädigt die Registry!!!
(Dieses Sicherheitsprogramm erzeugt Unsicherheit!)
Description: Secunia PSI
Company: Secunia
Name: psi.exe
Version: 1.5.0.0
Path: C:\Program Files (x86)\Secunia\PSI\psi.exe
Command Line: "C:\Program Files (x86)\Secunia\PSI\psi.exe" --start-in-tray
PID: 4576
Parent PID: 4544
Session ID: 1
User: xxxx\yyyy
Auth ID: 00000000:0004c673
Architecture: 32-bit
Virtualized: False
Integrity: Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe
Started: 07.09.2009 14:08:57
Ended: (Running)
...
Date & Time: 07.09.2009 14:09:00
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current\(Default)
TID: 4580
Duration: 0.0000183
Type:
REG_EXPAND_SZ
Length: 46
Data:
C:\Windows\media\WindowE
Der Typ wird geändert, der Pfad erscheint beschädigt/sinnlos.
Warum macht Secunia PSI das? Mit welchem Recht und zu welchem Zweck verändern die meine Registry? So etwas ist wahrscheinlich kein Zufall.
Wie soll ich weiter vorgehen?
Edit gegen 20:45
Ich habe einen knappen Beitrag ins Secunia-Forum gestellt:
http://secunia.com/community/forum/thread/show/2706/does_psi_corrupt_the_registry
Ich hoffe mal, dass auch Mitarbeiter von Secunia dort rein schauen und antworten. Die sollten damit etwas anfangen können.
Momentan habe ich den Autostart von PSI deaktiviert. Mir war das Programm schon immer etwas unheimlich, weil es ständig nach Hause telefoniert bzw. telefonieren muss. Es hat eben alles zwei Seiten. Bei Microsoft hätte es darüber bestimmt ein riesiges Geschrei gegeben.