|
Plagegeister aller Art und deren Bekämpfung: MailSkinner aus Registry löschenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.12.2005, 12:06 | #1 |
| MailSkinner aus Registry löschen Mein Malware-Scanner hat auf dem PC 2 Hinweise auf mögliche Spyware namens "MailSkinner" in der Registry gefunden. Beide unter HKEY_CURRENT_USER\Software\Microsoft\Installer\. Ist dieser Eintrag gefährlich , was macht dieses Programm eigentlich? Ich kann zwar mit regedit in die Registry, aber löschen kann ich den Eintrag nicht. Bin kein DAU aber auch kein Experte. Vielen Dank für Euren Input! |
26.12.2005, 16:41 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | MailSkinner aus Registry löschen Welchen Malwarescanner verwendest Du denn?
__________________Hast Du Dir mal den "Mailscanner" (E-Mail-Programm lt. http://www.liutilities.com/products/...y/mailskinner/ ) installiert? Poste doch auch mal so ein Log.
__________________ |
27.12.2005, 11:02 | #3 |
| MailSkinner aus Registry löschen Hi! Ich verwende den Malwarescanner von http://www.malwareremover.com/ (free version) und lösche dann händisch. Den Mailscanner von liutilities habe ich nie verwendet (zumindest nicht bewußt). Vom Heim-PC konnte ich den Registry-Eintrag für den Mailskinner einfach löschen, beim Firmen PC geht das nicht, wahrscheinlich weil ich nicht Admin bin oder wegen Schreibschutz. Wie kann ich das überlisten? Mein Admin meint es ist harmlos, will es aber nicht löschen weil er keine Zeit hat (ist für so ca. 300 Rechner und Netzwerk zuständig). Er kann es aber auch nicht erklären und das kommt mir komisch vor, man hört so viel von Überwachung. Ein Log kann ich erst posten wenn ich wieder im Büro bin so ab 2. Jänner aber vielleicht hat Du auch so ein paar Tipps? Vielen Dank!
__________________ |
02.01.2006, 10:14 | #4 |
| MailSkinner aus Registry löschen Spät aber doch, das Logfile! Bitte um Info ob ok, vielen Dank! Logfile of HijackThis v1.99.1 Scan saved at 10:04:29, on 02.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe \satviefs01\telefoncd\OtbStart.EXE C:\Programme\VeriSign\NAVI\naviagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Astrocontact Astroplus\AcPlaStd.exe C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\WINDOWS\system32\WISPTIS.EXE \Satviefs02\jurxpert$\Bin\jurXpert3.exe C:\Programme\Microsoft Office\Office\MSACCESS.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://satviesps01/search.aspx R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.20.2.10:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = mail.***.at;<local> R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [OtbStart] \\satviefs01\telefoncd\OtbStart.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AcPlaStd.exe] C:\Programme\Astrocontact Astroplus\AcPlaStd.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=about:blank O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106044513718 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Law.Local.inet O17 - HKLM\Software\..\Telephony: DomainName = Law.Local.inet O17 - HKLM\System\CCS\Services\Tcpip\..\{056C720B-1547-4B96-B88E-83EB86A06B75}: Domain = law.local.inet O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Law.Local.inet O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Law.Local.inet O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) lg, cyberfrog |
02.01.2006, 18:03 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | MailSkinner aus Registry löschen Ist das Dein Privat-PC oder ein Firmenrechner? Sollte das ein Firmenrechner sein, würde ich den Admin mal anhauen Zitat:
Da laufen noch diverse andere "Spezialprogramme", ob die gut oder böse sind, kann ich nicht beurteilen, das solltest Du wissen. Ansonsten kannst Du ja mal selber Dein Logfile mal auswerten lassen -> www.hijackthis.de
__________________ Logfiles bitte immer in CODE-Tags posten |
02.01.2006, 20:19 | #6 |
| MailSkinner aus Registry löschen Hi, danke, ja, ist der Firmenrechner... Wie kann ich Einträge "fixen"? Laut McAfee (http://vil.nai.com/vil/content/v_137368.htm) - Hinweis von einem anderen Teilnehmer gehören zum Trojaner Mailskinner noch folgende Dateien: MailSkinner.exe, OESkinner.dll, and OLSkinner.dll msegcompid.dll, msclock32.jpg and axsetup.dll Aber die finde ich nicht auf dem Rechner - wenn die weg sind, ist der Registry-Eintrag allein noch gefährlich - Sorry, ich weiß, bin verdammt nah am DAU... Lg Cyberfrog |
03.01.2006, 01:30 | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | MailSkinner aus Registry löschen Lass die Finger vom Firmenrechner. Ihr habt (hoffentlich) einen kompetenten Admin. Die Ratschläge, die in Foren geäußert werden, müssen die Hilfesuchenden auf eigene Gefahr anwenden, egal ob richtig oder falsch. Ich denke, das ist es nicht wert. Denn was machst Du, wenn Du auf eigene Faust hier und da was löschst und dann der Rechner bzw. das BS völlig in die Knie geht? Damit ist auch keinem geholfen. Das jetzt nur allgemein, denn ich vermute, dass nicht wirklich böses Zeuch auf Deinen Firmenrechner zu Hause ist. Mit "Fixen" meine ich das: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
03.01.2006, 08:24 | #8 |
| MailSkinner aus Registry löschen Morgen Cosinus! Vielen Dank für deine Hilfe! Habe mir das nochmals angesehen und mir Infos zu den möglicherweise bösen Einträgen im Log geholt. Ist nur ein ein Hinweis auf firmeninternes Recherchensystem nach Texten über unsere eigene HP. Habe daher nichts gefixt, die unnötigen, aber ungefährlichen Einträge lasse ich lieber auch stehen, will nix riskieren.... Du hast Recht, ist es nicht wert! Aber ich habe viel gelernt (HiJackThis ist cool!) und dafür möchte ich Dir und all den anderen hier danken! |
03.01.2006, 08:36 | #9 |
| MailSkinner aus Registry löschen Servus wieder, cyberfrog! Wie ich Dir schon hier gepostet/verlinkt habe, handelt es sich um Spyware. In diesem link sind auch alle notwendigen Infos, die Dir bwz. Deinem Admin helfen, diese Spyware von Deinem Firmenrechner zu entfernen. Bitte entscheide Dich für einen thread! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
12.01.2006, 18:23 | #10 |
| MailSkinner aus Registry löschen Später Nachtrag! Wir haben das Teil schließlich doch losgebracht! War wohl kein richtiger Spy. Der Eintrag in der Registry wurde von der Anwendung MRUClear.exe verursacht und vom Malwarescanner als Hinweis auf den MailSkinner bewertet. Nach dem Deinstallieren von MRUClear konnte ich den Eintrag mühelos löschen und alles funktioniert klaglos! Hab mir stattdessen Clearprog besorgt, für das hier so viel Werbung gemacht wird, ist wirklich besser! Und dem Admin blieb dank Euch der Mund offen, was ich so alles weiß... |
Themen zu MailSkinner aus Registry löschen |
current, eintrag, euren, gefunde, gefährlich, hinweise, input, installer, löschen, microsoft, mögliche, namens, programm, regedit, registry, software, spyware, vielen dank |