|
Plagegeister aller Art und deren Bekämpfung: Wo in der Registry Trojaner-Eintrag löschen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.08.2006, 10:30 | #1 |
| Wo in der Registry Trojaner-Eintrag löschen? Hallo, ich habe mir - wahrscheinlich über eine Onlinepoker-Software - einen Trojaner eingefangen und dazu folgende Info gefunden: Troj/Lineag-AEC ist ein Kennwort-stehlender Trojaner für die Windows-Plattform. Troj/Lineag-AEC enthält Funktionalität, um Benachrichtigungen an remote Speicherorte zu senden. Wenn er zum ersten Mal ausgeführt wird, kopiert sich Troj/Lineag-AEC nach <Windows-Ordner>\Config\svhost32.exe und erstellt die Datei <Windows-Systemordner>\dllf.dll. dllf.dll wird auch erkannt als Troj/Lineag-AEC. Der folgende Registrierungseintrag wird erstellt, damit svhost32.exe beim Start ausgeführt wird: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run fzg <Windows-Ordner>\Config\svhost32.exe Aber wo finde ich diesen Reg.-Eintrag innerhalb der Registry und wie lösche ich ihn dann, einfach markieren und über re Maus? Danke,
__________________ Grüße, Martin Das Web ist ein gefährlicher Dschungel und viele brauchen Tarzan... |
25.08.2006, 00:12 | #2 |
| Wo in der Registry Trojaner-Eintrag löschen?__________________
__________________ |
25.08.2006, 08:26 | #3 |
| Wo in der Registry Trojaner-Eintrag löschen? Hallo,
__________________der Virenscanner hat die betroffenen Dateien bereits in Quarantäne geschickt. Macht das jetzt noch Sinn? Aber was es ist und was zu tun ist, steht doch ohnehin bereits fest (der Auszug ist von Sophos).
__________________ |
26.08.2006, 20:58 | #4 |
| Wo in der Registry Trojaner-Eintrag löschen? In der Registry war nix. Seltsamerweise hat der Scanner jetzt einen neuen Virus gefunden, zu dem selbst Google nichts findet: Generic.PWStealer.B42C8873 Ein Mal in einer Volume/restore-Datei und ein Mal in einem Plugin zu IrvanView (? schon länger nichts mehr in der Richtung getan). Logfile of HijackThis v1.99.1 Scan saved at 21:41:56, on 26.08.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Nhksrv.exe C:\Programme\AntiVirenKit 2005\AVKService.exe C:\Programme\AntiVirenKit 2005\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\LeechGet 2004\LeechGet.exe C:\Download\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxx://www.symantec.com/techsupp/oem O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe" -turbo O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe" O4 - Global Startup: cleanup.lnk = C:\cleanup.cmd O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - hxxx://-Web.Washer-/ie_add O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxx://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095676347796 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Ist da was Verdächtiges dabei, kann das jemand interpretieren?
__________________ Grüße, Martin Das Web ist ein gefährlicher Dschungel und viele brauchen Tarzan... Geändert von Martin (26.08.2006 um 21:05 Uhr) |
26.08.2006, 23:17 | #5 |
Administrator > Competence Manager | Wo in der Registry Trojaner-Eintrag löschen? Hallo, suche die Datei (bzw. den Trojaner!) im Quarantäne-Verzeichnis deines Virenscanners, und lass die Datei (egal wie sie heisst!) hier auswerten -> Virustotal Poste anschliessend das Ergebnis, markieren, kopieren und in einen Beitrag einfügen. Anschliessend einmal die Systemwiederherstellung deaktivieren -> so wirds gemacht Rechner neu starten (STW kann wieder aktiviert werden.) Zusätzlich solltest du dir das Service Pack 2 einspielen, sonst kriegst du eventuell noch mehr Probleme, zumal die Sicherheitsupdates viele Lücken schliessen! Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
26.08.2006, 23:59 | #6 |
| Wo in der Registry Trojaner-Eintrag löschen? Hallo, leichter gesagt als getan, ich finde die Dateien(Virus) weder im Verzeichnis-Pfad des Scanners noch über die Windows-Suche. Auch die Quarantäne-Datei finde ich nicht. Ich habe keinen Ordner gefunden, der es dem Namen nach sein könnte. Die Hilfe des Scanners (AVK 12) sagt: Die Quarantäne ist ein geschützter Bereich innerhalb des AVK, in dem infizierte Dateien verschlüsselt gespeichert werden und auf diese Weise den Virus nicht mehr an andere Dateien weitergeben können. Offenbar schützt diese Verschlüsselung auch vor dem Auffinden. Aber irgendwie muss das doch gehen!? Das Protokoll hilft auch nichts: Virenprüfung mit AntiVirenKit Version 15.0.5 Virensignaturen vom 26.08.2006 Startzeit: 26.08.2006 16:29 Engine(s): KAV-Engine (AVK 16.9373), BD-Engine (BD 16.5562) Heuristik: Ein Archive: Ein Systembereiche: Ein Prüfung der Systembereiche... Prüfung aller lokalen Festplatten... Objekt: EMail.dll Pfad: C:\Programme\IrfanView\Plugins Status: Datei in Quarantäne verschoben Virus: DeepScan:Generic.PWStealer.B42C8873 (BD-Engine) Objekt: A0015384.dll Pfad: C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP43 Status: Datei in Quarantäne verschoben Virus: DeepScan:Generic.PWStealer.B42C8873 (BD-Engine) Analyse vollständig durchgeführt: 26.08.2006 17:52 52029 Dateien überprüft 2 infizierte Dateien gefunden 0 verdächtige Dateien gefunden
__________________ --> Wo in der Registry Trojaner-Eintrag löschen? |
28.08.2006, 12:38 | #7 |
| Wo in der Registry Trojaner-Eintrag löschen? Hallo zusammen, bin neu hier. Habe seit Samstag ebenfalls diesen Virus-PWSTEALER.3BB4D75. Bei mir lief es so ab: 1. PC hochgefahren am Samstag 26.08.2006 2. System gescannt mit Virensignaturen von Freitag den 25.08.2006 - PC ist VIRENFREI danach keine surfen oder sonstige Aktivitäten im Internet, keine E-Mailabfrage: unmittelbar nach dem o.g. Scan 3. Aktualisierung der Virendefinitionen am Samstag morgen ca. 7:00 Uhr 4. erneuter Systemscan mit den neuen Virensignaturen am 28.06.2009 ca. 7:30 Uhr 5. Virenfund in IrfanView/ Plugin Was ist das nun? |
27.01.2010, 15:50 | #8 |
| Wo in der Registry Trojaner-Eintrag löschen? Hallo, habe schon seit wochen mit folgenden Problem zu kämpfen...Vielleicht kann mir jemand helfen...Habe schon einige ähnliche Probleme gelesen, bin aber zu keiner Lösung gekommen.... Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3349 Windows 6.0.6001 Service Pack 1 Internet Explorer 7.0.6001.18000 12.12.2009 14:48:59 mbam-log-2009-12-12 (14-48-59).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 98215 Laufzeit: 3 minute(s), 29 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\Temp\xqvi.tmp\svchost.exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\Windows\System32\MSVolume.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully. |
Themen zu Wo in der Registry Trojaner-Eintrag löschen? |
ausgeführt, benachrichtigungen, config, datei, einfach, eingefangen, enthält, erkannt, erstell, erstellt, folge, folgende, gefangen, gen, innerhalb, löschen, löschen?, markieren, maus, microsoft, registry, remote, start, svhost, troja, trojaner, trojaner eingefangen, version, wahrscheinlich |