Hoi ich fand eure Community schon immer äußerst hilfreich, aber bis dato reichte die SuFu oder Google.de völlig aus um meine Probleme zu lösen^^ naja irgendwann ist immer das erstemal. Folgendes ich hab gestern mal mit TuneUp meinte Registry durchgekramt, und plötzlich stieß ich auf einen mir unbekannten Key mit einem sehr bizzaren Namen "HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????" daraus werde ich nicht schlau. Hab ihn gestern gelöscht gehabt weil wie gesagt sieht echt merkwürdig aus ... aber heute war er wieder da, das "lustige" ist, wenn ich die Berechtigung ändern möchte steht da das ich die Rechte nicht hätte lol, obwohl ich auf einem Admin Konto unterwegs bin ...
Also wäre nett wenn jmd. vllt. eine Idee oder einen Tipp hätte. Danke schonmal
Ich häng mal nen HijackThis LogFile an, aber ich kann da nix verdächtiges erkennen.

--------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:41, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TuneUp Utilities 2007\Integrator.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\TuneUp Utilities 2007\RegistryEditor.exe
E:\Sonstiges\Internet-Tools\Anti-Spyware\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 3505 bytes

--------------------------------------------------------------------------

Heya

Hast du mal mit Regedit nach dem Schlüssel gesucht?
(Start->Ausführen->Regedit eingeben)
Es handelt sich vermutlich um Zeichen die TuneUp nicht darstellen kann, etwa chinesische oder russische Zeichen.
Da hat vielleicht einfach jemand vergessen seinen Programmnamen zu übersetzen.

lg myrtille

Hmm erstmal danke für die schnelle Antwort^^, hab ich grade mal gemacht, beim Windows RegEdit steht der Schlüssel komischerweise nicht mit drin ...
Hab halt die Vermutung das es was sein könnte bin eigentlich recht gut geschüzt möchte ich meinen, hab atm AviraAntiVir, Spyware Doctor quasi als aktiven Schutz drauf und F-Secure Blacklight, Ewido und HighJackThis als passiven ... müsste doch reichen ^_°.

Mach mal folgendes:

Kopiere den Text:

Zitat:

@echo off
echo regedit /e >%temp%\tmp.txt
regedit /e HKEY_CURRENT_USER\Software>>%temp%\tmp.txt
echo regedit /a >>%temp%\tmp.txt
regedit /a HKEY_CURRENT_USER\Software>>%temp%\tmp.txt
%temp%\tmp.txt
del %temp%\tmp.txt

in deinen Texteditor (Start->Ausführen->notepad eingeben) und speichere es als "tb.bat" ab. Wähle vorher als Dateityp "alle Dateien" aus.
Das Symbol der Datei sollte sich zu ändern.
Die Datei doppelklicken, es sollte sich ein Fenster öffnen, den Inhalt bitte hier posten.

lg myrtille

°_° oha kamen 2 Fehlermeldungen von wegen Dateisystemfehler dann stand folgendes im Fenster:

regedit /e
regedit /a

Hi,

dann versuche es bitte mal mit folgendem Skript:

Code: Alles auswählenAufklappen

ATTFilter

@echo off
regedit /e %temp%\tmp.txt HKEY_CURRENT_USER\Software
regedit /a %temp%\tmp2.txt HKEY_CURRENT_USER\Software
type %temp%\tmp.txt >> %temp%\tmp2.txt

%temp%\tmp2.txt

del %temp%\tmp2.txt
del %temp%\tmp.txt
         

Die Datei erneut als tb.bat abspeichern und ausführen, die sich öffnende Datei abspeichern und hinter zb bei file-upload hochladen.

Schicke mir dann den Link per PM oder setze ihn hier in einen Post.
Wenn wir deinen Eintrag so nicht finden, werden wir dein System auf Malware überprüfen um einen Befall ausschließen zu können.

lg myrtille

Okay hab ich gemacht, hast ne PM^^.

Mitdenken ist derzeit irgendwie nicht meine Stärke. Sorry.

Ich bräuchte noch ein Log mit der Bat... dasselbe nochmal wie die letzte Bat.

Code: Alles auswählenAufklappen

ATTFilter

@echo off
regedit /e %temp%\tmp2.txt HKEY_CURRENT_USER\Software

%temp%\tmp2.txt

del %temp%\tmp2.txt
         

Den Inhalt der Datei wieder bei file-upload deponieren.

Die Einträge sind die folgenden:

Zitat:

[HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????]

[HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????\PC Sync]

[HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????\PC Sync\Settings]

Falls dir das schon was sagt.

lg myrtille

So hast noch ne PM, hmmm naja hab mal bisschen rumgesucht aufm PC könnte vom Samsung PC Studio stammen ... sollte dem so sein, dann entschuldige ich mich schonmal für den ganzen Wirbel, aber so komische Fragezeichen machen mich halt stutzig.

Hi,
es handelt sich dabei um Schriftzeichen, die TuneUp nicht interpretieren kann.
Leider sind sie in unicode nicht viel lesbarer:

Zitat:

[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ \��� Qǩ� �\����� ȹ������� ��1�� Qǩ� �\�����]



[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ \��� Qǩ� �\����� ȹ������� ��1�� Qǩ� �\�����\ P C S y n c ]



[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ \��� Qǩ� �\����� ȹ������� ��1�� Qǩ� �\�����\ P C S y n c \ S e t t i n g s ]

Hatte mir da was besseres erhofft.

Die ersten googletreffer deuteten eher Nokia als Samsung an.

lg myrtille

K, hab aber nen Samsung^^, naja dann trotzdem erstmal Thx für die Hilfe, wie gesagt Fragezeichen heißen ja eig nie was gutes ... deshalb wollt ich auf nummer sicher gehen.