Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "sonderbare" Einträge in der Registry

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.02.2009, 12:10   #16
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Ui, das war ja eine prima Idee: Alles weg! :aplaus:

Und der iclean-Report ist jetzt so schön kurz:



iclean log 24.02.2009 12:07:55

Windows XP SP3, Using advanced Kernel functions

Processes
---------
512 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
576 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
600 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
644 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
656 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
884 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1116 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1440 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1500 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1580 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1892 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
1924 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1932 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1988 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1996 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
2016 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2032 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
184 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
196 - PocketWebSync.e - PocketWebSync.e
200 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
208 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
264 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
372 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
680 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
1672 - c:\programme\a-squared free\a2service.exe - a-squared Service (Signed)
1080 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
2072 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
2140 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2504 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2784 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3084 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1180 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
3996 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1488 - C:\Programme\Spybot - Search & Destroy\SpybotSD.exe - Spybot - Search & Destroy (Signed)
1956 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
396 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\a-squared free\a2service.exe=a2free
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=BITS
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Layout=(null)
032=RestrictedZOne: *.f*ckdenniss.com
032=RestrictedZOne: *.f*cknicepics.com
032=RestrictedZOne: *.free-f*cking-video.com
032=RestrictedZOne: *.hausaufgaben–referate.de
032=RestrictedZOne: *.needf*cknow.com
032=RestrictedZOne: *.satisf*cktion.net
032=RestrictedZOne: *.wwwsearchdrive.info
032=RestrictedZOne: *.{undo}888.com
032=RestrictedZone: .download-video.12w.net
032=RestrictedZone: w*w.163.com
032=RestrictedZone: site.accessorygeeks.com
032=RestrictedZone: w*w.accessorygeeks.com
032=RestrictedZone: w*w.site.accessorygeeks.com
032=RestrictedZone: w*w.apmebf.com
032=RestrictedZone: w*w.apps.deskwizz
032=RestrictedZone: w*w.bealent.com
032=RestrictedZone: .autocontext.begun.ru
032=RestrictedZone: w*w.by.ru
032=RestrictedZone: .list2007.spywarebot.hop.clickbank.net
032=RestrictedZone: .spywarebot.hop.clickbank.net
032=RestrictedZone: .hacker.com.cn
032=RestrictedZone: urawa.cool.ne.jp
032=RestrictedZone: w*w.emjcd.com
032=RestrictedZone: w*w.filestore.com
032=RestrictedZone: w*w.gamehouse.com
032=RestrictedZone: w*w.hao123.com
032=RestrictedZone: .mn.haoyuming.net
032=RestrictedZone: .ray2jing.go1.icpcn.com
032=RestrictedZone: w*w.kqzyfj.com
032=RestrictedZone: w*w.livenewgambling.net
032=RestrictedZone: w*w.lovedai.cn
032=RestrictedZone: {undo}w*w.meine-grußkarten.de
032=RestrictedZone: search.netzany.co
032=RestrictedZone: w*w.nht-team.org
032=RestrictedZone: .ray2jing.808.nuno.cn
032=RestrictedZone: s17.opentracker.net
032=RestrictedZone: server1.opentracker.net
032=RestrictedZone: w*w.opentracker.net
032=RestrictedZone: w*w.pochta.ru
032=RestrictedZone: .d34s.qfdfqawd.cn
032=RestrictedZone: w*w.richwebplaying.com
032=RestrictedZone: .download-now.rmp1.info
032=RestrictedZone: w*w.securitylab.ru
032=RestrictedZone: .destruktor.to.pl
032=RestrictedZone: .xyk.txshi.com
032=RestrictedZone: w*w.uklotttery.us
032=RestrictedZone: .world-sex.urllogs.com
032=RestrictedZone: .fla.vwdqwnmwk.cn
032=RestrictedZone: w*w.webbrowser.tv
032=RestrictedZone: w*w.wuqing17173.cn
032=RestrictedZone: w*w.w*w-my-spyware-software.info
032=RestrictedZone: ad.yieldmanager.com
032=RestrictedZone: w*w.ad.yieldmanager.com

Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy

Geändert von tapsi_turvy (24.02.2009 um 12:21 Uhr)

Alt 24.02.2009, 12:11   #17
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Nur - wie werd ich jetzt Spybot (vielleicht inklusive TeaTimer) wieder los?
Der Kamerad scheint ja ein bißchen hartnäckig zu sein...

Liebe Grüße,
tapsi
__________________


Alt 24.02.2009, 12:28   #18
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Zitat:
Zitat von undoreal Beitrag anzeigen
Folgende Einträge solltest du mit iClean reparieren lassen:


PS: a-Squared würde ich aus dem Autostrat nehmen => den Hintergrund.Wächter deaktiveren.

Ich habe gerade noch mal nach a-squared geschaut:
In Programme > Autostart ist nur mein Drucker.
a-squared ist auch nicht unter Systemsteuerung > Software eingetragen, hat aber trotzdem noch Einträge unter c:/Programme/a-squared.

Soll ich den Ordner einfach löschen?

Liebe Grüße,
tapsi
__________________

Alt 24.02.2009, 22:24   #19
undoreal
/// AVZ-Toolkit Guru
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



a-Squard läuft bei dir als prozess! Muss also definitv noch installiert sein. Und in der Taskleiste unten rechts sollte das Symbol auch auftauchen!

Spybot deinstallieren und den Ordner löschen. Dann die 032 Einträge mit iClean reparieren lassen.
Danach solltest du a-Squared deinstallieren.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 25.02.2009, 09:10   #20
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hey Du,

lieb, dass Du noch mal vorbeigeschaut hast.

Spybot hab ich deinstalliert, den Rest gelöscht.

Soll ich jetzt wirklich alle 032-Einträge mit iclean löschen?

Und das mit a-squared versteh ich leider überhaupt nicht.
Es gibt den Ordner zwar noch, aber da ist nur eine einzige exe-datei drin (und andere Dateien), und zwar a2services.exe. Wenn man da drauf klickt, passiert aber nichts. Naja, zumindest nichts, was ich sehen kann. Das scheint aber genau das Ding zu sein, das unter "Prozesse" läuft.

Unter Systemsteuerung > Software ist a-squared auch nicht eingetragen, und eine uninstall-Datei ist auch nirgends.

Rechts unten in der Taskleiste ist a-squared auch nicht, nur links unten. Aber wenn man draufklickt, findet er die Verweisdatei nicht.

Ich wollte jetzt clever sein und a-squared noch mal installieren und noch mal deinstallieren. Geht aber nicht, weil das Installationsprogramm die Datei a2services.exe nicht ersetzen kann. Wenn ich den Prozess beende, ist er immer sofort wieder da. Hast Du vielleicht noch einen Trick, wie ich die Datei loswerde?

Danke.

Liebe Grüße,
tapsi


Alt 25.02.2009, 11:11   #21
undoreal
/// AVZ-Toolkit Guru
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Alle 032 Restricetd Zone Einträge löschen, ja.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Folders to delete:
c:\programme\a-squared free
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach a-Squarde nochmal neuinstallieren, dann wieder deinstallieren und den evtl. verbleibenen Ordner löschen.
Danach CCleaner laufen lassen Punkte1&2.
__________________
--> "sonderbare" Einträge in der Registry

Alt 25.02.2009, 12:27   #22
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



avenger.txt lautet:


Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.



Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\programme\a-squared free" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.






Der Ordner war dann auch weg.

Geändert von tapsi_turvy (25.02.2009 um 13:07 Uhr)

Alt 25.02.2009, 12:56   #23
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Okay. Beim Installieren von a-squared kam zwar die Fehlermeldung: "Beim Installieren von a-squared gibt es folgende Fehlermeldung: Service "a-squared Free Service" failed to install with error: "System Error. Code: 1073. Der angegebene Dienst ist bereits vorhanden."
> ok-Button

Dann hat das Setup aber bestätigt, dass a-squared erfolgreich installiert wurde und es hat sich auch brav deinstallieren lassen, der Ordner samt Inhalt ist weg.

Jetzt bin ich Spybot und a-squared wohl los. *gutfind*

Alt 25.02.2009, 12:58   #24
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Das iclean-log sieht jetzt so aus:

iclean log 25.02.2009 12:55:41

Windows XP SP3, Using advanced Kernel functions

Processes
---------
516 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
580 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
604 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
648 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
660 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
876 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
948 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1040 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1092 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1104 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1364 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1424 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1644 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1676 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1684 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1940 - C:\WINDOWS\Explorer.EXE - Windows Explorer
800 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
836 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
932 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
1028 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
1068 - C:\Programme\Java\jre6\bin\jusched.exe - Java(TM) Platform SE binary (Signed)
1276 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
1316 - PocketWebSync.e - PocketWebSync.e
1592 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
1700 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
1792 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
1820 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
1896 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
176 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
1124 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
788 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
1796 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2280 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2448 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
2916 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3044 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
2812 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
3600 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
3088 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Layout=(null)

Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy

Alt 25.02.2009, 13:05   #25
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



@ undoreal:

Vielen lieben Dank fürs Helfen! Das ist echt nett von Dir, dass Du so Leuten wie mir, die sich nur auskennen, wenn alles läuft, auf die Sprünge hilfst.


Liebe Grüße,
tapsi

Alt 26.02.2009, 08:38   #26
undoreal
/// AVZ-Toolkit Guru
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



immer gerne.

Ich schreib' dir hier nochmal ein paar Tips zusammen damit du dir keine unnötigen Schutzprogramme installierst:
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
    Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
      und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .
  • Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
    .
    Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 26.02.2009, 20:42   #27
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hi!

Danke. Hardwaretreiber werde ich in den nächsten Tagen mal suchen und Secunia PSI werd ich mir auch mal anschaun. Internetoptionen werd ich mir jetzt gleich mal vornehmen.

Wenn das alles getan ist, bin ich so sicher, wie man bei aller Unsicherheit sein kann.

Vielen Dank noch mal für alles.
Liebe Grüße,

tapsi

Antwort

Themen zu "sonderbare" Einträge in der Registry
alten, avast, bitdefender, blick, computer, defender, einträge, gefunde, gemeldet, interne, kleine, leute, malwarebytes, nichts, online, ports, problem, registry, scan, sekunden, sonderbare, spybot, systemwiederherstellung, web, zonealarm




Ähnliche Themen: "sonderbare" Einträge in der Registry


  1. "PROXY" Einträge in der Registrierungsdatenbank
    Plagegeister aller Art und deren Bekämpfung - 09.05.2015 (11)
  2. AdwCleaner findet "PROXY" Einträge in der Registrierungsdatenbank
    Plagegeister aller Art und deren Bekämpfung - 26.04.2015 (15)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. Dateien mit "kryptischen" u. chinesische Zeichen verfolgen Registry MRUListEx
    Log-Analyse und Auswertung - 20.12.2013 (12)
  5. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  6. Malwarebytes bereibigt "PUP.Optional.xxx.A", aber AdwCleaner findet noch was in der Registry
    Log-Analyse und Auswertung - 14.10.2013 (13)
  7. Zusätzliche Einträge in "Dienste" - vermutlich verursacht durch Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (9)
  8. Malwarebytes findet " PUP.VShareRedir "Registry bitte Logfile auswerten!
    Log-Analyse und Auswertung - 09.01.2012 (17)
  9. "PUM.Disabled.SecurityCenter" Registry infiziert
    Log-Analyse und Auswertung - 08.06.2011 (17)
  10. Automatisch startende "Programm-runs" in Registry löschen ?
    Log-Analyse und Auswertung - 10.01.2010 (1)
  11. seltsamer Registry-Eintrag "S3r521"
    Plagegeister aller Art und deren Bekämpfung - 07.05.2009 (5)
  12. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  13. Helios Lite gibt für Registry-Key "Acess Denied" aus und key lässt sich nicht löschen
    Antiviren-, Firewall- und andere Schutzprogramme - 20.06.2008 (20)
  14. Nachricht "Windows Registry corrupted..." auf Linux-Rechner
    Plagegeister aller Art und deren Bekämpfung - 26.07.2006 (5)
  15. "Sicherheitshinweis" auf korrupte Registry/ AdWare
    Log-Analyse und Auswertung - 11.10.2005 (3)
  16. Nutzung von JW16 Powertools / Registry"cleaner"
    Alles rund um Windows - 25.02.2005 (5)
  17. Registry von Windows 2000 / Wo finde ich die "Plagegeister"?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2005 (5)

Zum Thema "sonderbare" Einträge in der Registry - Ui, das war ja eine prima Idee: Alles weg! :aplaus: Und der iclean-Report ist jetzt so schön kurz: iclean log 24.02.2009 12:07:55 Windows XP SP3, Using advanced Kernel functions Processes - "sonderbare" Einträge in der Registry...
Archiv
Du betrachtest: "sonderbare" Einträge in der Registry auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.