|
Plagegeister aller Art und deren Bekämpfung: "sonderbare" Einträge in der RegistryWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.02.2009, 10:52 | #1 |
| "sonderbare" Einträge in der Registry Hallo Leute, ich habe eine kleine Frage. Ich war mit dem Computer meiner Mutter im Internet. Daraufhin hat sich ständig ZoneAlarm gemeldet und einen Port-Zugriff gemeldet, alle paar Sekunden, die Ports wurden durchgezählt. Ich dachte schon, ich hätte ein Problem, hab Avast, Spybot, Malwarebytes, Dr. Web Bootscan und Bitdefender drüberlaufen lassen, die haben aber alle nichts gefunden und die Ports wurden jedes mal, wenn ich online war weiter druchgezählt. Daraufhin habe ich mit der Systemwiederherstellung einen alten Wiederherstellungspunkt gewählt. Danach hat das Port-zählen bei ZoneAlarm aufgehört. Spaßenshalber habe ich mal einen Blick in die Registry geworfen (hab nichts angefaßt, kenn mich da auch nicht mit aus), und eine Reihe sonderbarer Einträge gefunden, die wie Internet-Adressen aussehen. Hier mal ein paar Bildchen. |
24.02.2009, 10:54 | #2 |
| "sonderbare" Einträge in der Registry Hier ist ein hjt logfile:
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:52:49, on 24.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CmUCReye.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Pocket Web Sync\PocketWebSync.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe c:\programme\a-squared free\a2service.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\mspaint.exe C:\Dokumente und Einstellungen\Waltraud\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [OgoSync] C:\Programme\Pocket Web Sync\PocketWebSync.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.pcwelt.de/_misc/bitdefender/scan8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7898 bytes Geändert von tapsi_turvy (24.02.2009 um 11:04 Uhr) |
24.02.2009, 10:55 | #3 |
| "sonderbare" Einträge in der Registry Es wäre wirklich toll, wenn einer von Euch drüberschauen könnte und mir sagen kann, ob ich da ein Problem habe.
__________________Liebe Grüße, tapsi |
24.02.2009, 11:03 | #4 |
| "sonderbare" Einträge in der Registry hi, das HJ-Log zeigt nichts auffälliges... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
24.02.2009, 11:06 | #5 |
| "sonderbare" Einträge in der Registry Hallo Chris, danke für Deine schnelle Antwort. *uff* Das ist ja schon mal gut. Und so komische Einträge in der Registry sind normal? Oder zumindest unschädlich? Ich kenn mich mit Registry nicht aus, hab nur spaßenshalber reingeschaut, weil das mit der Systemwiederherstellung geklappt hat. tapsi |
24.02.2009, 11:12 | #6 |
/// AVZ-Toolkit Guru | "sonderbare" Einträge in der Registry Hey tapsi. In welchem Ordner sind die Einträge zu finden? Das sieht mir nach einen Spybot-Anschlag aus. Das Programm ist nicht so besonders toll... Solltest du deinstallieren! Poste mal bitte einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report). Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird. Tauchen da die gleichen Einträge unter 032 033 redirected auf? Wenn ja dann stammen sie in der Tat von Spybot.
__________________ --> "sonderbare" Einträge in der Registry |
24.02.2009, 11:29 | #7 |
| "sonderbare" Einträge in der Registry Hallo undoreal, hm, Spybot hatte ich schon gelöscht, ist auch unter Systemsteuerung > Software nicht mehr zu finden. Allerdings ist der "TeaTimer" noch in C:/Programme/Spybot. Kann ich den einfach so löschen ohne ein uninstal.exe zu haben? Die Einträge sind in der Registry im Ordner Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains. |
24.02.2009, 11:34 | #8 |
| "sonderbare" Einträge in der Registry Willst Du wirklich den ganzen iclean-Bericht haben? Ich habe die 032 und die 033 Einträge größtenteils rausgelöscht, aber der Bericht hat, wenn man ihn in Word kopiert, immer noch 203 Seiten. Fast alles, nämlich ab Seite 6, sind Einträge unter 127.0.0.1. Aber die Einträge unter 032 und 033 sind größtenteils dieselben. Hier mal nur mit dem Anfang von 127.0.0.1: iclean log 24.02.2009 11:19:07 Windows XP SP3, Using advanced Kernel functions Processes --------- 512 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe 576 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe 600 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe 644 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller 656 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version) 816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 884 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 1096 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 1116 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed) 1440 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed) 1500 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed) 1580 - C:\WINDOWS\Explorer.EXE - Windows Explorer 1892 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application 1924 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed) 1932 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a 1988 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe 1996 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT 2016 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App 2032 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program 184 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel 196 - PocketWebSync.e - PocketWebSync.e 200 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed) 208 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed) 264 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader 372 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger 680 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main) 1672 - c:\programme\a-squared free\a2service.exe - a-squared Service (Signed) 1080 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed) 2072 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82 2140 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 2504 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed) 2784 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed) 3084 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service 3360 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed) 1180 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed) 3996 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst 1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services 2396 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed) 876 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner Services -------- c:\programme\a-squared free\a2service.exe=a2free C:\WINDOWS\system32\alg.exe=ALG c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv C:\WINDOWS\system32\svchost.exe=AudioSrv c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner C:\WINDOWS\system32\svchost.exe=BITS c:\windows\system32\brsvc01a.exe=Brother XP spl Service C:\WINDOWS\system32\svchost.exe=Browser C:\WINDOWS\system32\svchost.exe=CryptSvc C:\WINDOWS\system32\svchost.exe=DcomLaunch C:\WINDOWS\system32\svchost.exe=Dhcp C:\WINDOWS\system32\svchost.exe=Dnscache C:\WINDOWS\system32\svchost.exe=ERSvc C:\WINDOWS\system32\services.exe=Eventlog c:\windows\system32\svchost.exe=EventSystem C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility C:\WINDOWS\system32\svchost.exe=helpsvc C:\WINDOWS\system32\svchost.exe=HidServ C:\WINDOWS\system32\svchost.exe=HTTPFilter c:\programme\icq6toolbar\icq service.exe=ICQ Service C:\WINDOWS\system32\svchost.exe=lanmanserver C:\WINDOWS\system32\svchost.exe=lanmanworkstation C:\WINDOWS\system32\svchost.exe=LmHosts C:\WINDOWS\system32\svchost.exe=Netman C:\WINDOWS\system32\svchost.exe=Nla C:\WINDOWS\system32\nvsvc32.exe=NVSvc C:\WINDOWS\system32\services.exe=PlugPlay C:\WINDOWS\system32\lsass.exe=PolicyAgent C:\WINDOWS\system32\lsass.exe=ProtectedStorage C:\WINDOWS\system32\svchost.exe=RasMan C:\WINDOWS\system32\svchost.exe=RpcSs C:\WINDOWS\system32\lsass.exe=SamSs C:\WINDOWS\system32\svchost.exe=Schedule C:\WINDOWS\system32\svchost.exe=seclogon C:\WINDOWS\system32\svchost.exe=SENS C:\WINDOWS\system32\svchost.exe=SharedAccess C:\WINDOWS\system32\svchost.exe=ShellHWDetection C:\WINDOWS\system32\spoolsv.exe=Spooler C:\WINDOWS\system32\svchost.exe=srservice C:\WINDOWS\system32\svchost.exe=SSDPSRV C:\WINDOWS\system32\svchost.exe=stisvc C:\WINDOWS\system32\svchost.exe=TapiSrv C:\WINDOWS\system32\svchost.exe=TermService C:\WINDOWS\system32\svchost.exe=Themes C:\WINDOWS\system32\svchost.exe=TrkWks c:\windows\system32\zonelabs\vsmon.exe=vsmon C:\WINDOWS\system32\svchost.exe=W32Time C:\WINDOWS\system32\svchost.exe=WebClient C:\WINDOWS\system32\svchost.exe=winmgmt c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv C:\WINDOWS\system32\svchost.exe=wscsvc C:\WINDOWS\system32\svchost.exe=wuauserv C:\WINDOWS\system32\svchost.exe=WZCSVC c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService Registry -------- 000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe 000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background 000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe" 000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe 000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe 000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe 000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe 000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe 000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll 000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe 000=HKLM\Run: NWEReboot= 000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe 000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe 000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe 000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe 000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe 000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot 000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe" 000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot 000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe" 001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe 001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe 001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe 001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe 020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll 020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll 020=SSODL: SysTray=c:\windows\system32\stobject.dll 020=SSODL: WebCheck=c:\windows\system32\webcheck.dll 030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) () 030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer) 030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper) 030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper) 030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class) 031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll 031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll 031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null) 031=Toolbar: ITBar7Layout=(null) 032=RestrictedZOne: *.008i.com 032=RestrictedZOne: *.010402.com 032=RestrictedZOne: *.17-plus.com 032=RestrictedZOne: *.171203.com 032=RestrictedZOne: *.20x2p.com 032=RestrictedZOne: *.2ndpower.com 032=RestrictedZOne: *.3721.com 032=RestrictedZOne: *.39-93.com ...noch viel mehr 032 (gelöscht) 033=RestrictedZOne: *.008i.com 033=RestrictedZOne: *.010402.com 033=RestrictedZOne: *.17-plus.com 033=RestrictedZOne: *.171203.com 033=RestrictedZOne: *.20x2p.com 033=RestrictedZOne: *.2ndpower.com 033=RestrictedZOne: *.3721.com 033=RestrictedZOne: *.39-93.com ...noch viel mehr 033 (gelöscht) 032=RestrictedZone: install.007guard.com 032=RestrictedZone: the.007guard.com 032=RestrictedZone: w*w.007guard.com 032=RestrictedZone: w*w.install.007guard.com 032=RestrictedZone: w*w.the.007guard.com 032=RestrictedZone: w*w.008k.com 032=RestrictedZone: w*w.00hq.com 032=RestrictedZone: 80gw6ry3i3x3qbrkwhxhw.032439.com 032=RestrictedZone: w*w.032439.com 032=RestrictedZone: w*w.0scan.com ...noch viel mehr 032 (gelöscht) 033=RestrictedZone: install.007guard.com 033=RestrictedZone: the.007guard.com 033=RestrictedZone: w*w.007guard.com 033=RestrictedZone: w*w.install.007guard.com 033=RestrictedZone: w*w.the.007guard.com 033=RestrictedZone: w*w.008k.com 033=RestrictedZone: w*w.00hq.com 033=RestrictedZone: 80gw6ry3i3x3qbrkwhxhw.032439.com 033=RestrictedZone: w*w.032439.com 033=RestrictedZone: w*w.0scan.com ...noch viel mehr 033 (gelöscht) Startup Folders --------------- Common: desktop.ini Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe Personal: desktop.ini HOSTS ----- # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost # Start of entries inserted by Spybot - Search & Destroy 127.0.0.1 w*w.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 w*w.008k.com 127.0.0.1 008k.com 127.0.0.1 w*w.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 w*w.032439.com 127.0.0.1 032439.com 127.0.0.1 w*w.0scan.com Liebe Grüße, tapsi Geändert von tapsi_turvy (24.02.2009 um 11:41 Uhr) |
24.02.2009, 11:44 | #9 |
/// AVZ-Toolkit Guru | "sonderbare" Einträge in der Registry Jo, da war Spybot am Werk. Deinstalliere den Mist! Überprüfe danach wiederum mit iClean ob die 032 und 033 Einträge sowie die 127.0.0.1 localhost gelöscht wurden.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
24.02.2009, 11:45 | #10 |
| "sonderbare" Einträge in der Registry Ui, hab gerade gesehen, da steht ja drüber: Zitat: 127.0.0.1 localhost # Start of entries inserted by Spybot - Search & Destroy Dann war das wohl wirklich das gemeingefährliche Spybot, unverschämtes Ding. tapsi |
24.02.2009, 11:48 | #11 | |
/// AVZ-Toolkit Guru | "sonderbare" Einträge in der Registry Folgende Einträge solltest du mit iClean reparieren lassen: Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
24.02.2009, 11:48 | #12 |
| "sonderbare" Einträge in der Registry Wie gesagt: Deinstalliert ist Spybot schon, kein Eintrag mehr unter Systemsteuerung > Software, aber in c:/Programme/Spybot sind noch Ordner. Da ist zwar keine spybot.exe oder so, aber der TeaTimer ist noch da. Wenn ich den Ordner in C: jetzt einfach lösche, sind die Einträge ja weiter in der Registry. Oder soll ich die einfach drin lassen? Ist halt arg unübersichtlich... Liebe Grüße, tapsi |
24.02.2009, 11:50 | #13 |
| "sonderbare" Einträge in der Registry Oh, da ist ja schon wieder ein Tip. Das werd ich gleich mal reparieren. |
24.02.2009, 11:55 | #14 |
/// AVZ-Toolkit Guru | "sonderbare" Einträge in der Registry Hmpf. Das ist mal wieder super. Bevor wir das manuell versuchen mach mal folgendes: Installiere Spybot wieder und führe die Immunisierung durch. Ich hab' jetzt hier grade keines installiert aber ich erinnere mich dunkel, dass es da eine Option gab um alle Änderungen rückgängig zu machen die Spybot veranstalltet hat. Nutze diese Option. Nun sind die Einträge hoffentlich weg.?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
24.02.2009, 11:56 | #15 |
| "sonderbare" Einträge in der Registry Hab auf "repair" gedrückt. Daraufhin hat iclean gesagt, es wäre unable to repair HKEY_CLASSES_ROOT\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Die Einträge, die Du genannt hast, sind jetzt aber beide nicht mehr in der iclear-Ansicht drin. tapsi |
Themen zu "sonderbare" Einträge in der Registry |
alten, avast, bitdefender, blick, computer, defender, einträge, gefunde, gemeldet, interne, kleine, leute, malwarebytes, nichts, online, ports, problem, registry, scan, sekunden, sonderbare, spybot, systemwiederherstellung, web, zonealarm |