Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "sonderbare" Einträge in der Registry

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.02.2009, 10:52   #1
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hallo Leute,

ich habe eine kleine Frage. Ich war mit dem Computer meiner Mutter im Internet. Daraufhin hat sich ständig ZoneAlarm gemeldet und einen Port-Zugriff gemeldet, alle paar Sekunden, die Ports wurden durchgezählt. Ich dachte schon, ich hätte ein Problem, hab Avast, Spybot, Malwarebytes, Dr. Web Bootscan und Bitdefender drüberlaufen lassen, die haben aber alle nichts gefunden und die Ports wurden jedes mal, wenn ich online war weiter druchgezählt.

Daraufhin habe ich mit der Systemwiederherstellung einen alten Wiederherstellungspunkt gewählt. Danach hat das Port-zählen bei ZoneAlarm aufgehört. Spaßenshalber habe ich mal einen Blick in die Registry geworfen (hab nichts angefaßt, kenn mich da auch nicht mit aus), und eine Reihe sonderbarer Einträge gefunden, die wie Internet-Adressen aussehen. Hier mal ein paar Bildchen.
Miniaturansicht angehängter Grafiken
-bild-4.jpg   -bild-6.jpg  

Alt 24.02.2009, 10:54   #2
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hier ist ein hjt logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52:49, on 24.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CmUCReye.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Pocket Web Sync\PocketWebSync.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mspaint.exe
C:\Dokumente und Einstellungen\Waltraud\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OgoSync] C:\Programme\Pocket Web Sync\PocketWebSync.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.pcwelt.de/_misc/bitdefender/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7898 bytes
__________________


Geändert von tapsi_turvy (24.02.2009 um 11:04 Uhr)

Alt 24.02.2009, 10:55   #3
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Es wäre wirklich toll, wenn einer von Euch drüberschauen könnte und mir sagen kann, ob ich da ein Problem habe.

Liebe Grüße,
tapsi
__________________

Alt 24.02.2009, 11:03   #4
Chris4You
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



hi,

das HJ-Log zeigt nichts auffälliges...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 24.02.2009, 11:06   #5
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hallo Chris,

danke für Deine schnelle Antwort. *uff* Das ist ja schon mal gut.

Und so komische Einträge in der Registry sind normal? Oder zumindest unschädlich?
Ich kenn mich mit Registry nicht aus, hab nur spaßenshalber reingeschaut, weil das mit der Systemwiederherstellung geklappt hat.

tapsi


Alt 24.02.2009, 11:12   #6
undoreal
/// AVZ-Toolkit Guru
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hey tapsi.

In welchem Ordner sind die Einträge zu finden?
Das sieht mir nach einen Spybot-Anschlag aus. Das Programm ist nicht so besonders toll... Solltest du deinstallieren!

Poste mal bitte einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.
Tauchen da die gleichen Einträge unter 032 033 redirected auf? Wenn ja dann stammen sie in der Tat von Spybot.
__________________
--> "sonderbare" Einträge in der Registry

Alt 24.02.2009, 11:29   #7
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hallo undoreal,

hm, Spybot hatte ich schon gelöscht, ist auch unter Systemsteuerung > Software nicht mehr zu finden. Allerdings ist der "TeaTimer" noch in C:/Programme/Spybot. Kann ich den einfach so löschen ohne ein uninstal.exe zu haben?

Die Einträge sind in der Registry im Ordner
Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains.

Alt 24.02.2009, 11:34   #8
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Willst Du wirklich den ganzen iclean-Bericht haben?
Ich habe die 032 und die 033 Einträge größtenteils rausgelöscht, aber der Bericht hat, wenn man ihn in Word kopiert, immer noch 203 Seiten. Fast alles, nämlich ab Seite 6, sind Einträge unter 127.0.0.1.

Aber die Einträge unter 032 und 033 sind größtenteils dieselben.

Hier mal nur mit dem Anfang von 127.0.0.1:

iclean log 24.02.2009 11:19:07

Windows XP SP3, Using advanced Kernel functions

Processes
---------
512 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
576 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
600 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
644 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
656 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
884 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1116 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1440 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1500 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1580 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1892 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
1924 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1932 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1988 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1996 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
2016 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2032 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
184 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
196 - PocketWebSync.e - PocketWebSync.e
200 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
208 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
264 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
372 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
680 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
1672 - c:\programme\a-squared free\a2service.exe - a-squared Service (Signed)
1080 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
2072 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
2140 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2504 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2784 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3084 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3360 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
1180 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
3996 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2396 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
876 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\a-squared free\a2service.exe=a2free
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=BITS
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null)
031=Toolbar: ITBar7Layout=(null)
032=RestrictedZOne: *.008i.com
032=RestrictedZOne: *.010402.com
032=RestrictedZOne: *.17-plus.com
032=RestrictedZOne: *.171203.com
032=RestrictedZOne: *.20x2p.com
032=RestrictedZOne: *.2ndpower.com
032=RestrictedZOne: *.3721.com
032=RestrictedZOne: *.39-93.com

...noch viel mehr 032 (gelöscht)

033=RestrictedZOne: *.008i.com
033=RestrictedZOne: *.010402.com
033=RestrictedZOne: *.17-plus.com
033=RestrictedZOne: *.171203.com
033=RestrictedZOne: *.20x2p.com
033=RestrictedZOne: *.2ndpower.com
033=RestrictedZOne: *.3721.com
033=RestrictedZOne: *.39-93.com

...noch viel mehr 033 (gelöscht)

032=RestrictedZone: install.007guard.com
032=RestrictedZone: the.007guard.com
032=RestrictedZone: w*w.007guard.com
032=RestrictedZone: w*w.install.007guard.com
032=RestrictedZone: w*w.the.007guard.com
032=RestrictedZone: w*w.008k.com
032=RestrictedZone: w*w.00hq.com
032=RestrictedZone: 80gw6ry3i3x3qbrkwhxhw.032439.com
032=RestrictedZone: w*w.032439.com
032=RestrictedZone: w*w.0scan.com

...noch viel mehr 032 (gelöscht)

033=RestrictedZone: install.007guard.com
033=RestrictedZone: the.007guard.com
033=RestrictedZone: w*w.007guard.com
033=RestrictedZone: w*w.install.007guard.com
033=RestrictedZone: w*w.the.007guard.com
033=RestrictedZone: w*w.008k.com
033=RestrictedZone: w*w.00hq.com
033=RestrictedZone: 80gw6ry3i3x3qbrkwhxhw.032439.com
033=RestrictedZone: w*w.032439.com
033=RestrictedZone: w*w.0scan.com

...noch viel mehr 033 (gelöscht)


Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 w*w.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 w*w.008k.com
127.0.0.1 008k.com
127.0.0.1 w*w.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 w*w.032439.com
127.0.0.1 032439.com
127.0.0.1 w*w.0scan.com

Liebe Grüße,
tapsi

Geändert von tapsi_turvy (24.02.2009 um 11:41 Uhr)

Alt 24.02.2009, 11:44   #9
undoreal
/// AVZ-Toolkit Guru
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Jo, da war Spybot am Werk. Deinstalliere den Mist!
Überprüfe danach wiederum mit iClean ob die 032 und 033 Einträge sowie die 127.0.0.1 localhost gelöscht wurden.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.02.2009, 11:45   #10
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Ui, hab gerade gesehen, da steht ja drüber:

Zitat:
127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy

Dann war das wohl wirklich das gemeingefährliche Spybot, unverschämtes Ding.

tapsi

Alt 24.02.2009, 11:48   #11
undoreal
/// AVZ-Toolkit Guru
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Folgende Einträge solltest du mit iClean reparieren lassen:
Zitat:
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null)
PS: a-Squared würde ich aus dem Autostrat nehmen => den Hintergrund.Wächter deaktiveren.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.02.2009, 11:48   #12
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Wie gesagt: Deinstalliert ist Spybot schon, kein Eintrag mehr unter Systemsteuerung > Software, aber in c:/Programme/Spybot sind noch Ordner. Da ist zwar keine spybot.exe oder so, aber der TeaTimer ist noch da. Wenn ich den Ordner in C: jetzt einfach lösche, sind die Einträge ja weiter in der Registry. Oder soll ich die einfach drin lassen? Ist halt arg unübersichtlich...

Liebe Grüße,
tapsi

Alt 24.02.2009, 11:50   #13
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Oh, da ist ja schon wieder ein Tip. Das werd ich gleich mal reparieren.

Alt 24.02.2009, 11:55   #14
undoreal
/// AVZ-Toolkit Guru
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hmpf. Das ist mal wieder super.
Bevor wir das manuell versuchen mach mal folgendes:
Installiere Spybot wieder
und führe die Immunisierung durch. Ich hab' jetzt hier grade keines installiert aber ich erinnere mich dunkel, dass es da eine Option gab um alle Änderungen rückgängig zu machen die Spybot veranstalltet hat.
Nutze diese Option.

Nun sind die Einträge hoffentlich weg.?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.02.2009, 11:56   #15
tapsi_turvy
 
"sonderbare" Einträge in der Registry - Standard

"sonderbare" Einträge in der Registry



Hab auf "repair" gedrückt. Daraufhin hat iclean gesagt, es wäre unable to repair


HKEY_CLASSES_ROOT\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}


Die Einträge, die Du genannt hast, sind jetzt aber beide nicht mehr in der iclear-Ansicht drin.

tapsi

Antwort

Themen zu "sonderbare" Einträge in der Registry
alten, avast, bitdefender, blick, computer, defender, einträge, gefunde, gemeldet, interne, kleine, leute, malwarebytes, nichts, online, ports, problem, registry, scan, sekunden, sonderbare, spybot, systemwiederherstellung, web, zonealarm




Ähnliche Themen: "sonderbare" Einträge in der Registry


  1. "PROXY" Einträge in der Registrierungsdatenbank
    Plagegeister aller Art und deren Bekämpfung - 09.05.2015 (11)
  2. AdwCleaner findet "PROXY" Einträge in der Registrierungsdatenbank
    Plagegeister aller Art und deren Bekämpfung - 26.04.2015 (15)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. Dateien mit "kryptischen" u. chinesische Zeichen verfolgen Registry MRUListEx
    Log-Analyse und Auswertung - 20.12.2013 (12)
  5. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  6. Malwarebytes bereibigt "PUP.Optional.xxx.A", aber AdwCleaner findet noch was in der Registry
    Log-Analyse und Auswertung - 14.10.2013 (13)
  7. Zusätzliche Einträge in "Dienste" - vermutlich verursacht durch Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (9)
  8. Malwarebytes findet " PUP.VShareRedir "Registry bitte Logfile auswerten!
    Log-Analyse und Auswertung - 09.01.2012 (17)
  9. "PUM.Disabled.SecurityCenter" Registry infiziert
    Log-Analyse und Auswertung - 08.06.2011 (17)
  10. Automatisch startende "Programm-runs" in Registry löschen ?
    Log-Analyse und Auswertung - 10.01.2010 (1)
  11. seltsamer Registry-Eintrag "S3r521"
    Plagegeister aller Art und deren Bekämpfung - 07.05.2009 (5)
  12. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  13. Helios Lite gibt für Registry-Key "Acess Denied" aus und key lässt sich nicht löschen
    Antiviren-, Firewall- und andere Schutzprogramme - 20.06.2008 (20)
  14. Nachricht "Windows Registry corrupted..." auf Linux-Rechner
    Plagegeister aller Art und deren Bekämpfung - 26.07.2006 (5)
  15. "Sicherheitshinweis" auf korrupte Registry/ AdWare
    Log-Analyse und Auswertung - 11.10.2005 (3)
  16. Nutzung von JW16 Powertools / Registry"cleaner"
    Alles rund um Windows - 25.02.2005 (5)
  17. Registry von Windows 2000 / Wo finde ich die "Plagegeister"?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2005 (5)

Zum Thema "sonderbare" Einträge in der Registry - Hallo Leute, ich habe eine kleine Frage. Ich war mit dem Computer meiner Mutter im Internet. Daraufhin hat sich ständig ZoneAlarm gemeldet und einen Port-Zugriff gemeldet, alle paar Sekunden, die - "sonderbare" Einträge in der Registry...
Archiv
Du betrachtest: "sonderbare" Einträge in der Registry auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.