Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   MailSkinner aus Registry löschen (https://www.trojaner-board.de/24903-mailskinner-registry-loeschen.html)

cyberfrog 26.12.2005 12:06

MailSkinner aus Registry löschen
 
Mein Malware-Scanner hat auf dem PC 2 Hinweise auf mögliche Spyware namens "MailSkinner" in der Registry gefunden. Beide unter HKEY_CURRENT_USER\Software\Microsoft\Installer\. Ist dieser Eintrag gefährlich , was macht dieses Programm eigentlich? Ich kann zwar mit regedit in die Registry, aber löschen kann ich den Eintrag nicht. Bin kein DAU aber auch kein Experte. Vielen Dank für Euren Input!

cosinus 26.12.2005 16:41

Welchen Malwarescanner verwendest Du denn?
Hast Du Dir mal den "Mailscanner" (E-Mail-Programm lt. http://www.liutilities.com/products/...y/mailskinner/ ) installiert?
Poste doch auch mal so ein Log.

cyberfrog 27.12.2005 11:02

Hi! Ich verwende den Malwarescanner von http://www.malwareremover.com/ (free version) und lösche dann händisch. Den Mailscanner von liutilities habe ich nie verwendet (zumindest nicht bewußt). Vom Heim-PC konnte ich den Registry-Eintrag für den Mailskinner einfach löschen, beim Firmen PC geht das nicht, wahrscheinlich weil ich nicht Admin bin oder wegen Schreibschutz. Wie kann ich das überlisten? Mein Admin meint es ist harmlos, will es aber nicht löschen weil er keine Zeit hat (ist für so ca. 300 Rechner und Netzwerk zuständig). Er kann es aber auch nicht erklären und das kommt mir komisch vor, man hört so viel von Überwachung. Ein Log kann ich erst posten wenn ich wieder im Büro bin so ab 2. Jänner aber vielleicht hat Du auch so ein paar Tipps? Vielen Dank!

cyberfrog 02.01.2006 10:14

Spät aber doch, das Logfile! Bitte um Info ob ok, vielen Dank!

Logfile of HijackThis v1.99.1
Scan saved at 10:04:29, on 02.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
\satviefs01\telefoncd\OtbStart.EXE
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Astrocontact Astroplus\AcPlaStd.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\WISPTIS.EXE
\Satviefs02\jurxpert$\Bin\jurXpert3.exe
C:\Programme\Microsoft Office\Office\MSACCESS.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://satviesps01/search.aspx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.20.2.10:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = mail.***.at;<local>
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [OtbStart] \\satviefs01\telefoncd\OtbStart.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AcPlaStd.exe] C:\Programme\Astrocontact Astroplus\AcPlaStd.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106044513718
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Law.Local.inet
O17 - HKLM\Software\..\Telephony: DomainName = Law.Local.inet
O17 - HKLM\System\CCS\Services\Tcpip\..\{056C720B-1547-4B96-B88E-83EB86A06B75}: Domain = law.local.inet
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Law.Local.inet
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Law.Local.inet
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = law.local.inet,local.inet,***.at
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)


lg, cyberfrog

cosinus 02.01.2006 18:03

Ist das Dein Privat-PC oder ein Firmenrechner?
Sollte das ein Firmenrechner sein, würde ich den Admin mal anhauen :cool:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://satviesps01/search.aspx
Das scheint m.E. nach ein böser Eintrag zu sein. Würde ich fixen.
Da laufen noch diverse andere "Spezialprogramme", ob die gut oder böse sind, kann ich nicht beurteilen, das solltest Du wissen. Ansonsten kannst Du ja mal selber Dein Logfile mal auswerten lassen -> www.hijackthis.de

cyberfrog 02.01.2006 20:19

Hi, danke, ja, ist der Firmenrechner...

Wie kann ich Einträge "fixen"?

Laut McAfee (http://vil.nai.com/vil/content/v_137368.htm) -
Hinweis von einem anderen Teilnehmer gehören zum Trojaner Mailskinner noch folgende Dateien:

MailSkinner.exe, OESkinner.dll, and OLSkinner.dll
msegcompid.dll, msclock32.jpg and axsetup.dll

Aber die finde ich nicht auf dem Rechner - wenn die weg sind, ist der Registry-Eintrag allein noch gefährlich - Sorry, ich weiß, bin verdammt nah am DAU...

Lg Cyberfrog:dummguck:

cosinus 03.01.2006 01:30

Lass die Finger vom Firmenrechner. Ihr habt (hoffentlich) einen kompetenten Admin. Die Ratschläge, die in Foren geäußert werden, müssen die Hilfesuchenden auf eigene Gefahr anwenden, egal ob richtig oder falsch. Ich denke, das ist es nicht wert. Denn was machst Du, wenn Du auf eigene Faust hier und da was löschst und dann der Rechner bzw. das BS völlig in die Knie geht? Damit ist auch keinem geholfen.
Das jetzt nur allgemein, denn ich vermute, dass nicht wirklich böses Zeuch auf Deinen Firmenrechner zu Hause ist. Mit "Fixen" meine ich das:

Zitat:

1) Hijackthis starten.
2) Auf "Do a system scan only" klicken und abwarten bis HJT mit der Analyse fertig ist.
3) Die gewünschten Einträge auswählen durch das Setzen einen Häkchens in der Box davor.
4) Unten bei HJT auf "Fix checked" klicken.
Sag aber nicht, man hätte Dich nicht gewarnt ;)

cyberfrog 03.01.2006 08:24

Morgen Cosinus!

Vielen Dank für deine Hilfe! Habe mir das nochmals angesehen und mir Infos zu den möglicherweise bösen Einträgen im Log geholt. Ist nur ein ein Hinweis auf firmeninternes Recherchensystem nach Texten über unsere eigene HP. Habe daher nichts gefixt, die unnötigen, aber ungefährlichen Einträge lasse ich lieber auch stehen, will nix riskieren.... Du hast Recht, ist es nicht wert! Aber ich habe viel gelernt (HiJackThis ist cool!) und dafür möchte ich Dir und all den anderen hier danken!

stupormundi 03.01.2006 08:36

Servus wieder, cyberfrog!
Wie ich Dir schon hier gepostet/verlinkt habe, handelt es sich um Spyware. In diesem link sind auch alle notwendigen Infos, die Dir bwz. Deinem Admin helfen, diese Spyware von Deinem Firmenrechner zu entfernen.
Bitte entscheide Dich für einen thread!
stupormundi

cyberfrog 12.01.2006 18:23

Später Nachtrag! Wir haben das Teil schließlich doch losgebracht! War wohl kein richtiger Spy. Der Eintrag in der Registry wurde von der Anwendung MRUClear.exe verursacht und vom Malwarescanner als Hinweis auf den MailSkinner bewertet. Nach dem Deinstallieren von MRUClear konnte ich den Eintrag mühelos löschen und alles funktioniert klaglos! Hab mir stattdessen Clearprog besorgt, für das hier so viel Werbung gemacht wird, ist wirklich besser! Und dem Admin blieb dank Euch der Mund offen, was ich so alles weiß... :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131