Registry Key infiziert - Wie vorgehen?
 

Hallo,


Mein Spyware Programm (Ad Aware SE Personal) hat auf meinem Computer einige infizierte Registry Keys gefunden. Ich habe sie jetzt erstmal in Quarantäne geschoben.

Dazu nun einige Fragen:

Wo kann ich Informationen finden, welche Funktion die infizierten Registry Keys haben? Beispiel: obj[2]=Regkey : clsid\{248dd896-bb45-11cf-9abc-0080c7e7b78d}

Kann es zu Beeinträchtigungen des Computers und des System kommen, da ich ja einige Registry Keys in Quarantäne geschoben habe?

Für den Fall, daß die Registry Keys wichtig sind, wie kann ich sie ersetzen? Könnte ich sie beispielsweise auf der Windows CD finden, die meinem Computer beilag und dann einfach auf meinen Computer kopieren?

Die Hälfte meine Mozilla Bookmarks ist verschwunden :-( Kann das mit den Keys zusammen hängen?

Mehr fällt mir gerade nicht ein :-)

Wie Ihr seht, sind diese tiefen Schichten des System für mich ein absolutes Buch mit sieben (mindestens) Siegeln.

Wäre wirklich über Hilfe jedweder Art sehr dankbar!


Viele Grüße

NoClue

Hallo NoClue,
Zeig mal ein Hijackthis-Log vor und sciebe gleich noch einen EScan hinterher.Die Downloads und Beschreibungen findest du hier auf der Startseite unter "Anleitungen,FAQ,Links".
Halte dich genauestens an die Anleitungen, da sonst die Programme nicht funktionieren.
Irrlicht

Hallo Irrlicht,

bin mir nicht genau sicher ob es das ist was Du suchst:

WIN32.BACKDOOR.CIADOOR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}
obj[1]=Regkey : typelib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}
obj[2]=Regkey : clsid\{248dd896-bb45-11cf-9abc-0080c7e7b78d}
obj[3]=Regkey : clsid\{248dd897-bb45-11cf-9abc-0080c7e7b78d}

Habe ich aus dem Quarantäne Manager von Adware kopiert!

Viele Grüße

NoClue

Noch eine Frage dazu (bin gerade dabei mir die Anleitung für das HiJackTool durchzulesen):

Momentan sind die infizierten Reg. Keys ja in Quarantäen geschoben. Muß ich sie restoren, bevor ich das Tool laufen lasse?


Viele Grüße

NoClue

So, jetzt habe ich ein HiJackThis Log erstellt.

Wichtig: die infizierten Reg.Keys sind immer noch in Quarantäne!!!


Logfile of HijackThis v1.99.1
Scan saved at 09:39:02, on 05.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122751531265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125913078010
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Viele Grüße

NoClue

Hallo,
das Log ist erst mal ok.Wo bleibt der EScan ?
Irrlicht

Hallo Irrlicht,

danke schon mal für den ersten positiven Befund.

Ich werde erst heute abend dazu kommen E-Scan downzuloaden und laufen zu lassen.

Um ein korrektes Ergebnis sicherzustellen: Soll ich die in Quarantäne verschobenen Reg. Keys restoren???

Viele Grüße
NoClue

So, jetz habe ich eScan laufen lassen und dann in der Log Datei wie angeben die "infected" oder "tagged" Einträge kopiert:

Wed Apr 05 14:19:16 2006 => System found infected with polyfilter Spyware/Adware ({0140df95-9128-4053-ae72-f43f0cfca062})! Action taken: No Action Taken.
Wed Apr 05 14:19:16 2006 => System found infected with polyfilter Spyware/Adware ({0140df95-9128-4053-ae72-f43f0cfca062})! Action taken: No Action Taken.
Wed Apr 05 14:19:27 2006 => Offending file found: C:\WINDOWS\system32\sikernel.dll
Wed Apr 05 14:19:27 2006 => System found infected with polyfilter Spyware/Adware (sikernel.dll)! Action taken: No Action Taken.

Das müßte die Zusammenfassung sein:

Wed Apr 05 15:39:06 2006 => Total Objects Scanned: 57370
Wed Apr 05 15:39:06 2006 => Total Critical Objects: 3
Wed Apr 05 15:39:06 2006 => Total Disinfected Objects: 0
Wed Apr 05 15:39:06 2006 => Total Objects Renamed: 0
Wed Apr 05 15:39:06 2006 => Total Deleted Objects: 0
Wed Apr 05 15:39:06 2006 => Total Errors: 3
Wed Apr 05 15:39:06 2006 => Time Elapsed: 01:20:32
Wed Apr 05 15:39:06 2006 => Virus Database Date: 4/5/2006
Wed Apr 05 15:39:06 2006 => Virus Database Count: 182398




Viele Grüße und danke für's Anschauen

NoClue

Hallo,

suche folgende Datei

c:\WINDOWS\system32\vine32.vxd

Wenn Du sie findet, scanne sie bei virustotal.com und poste das Ergebnis hier.

Gruß

Schrulli

Wenn ich auf Virustotal.com gehe, werde ich auf eine spanische Seite http://www.hispasec.com/ geleitet, auf der ich leider gar nix verstehen!

Kann ich die Datei nicht anders scannen?


Viele Grüße

NoClue

Hallo,

in meiner Signatur verlinkt, Jotti ist dort auch zu finden.

Gruß

Schrulli

Ich nehme alles zurück - habe die nun die richtige Seie gefunden :-)

Problem ist: ich finde die Datei nicht.

Habe sowohl mit genauer Schreibung als auch mit Hilfe von Platzhaltner gesucht.
Des weiteren bin ich direkt in Win32 Verzeichtnis gegangen. Aber die Datei ist nicht zu entdecken :-(


Viele Grüße

NoClue

Hallo,

nein, es ist gut, wenn Du die Datei nicht findest. Es scheint, als habe AdAware Probleme mit diesem Backdoor, schmeist in letzter Zeit einige false positves aus.
Scanne die Datei c:\windows\services.exe
bei virustotal und jotti, bei negativem Ergebnis ist alles gut.

Gruß

Schrulli

Hallo Schrulli,

habe die Services.Exe datei sowohl bei Jotti also auch bei Total Whatever gescannt. Ergebnis: no virus.

Ich muss zugeben, daß ich allerdings trotzdem etwas versunsichert bin, da ja nicht nur Adware sondern auch eScan infizierte Datein gefunden hat. Sind die eScan Meldungen auch false positves?


Viele Grüße

NoClue