|
Registry Trace installiert sich bei Systemstart immer wieder neu Hallo, seit kurzem habe ich ein Problem, mit einem Registry Trace, der sich bei jedem Systemstart wieder neu installiert. Durch einen Scan mit AdAware und A² wird das Trace zwar gefunden und lässt sich entfernen, aber wie gesagt kommt es nach jedem Neustart wieder. Dass ich neue Software installiert hätte, durch die das kommen könnte, wüsste ich nicht. Könnt ihr mir weiterhelfen? Location des Registry Traces: Value: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop --> Toolbars HJT-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 08:45:52, on 05.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RAMASST.exe D:\Programme\Browsers\Firefox\firefox.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\Mail\thunderbird.exe C:\Dokumente und Einstellungen\***\Desktop\QuickSoft\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://scholar.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [pcwKillMRU] D:\Programme\KILL-MRU-Entries\pcwKillMRU.vbs /s O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120219749375 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) Danke Piratenbraut |
Hallo piratenbraut, kennst du diesen Eintrag? Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) Deaktiviere Teatimer, dann diesen zwei einträge in den abgesicherten Modus fixen. O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab neu booten, scanne dein System mit escan chaosman |
|
Hallo Chaosman und Cosinus. danke für die Hilfe, aber das Problem existiert immer noch und ich fange an zu verzweifeln. Hier die Schritte die ich gemacht habe. 1. WinPcap deinstalliert 2. Escan runtergeladen, installiert im abgesicherten Modus ausgeführt und log erstellt. Dabei wurde mir angzeigt, dass das System mit der Spyware Ezula infiziert ist. Ich lud das Removal Tool für Ezula von Symantec runter. Der Scan brachte kein Ergebnis für Ezula. 3. bei google gesucht und den Hinweis auf den Trojaner Swizzor bei Sophos gefunden. jetzt weiss ich aber nicht, ob es der wirklich ist. Für Swizzor müssten auch zwei Dateien infiziert sein, bei mir ist es nur eine. 4. Ausserdem habe ich noch einen kompletten AntiVir Scan laufen lassen, auch ohne Ergebnis. Hier der Log von HJT, der plötzlich sehr anders und komisch aussieht, was den Winows Messenger angeht. Der ist eigentlich deaktiviert. (was hat es mit dem O10 plötzlich auf sich? Ein WinsockVirus?:pukeface: ) und das log von escan (escan_neu): Nochmal Danke, dabei wäre das Wetter endlich mal erträglich heute.:heulen: Grüsse piratenbraut HJT *** Logfile of HijackThis v1.99.1 Scan saved at 15:17:37, on 05.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\WINDOWS\system32\RAMASST.exe C:\PROGRA~1\ESCAN\SPOOLER.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\kavss.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe D:\Programme\Browsers\Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\QuickSoft\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://scholar.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [pcwKillMRU] D:\Programme\KILL-MRU-Entries\pcwKillMRU.vbs /s O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h++p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120219749375 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E931198F-1993-4FD2-8FA3-A68DD512E249}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE Escan: ***** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 05 13:16:32 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Fri May 05 13:16:32 2006 => Offending file found: C:\Dokumente und Einstellungen\trt\Desktop\internet.lnk ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 05 13:21:18 2006 => Total Errors: 3 Fri May 05 13:21:18 2006 => Time Elapsed: 00:05:35 Fri May 05 13:21:18 2006 => Total Objects Scanned: 17808 Fri May 05 13:21:18 2006 => Virus Database Date: 5/5/2006 |
...dazu kommt dass das System seit ca. 2 Stunden unbrauchbar ist und voll ausgelastet. Programme öffnen und schliessen nicht mehr anständig etc. das war heute morgen definitiv noch nicht so.... keine ahnung was da los ist... |
Hallo, das kommt daher, dass du eine falsche Escan Version installiert hast, du hättest die Freeware Version (Escan MWAV) installieren sollen. Deinstalliere Escan wieder (dann sollten auch die O10 Einträge wieder weg sein). Die ICQ Toolbar hast du nicht erst kürzlich installiert? Ansonsten kann ich erstmal kein Problem ausmachen, hast du noch einen genaueren Pfad den Ad-Aware oder A2 angeben? Wie kommst du auf Swizzor? Finde nichts was darauf hinweist. Grüße Wildone |
Hi, besten Dank, das war es. Da hatte sich mit dieser Version von escan ein Programm mwagent.exe von microworld hochgeladen, das zwei fressende Prozesse verursachte. Jezt läuft der Rechner wenigstens wieder. Leider läd sich dieses dumme trace, das eigentliche problem, immer noch hoch. IM HJT stimmt auch wieder alles mit O10. Das ICQ Toolbar habe ich deinstalliert. Ich werde morgen nochmal das richtige escan-version installieren und damit scannen. Die Ergebnisse poste ich wieder rein. Bis dahin schönen abend noch, ich muss raus... piratenbraut |
Hallo, Zitat:
Poste noch mal die Adaware Meldung mit genauem Wortlaut. Grüße Wildone |
Hallo, das Problem hat sich erledigt. Escan hat eine Datei als mit esula-spyware/adware infiziert angezeigt. Eine internet.lnk auf dem Desktop sollte infiziert sein. War aber ein Fehlalarm, da ich diese Datei kenne. Das Google-Toolbar war schuld, das ich nicht wissentlich installiert hatte. Nach der Deinstallation waren nicht alle Dateien gelöscht. Nach dem ich den Ordner des Toolbars in Programme gelöscht habe gibt es kein Trace mehr nach dem Neustart. Danke für Eure Hilfe und erfolgreiche weitere Jagd... priatenbraut |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board