Trojaner-Board - Löschen eines Registryeintrag erfolglos

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Löschen eines Registryeintrag erfolglos (https://www.trojaner-board.de/65807-loeschen-registryeintrag-erfolglos.html)

Löschen eines Registryeintrag erfolglos

Guten Abend, ich bin neu hier und komme gleich zum Thema
(ich hab' da mal'n Problem *sigh*)

OS:
Windows XP pro (5.1.2600) SP3

Antiviren:
Avast pro 4.8
Trojan Remover 6.7.4
Spybot S&D 1.6.0.31 (+ inst. teatimer)

Internet:
Zugang aus Netzwerk über Router

Browser:
Mozilla Firefox 3.0.4

Vor einiger Zeit schlug Spybots Teatimer Alarm, als ich einen Download instalieren wollte. Eigentlich normal, mir kamen die gewünschten RegEinträge merkwürdig vor, weshalb ich die Installation dann abbrach. Zu spät!!!

Einige RegAnweisungen und, was weiß ich, konnten installiert werden. Leider nicht ausreichend, um meinen Rechner komplett zu verseuchen, denn nun habe ich das Problem, dass ich nicht herausbekomme, um welche Art der Kontaminierung es sich handelt. Nur so viel:

In die Registry wird bei jedem PC-Start eine Startanweisung geschrieben:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"t66UB7NDu"="\"C:\\Dokumente und Einstellungen\\ITSME\\Anwendungsdaten\\kw7UwzOeS.pif\""

Löschen hat keinen Sinn, ist nach dem nächsten reboot wieder da. Die kw7UwzOeS.pif gibt es übrigens auch nicht.

Mein Versuch, den Virus, Trojaner, was auch immer zu ergooglen ist sinnlos, die Dateinamen sind wohl zufällig generiert.

Scans mit den o.A. Tools zeigen mir keinen Befall an. Ausserdem habe ich noch mal VundoFix im abgesichtern Modus laufen lassen, sowie mich durch sämtliche Dienste gewühlt.

Therotisch könnte ich mit dem "Kontaminierus Interruptus" leben, doch die Vorstellung, dass mein System nicht wirklich sauber ist, nervt mich doch.
Und bevor ich es letztendlich doch neu aufsetzte, frage ich hier um Rat.

Anbei die HiJackThis-Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:29, on 04.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\oodtray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Programme\MagicISO\MagicDisc\MagicDisc.exe
D:\Win-App\system\TrayIt!\TrayIt!.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] D:\PROGRA~1\BenQ\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [t66UB7NDu] "C:\Dokumente und Einstellungen\ITSME\Anwendungsdaten\kw7UwzOeS.pif"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Programme\MagicISO\MagicDisc\MagicDisc.exe
O4 - Startup: TrayIt!.lnk = D:\Win-App\system\TrayIt!\TrayIt!.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02FB3622-6E20-414D-B646-D92C339A2646}: NameServer = 192.XXX.XXX.XXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{02FB3622-6E20-414D-B646-D92C339A2646}: NameServer = 192.XXX.XXX.XXX
O17 - HKLM\System\CS2\Services\Tcpip\..\{02FB3622-6E20-414D-B646-D92C339A2646}: NameServer = 192.XXX.XXX.XXX
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

:dankeschoen::rolleyes:

Hallo,
nachdem die Resonanz auf meine Anfrage doch etwas mager ausgefallen ist, :( möchte ich meine Fragestellung noch eben um einen Punkt erweitern, nämlich:

Wie kann ich herausfinden, welche Datei welchen Eintrag in die Registy macht?

Dies bezieht sich auf mein bereits geschildertes Problem. Mir kam die Idee, dass ich die verseuchte Datei löschen könnte, wenn ich wüßte welche das ist. (Oder eben gegebenfalls austauschen)
Allerdings habe ich als Anhaltspunkt nur einen Registryeintrag, der sich zwar löschen lässt, jedoch nach jedem Neustart wieder eingetragen ist.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"t66UB7NDu"="\"C:\\Dokumente und Einstellungen\\ITSME\\Anwendungsdaten\\kw7UwzOeS.pif\""

Gibt es da ein entsprechendes Suchtool oder kann ich das mit Windowsbordmitteln rausfinden?

Wieder Danke

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat:

O4 - HKCU\..\Run: [t66UB7NDu] "C:\Dokumente und Einstellungen\ITSME\Anwendungsdaten\kw7UwzOeS.pif"

klicke: Fix checked

Benutze malwarebytes-anti-malware
http://www.trojaner-board.de/51187-a...i-malware.html
Note: Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen
Und poste das Log

Hi Argus,

Anti Malware hat tatsächlich zwei Einträge gefunden.
(Das einzige Programm, das ich noch nicht ausprobiert hatte)

Und diese beka.ckte "0pop.dll" hatte ich schon mal in Verdacht, aber weil beim scannen nichts angezeigt wurde, dachte ich, die sei Bestandteil von O&O Defrag. Ich habe den Namen wohl auch falsch gelesen. Zu der DLL stand irgendwie sowas wie "Bla, bla Diskloader...." (Wenn man keine Ahnung hat...)

So, wollte erstmal posten. Nun der Neustart. Wenn es das war, schulde ich Dir was ;o)

lg

Anbei der Log:

Zitat:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1501
Windows 5.1.2600 Service Pack 3

15.12.2008 17:13:59
mbam-log-2008-12-15 (17-13-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 46914
Laufzeit: 2 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fcaddc14-bd46-408a-9842-cdbe1c6d37eb} (Spyware.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\0pop.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Mist, hat nicht funktioniert... :(

Nun weiß ich immerhin, daß mein System verseucht ist, da fällt mir die Neuinstallation, vor der ich mich seit Wochen drücke, dann nicht ganz so schwer.
(Glücklicher Weise zweit OS, welches aber eigentlich nicht zerschossen werden sollte)

Den Versuch war es wert, vielen Dank für Deine Hilfe Argus

Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen!
Starte dazu Spybot S&D,
klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Download ResetTeaTimer zum Desktop
Doppelklik ResetTeaTimer
Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten!
Note:ResetTeaTimer nicht fuer Vista

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche C:\Dokumente und Einstellungen\ITSME\Anwendungsdaten\kw7UwzOeS.pif und klicke OK

Hm Argus, den TeaTimer zurückstellen ist eine gute Idee.
Welch Glück, dass ich so eine faule S** bin. Denn nun will ich's wissen. ;)
Werde dann berichten.

Allerdings sind meine Ordneroptionen ohnehin schon umgstellt und die besagte *.pif Datei habe ich bereits vor Wochen manuell gelöscht. Ich habe zwar wenig Ahnung vom Ummgang mit Viren, aber ganz blond bin ich denn doch nicht ;)

Auch dieser Hinweis von Dir klang nach besagtem Strohhalm...
Leider war das nichts. Ich hatte gehofft, dass der resetete teatimer den Eintrag noch einmal als Warnung rausgibt und ich dann im Log nachsehen kann, was er den geblockt hat. Wurde aber nicht erkannt - MIST!

Die Idee, die *pif Datei mit Anti Malware zu löschen war vom Ansatz auch klasse, nur ahnte ich schon, das es nichts bringen wird, weil ich die bereits entfernt hatte.

Du siehst, ich habe da wirklich ein Problem. Der Trost dabei - deshalb habe ich das OS auch so auf dem PC belassen - ist der, dass sich dieser Virus nicht ausführen kann, weil er eben unvollständig installiert ist.

Und noch einmal bedanke ich mich bei Dir für Deine Zeit und Mühe

pretty good job

Aber es muss doch herauszufinden sein, woher dieser Registryeintrag kommt, welches Programm oder welche Datei dafür verantwortlich ist???
Mittlerweile habe ich den IE7 im Verdacht. Denn das aktuelle IE Update (KB958217) bricht mit einer Fehlermeldung ab. Vielleicht sollte ich den mal komplett deinstallieren, mal sehen was passiert.

ALTER, ICH BIN IHN TATSÄCHLICH LOS GEWORDEN! *froi deLuxe*

Es lag tatsächlich am IE. Was habe ich gemacht:

Systemwiederherstellung aller Laufwerke deaktiviert
Mit windowseigenen Installer IE7 deinstalliert
Fragmente aus dem Internet Explorer Ordner manuell gelöscht
geschützte DLLs via Unlocker in's Datennirvana befördert (tauchten aber nach kurzer Zeit wieder auf, soll wohl so sein)
besagten Registryeintrag manuell gelöscht
CCleaner nochmal die Registry checken, und gefundene Einträge entfernen lassen
NEUSTART

TADAAAA! Problem gelöst *sing-säge-JEP!*

Dennoch Argus, ohne Deine Anregungen hätte ich das auf keinen Fall hinbekommen und würde wohl noch in 1000 Jahren darüber grübeln.
Dank Dir habe ich denn auch Anti-Malware in meine Samlung "nützliche Tools" aufgenommen. Ausserdem habe ich mir eingestehen müssen, dass ich doch nicht sooo der tolle User bin, wie ich bis dato immer annahm.
(Immerhin 20 Jahre PC Umgang - NOOB forever!^^)

P.S. Leider musste ich diesen Threat mit meinen Posts vollspamen, weil mir euer Forum immer die Meldung gab, dass ich zum editieren keine Berechtigung hätte und mich neu einloggen soll! (?) Bitte um Nachsicht

Man lernt jeden Tag dazu :) (Ich auch)

Ich weiss nicht ob Microsoft KB890830 auf dein Rechner installiert ist wenn ja
Start>>Ausführen>>gib ein mrt klicke OK
Es dauert ein bisschen aber dan hat man ein Microsoft scanner zur Hand :)

Jep, das KB ist installiert. Werde es mal ausprobieren. Den IE7 lasse ich ersteinmalweg, habe den sowieso nur zum testen meiner HP-Gestaltung benutzt.

THX