Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   "sonderbare" Einträge in der Registry (https://www.trojaner-board.de/70364-sonderbare-eintraege-registry.html)

tapsi_turvy 24.02.2009 10:52
"sonderbare" Einträge in der Registry
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo Leute,

ich habe eine kleine Frage. Ich war mit dem Computer meiner Mutter im Internet. Daraufhin hat sich ständig ZoneAlarm gemeldet und einen Port-Zugriff gemeldet, alle paar Sekunden, die Ports wurden durchgezählt. Ich dachte schon, ich hätte ein Problem, hab Avast, Spybot, Malwarebytes, Dr. Web Bootscan und Bitdefender drüberlaufen lassen, die haben aber alle nichts gefunden und die Ports wurden jedes mal, wenn ich online war weiter druchgezählt.

Daraufhin habe ich mit der Systemwiederherstellung einen alten Wiederherstellungspunkt gewählt. Danach hat das Port-zählen bei ZoneAlarm aufgehört. Spaßenshalber habe ich mal einen Blick in die Registry geworfen (hab nichts angefaßt, kenn mich da auch nicht mit aus), und eine Reihe sonderbarer Einträge gefunden, die wie Internet-Adressen aussehen. Hier mal ein paar Bildchen.

tapsi_turvy 24.02.2009 10:54
Hier ist ein hjt logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52:49, on 24.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CmUCReye.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Pocket Web Sync\PocketWebSync.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mspaint.exe
C:\Dokumente und Einstellungen\Waltraud\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OgoSync] C:\Programme\Pocket Web Sync\PocketWebSync.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.pcwelt.de/_misc/bitdefender/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7898 bytes

tapsi_turvy 24.02.2009 10:55
Es wäre wirklich toll, wenn einer von Euch drüberschauen könnte und mir sagen kann, ob ich da ein Problem habe.

Liebe Grüße,
tapsi

Chris4You 24.02.2009 11:03
hi,

das HJ-Log zeigt nichts auffälliges...

chris

tapsi_turvy 24.02.2009 11:06
Hallo Chris,

danke für Deine schnelle Antwort. *uff* Das ist ja schon mal gut.

Und so komische Einträge in der Registry sind normal? Oder zumindest unschädlich?
Ich kenn mich mit Registry nicht aus, hab nur spaßenshalber reingeschaut, weil das mit der Systemwiederherstellung geklappt hat.

tapsi

undoreal 24.02.2009 11:12
Hey tapsi.

In welchem Ordner sind die Einträge zu finden?
Das sieht mir nach einen Spybot-Anschlag aus. Das Programm ist nicht so besonders toll... Solltest du deinstallieren!

Poste mal bitte einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.
Tauchen da die gleichen Einträge unter 032 033 redirected auf? Wenn ja dann stammen sie in der Tat von Spybot.

tapsi_turvy 24.02.2009 11:29
Hallo undoreal,

hm, Spybot hatte ich schon gelöscht, ist auch unter Systemsteuerung > Software nicht mehr zu finden. Allerdings ist der "TeaTimer" noch in C:/Programme/Spybot. Kann ich den einfach so löschen ohne ein uninstal.exe zu haben?

Die Einträge sind in der Registry im Ordner
Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains.

tapsi_turvy 24.02.2009 11:34
Willst Du wirklich den ganzen iclean-Bericht haben?
Ich habe die 032 und die 033 Einträge größtenteils rausgelöscht, aber der Bericht hat, wenn man ihn in Word kopiert, immer noch 203 Seiten. Fast alles, nämlich ab Seite 6, sind Einträge unter 127.0.0.1.

Aber die Einträge unter 032 und 033 sind größtenteils dieselben.

Hier mal nur mit dem Anfang von 127.0.0.1:

iclean log 24.02.2009 11:19:07

Windows XP SP3, Using advanced Kernel functions

Processes
---------
512 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
576 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
600 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
644 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
656 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
884 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1116 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1440 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1500 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1580 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1892 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
1924 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1932 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1988 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1996 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
2016 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2032 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
184 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
196 - PocketWebSync.e - PocketWebSync.e
200 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
208 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
264 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
372 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
680 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
1672 - c:\programme\a-squared free\a2service.exe - a-squared Service (Signed)
1080 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
2072 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
2140 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2504 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2784 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3084 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3360 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
1180 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
3996 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2396 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
876 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\a-squared free\a2service.exe=a2free
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=BITS
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null)
031=Toolbar: ITBar7Layout=(null)
032=RestrictedZOne: *.008i.com
032=RestrictedZOne: *.010402.com
032=RestrictedZOne: *.17-plus.com
032=RestrictedZOne: *.171203.com
032=RestrictedZOne: *.20x2p.com
032=RestrictedZOne: *.2ndpower.com
032=RestrictedZOne: *.3721.com
032=RestrictedZOne: *.39-93.com

...noch viel mehr 032 (gelöscht)

033=RestrictedZOne: *.008i.com
033=RestrictedZOne: *.010402.com
033=RestrictedZOne: *.17-plus.com
033=RestrictedZOne: *.171203.com
033=RestrictedZOne: *.20x2p.com
033=RestrictedZOne: *.2ndpower.com
033=RestrictedZOne: *.3721.com
033=RestrictedZOne: *.39-93.com

...noch viel mehr 033 (gelöscht)

032=RestrictedZone: install.007guard.com
032=RestrictedZone: the.007guard.com
032=RestrictedZone: w*w.007guard.com
032=RestrictedZone: w*w.install.007guard.com
032=RestrictedZone: w*w.the.007guard.com
032=RestrictedZone: w*w.008k.com
032=RestrictedZone: w*w.00hq.com
032=RestrictedZone: 80gw6ry3i3x3qbrkwhxhw.032439.com
032=RestrictedZone: w*w.032439.com
032=RestrictedZone: w*w.0scan.com

...noch viel mehr 032 (gelöscht)

033=RestrictedZone: install.007guard.com
033=RestrictedZone: the.007guard.com
033=RestrictedZone: w*w.007guard.com
033=RestrictedZone: w*w.install.007guard.com
033=RestrictedZone: w*w.the.007guard.com
033=RestrictedZone: w*w.008k.com
033=RestrictedZone: w*w.00hq.com
033=RestrictedZone: 80gw6ry3i3x3qbrkwhxhw.032439.com
033=RestrictedZone: w*w.032439.com
033=RestrictedZone: w*w.0scan.com

...noch viel mehr 033 (gelöscht)


Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 w*w.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 w*w.008k.com
127.0.0.1 008k.com
127.0.0.1 w*w.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 w*w.032439.com
127.0.0.1 032439.com
127.0.0.1 w*w.0scan.com

Liebe Grüße,
tapsi

undoreal 24.02.2009 11:44
Jo, da war Spybot am Werk. Deinstalliere den Mist!
Überprüfe danach wiederum mit iClean ob die 032 und 033 Einträge sowie die 127.0.0.1 localhost gelöscht wurden.

tapsi_turvy 24.02.2009 11:45
Ui, hab gerade gesehen, da steht ja drüber:

Zitat:
127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy

Dann war das wohl wirklich das gemeingefährliche Spybot, unverschämtes Ding. :Boogie:

tapsi

undoreal 24.02.2009 11:48
Folgende Einträge solltest du mit iClean reparieren lassen:
Zitat:
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=(null)
PS: a-Squared würde ich aus dem Autostrat nehmen => den Hintergrund.Wächter deaktiveren.

tapsi_turvy 24.02.2009 11:48
Wie gesagt: Deinstalliert ist Spybot schon, kein Eintrag mehr unter Systemsteuerung > Software, aber in c:/Programme/Spybot sind noch Ordner. Da ist zwar keine spybot.exe oder so, aber der TeaTimer ist noch da. Wenn ich den Ordner in C: jetzt einfach lösche, sind die Einträge ja weiter in der Registry. Oder soll ich die einfach drin lassen? Ist halt arg unübersichtlich...

Liebe Grüße,
tapsi

tapsi_turvy 24.02.2009 11:50
Oh, da ist ja schon wieder ein Tip. Das werd ich gleich mal reparieren.

undoreal 24.02.2009 11:55
Hmpf. Das ist mal wieder super.
Bevor wir das manuell versuchen mach mal folgendes:
Installiere Spybot wieder :rolleyes:
und führe die Immunisierung durch. Ich hab' jetzt hier grade keines installiert aber ich erinnere mich dunkel, dass es da eine Option gab um alle Änderungen rückgängig zu machen die Spybot veranstalltet hat.
Nutze diese Option.

Nun sind die Einträge hoffentlich weg.?

tapsi_turvy 24.02.2009 11:56
Hab auf "repair" gedrückt. Daraufhin hat iclean gesagt, es wäre unable to repair


HKEY_CLASSES_ROOT\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}


Die Einträge, die Du genannt hast, sind jetzt aber beide nicht mehr in der iclear-Ansicht drin.

tapsi

tapsi_turvy 24.02.2009 12:10
Ui, das war ja eine prima Idee: Alles weg! :aplaus:

Und der iclean-Report ist jetzt so schön kurz:



iclean log 24.02.2009 12:07:55

Windows XP SP3, Using advanced Kernel functions

Processes
---------
512 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
576 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
600 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
644 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
656 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
884 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1116 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1440 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1500 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1580 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1892 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
1924 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1932 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1988 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1996 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
2016 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2032 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
184 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
196 - PocketWebSync.e - PocketWebSync.e
200 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
208 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
264 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
372 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
680 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
1672 - c:\programme\a-squared free\a2service.exe - a-squared Service (Signed)
1080 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
2072 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
2140 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2504 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2784 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3084 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1180 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
3996 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1488 - C:\Programme\Spybot - Search & Destroy\SpybotSD.exe - Spybot - Search & Destroy (Signed)
1956 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
396 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\a-squared free\a2service.exe=a2free
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=BITS
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Layout=(null)
032=RestrictedZOne: *.f*ckdenniss.com
032=RestrictedZOne: *.f*cknicepics.com
032=RestrictedZOne: *.free-f*cking-video.com
032=RestrictedZOne: *.hausaufgaben–referate.de
032=RestrictedZOne: *.needf*cknow.com
032=RestrictedZOne: *.satisf*cktion.net
032=RestrictedZOne: *.wwwsearchdrive.info
032=RestrictedZOne: *.{undo}888.com
032=RestrictedZone: .download-video.12w.net
032=RestrictedZone: w*w.163.com
032=RestrictedZone: site.accessorygeeks.com
032=RestrictedZone: w*w.accessorygeeks.com
032=RestrictedZone: w*w.site.accessorygeeks.com
032=RestrictedZone: w*w.apmebf.com
032=RestrictedZone: w*w.apps.deskwizz
032=RestrictedZone: w*w.bealent.com
032=RestrictedZone: .autocontext.begun.ru
032=RestrictedZone: w*w.by.ru
032=RestrictedZone: .list2007.spywarebot.hop.clickbank.net
032=RestrictedZone: .spywarebot.hop.clickbank.net
032=RestrictedZone: .hacker.com.cn
032=RestrictedZone: urawa.cool.ne.jp
032=RestrictedZone: w*w.emjcd.com
032=RestrictedZone: w*w.filestore.com
032=RestrictedZone: w*w.gamehouse.com
032=RestrictedZone: w*w.hao123.com
032=RestrictedZone: .mn.haoyuming.net
032=RestrictedZone: .ray2jing.go1.icpcn.com
032=RestrictedZone: w*w.kqzyfj.com
032=RestrictedZone: w*w.livenewgambling.net
032=RestrictedZone: w*w.lovedai.cn
032=RestrictedZone: {undo}w*w.meine-grußkarten.de
032=RestrictedZone: search.netzany.co
032=RestrictedZone: w*w.nht-team.org
032=RestrictedZone: .ray2jing.808.nuno.cn
032=RestrictedZone: s17.opentracker.net
032=RestrictedZone: server1.opentracker.net
032=RestrictedZone: w*w.opentracker.net
032=RestrictedZone: w*w.pochta.ru
032=RestrictedZone: .d34s.qfdfqawd.cn
032=RestrictedZone: w*w.richwebplaying.com
032=RestrictedZone: .download-now.rmp1.info
032=RestrictedZone: w*w.securitylab.ru
032=RestrictedZone: .destruktor.to.pl
032=RestrictedZone: .xyk.txshi.com
032=RestrictedZone: w*w.uklotttery.us
032=RestrictedZone: .world-sex.urllogs.com
032=RestrictedZone: .fla.vwdqwnmwk.cn
032=RestrictedZone: w*w.webbrowser.tv
032=RestrictedZone: w*w.wuqing17173.cn
032=RestrictedZone: w*w.w*w-my-spyware-software.info
032=RestrictedZone: ad.yieldmanager.com
032=RestrictedZone: w*w.ad.yieldmanager.com

Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy

tapsi_turvy 24.02.2009 12:11
Nur - wie werd ich jetzt Spybot (vielleicht inklusive TeaTimer) wieder los?
Der Kamerad scheint ja ein bißchen hartnäckig zu sein...

Liebe Grüße,
tapsi

tapsi_turvy 24.02.2009 12:28
Zitat:
Zitat von undoreal (Beitrag 415978)
Folgende Einträge solltest du mit iClean reparieren lassen:


PS: a-Squared würde ich aus dem Autostrat nehmen => den Hintergrund.Wächter deaktiveren.

Ich habe gerade noch mal nach a-squared geschaut:
In Programme > Autostart ist nur mein Drucker.
a-squared ist auch nicht unter Systemsteuerung > Software eingetragen, hat aber trotzdem noch Einträge unter c:/Programme/a-squared.

Soll ich den Ordner einfach löschen?

Liebe Grüße,
tapsi

undoreal 24.02.2009 22:24
a-Squard läuft bei dir als prozess! Muss also definitv noch installiert sein. Und in der Taskleiste unten rechts sollte das Symbol auch auftauchen!

Spybot deinstallieren und den Ordner löschen. Dann die 032 Einträge mit iClean reparieren lassen.
Danach solltest du a-Squared deinstallieren.

tapsi_turvy 25.02.2009 09:10
Hey Du,

lieb, dass Du noch mal vorbeigeschaut hast. :)

Spybot hab ich deinstalliert, den Rest gelöscht.

Soll ich jetzt wirklich alle 032-Einträge mit iclean löschen?

Und das mit a-squared versteh ich leider überhaupt nicht.
Es gibt den Ordner zwar noch, aber da ist nur eine einzige exe-datei drin (und andere Dateien), und zwar a2services.exe. Wenn man da drauf klickt, passiert aber nichts. Naja, zumindest nichts, was ich sehen kann. Das scheint aber genau das Ding zu sein, das unter "Prozesse" läuft.

Unter Systemsteuerung > Software ist a-squared auch nicht eingetragen, und eine uninstall-Datei ist auch nirgends.

Rechts unten in der Taskleiste ist a-squared auch nicht, nur links unten. Aber wenn man draufklickt, findet er die Verweisdatei nicht.

Ich wollte jetzt clever sein und a-squared noch mal installieren und noch mal deinstallieren. Geht aber nicht, weil das Installationsprogramm die Datei a2services.exe nicht ersetzen kann. Wenn ich den Prozess beende, ist er immer sofort wieder da. Hast Du vielleicht noch einen Trick, wie ich die Datei loswerde?

Danke.

Liebe Grüße,
tapsi

undoreal 25.02.2009 11:11
Alle 032 Restricetd Zone Einträge löschen, ja.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Folders to delete:
c:\programme\a-squared free
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach a-Squarde nochmal neuinstallieren, dann wieder deinstallieren und den evtl. verbleibenen Ordner löschen.
Danach cCleaner laufen lassen Punkte1&2.

tapsi_turvy 25.02.2009 12:27
avenger.txt lautet:


Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.



Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\programme\a-squared free" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.






Der Ordner war dann auch weg.

tapsi_turvy 25.02.2009 12:56
Okay. Beim Installieren von a-squared kam zwar die Fehlermeldung: "Beim Installieren von a-squared gibt es folgende Fehlermeldung: Service "a-squared Free Service" failed to install with error: "System Error. Code: 1073. Der angegebene Dienst ist bereits vorhanden."
> ok-Button

Dann hat das Setup aber bestätigt, dass a-squared erfolgreich installiert wurde und es hat sich auch brav deinstallieren lassen, der Ordner samt Inhalt ist weg.

Jetzt bin ich Spybot und a-squared wohl los. *gutfind*

tapsi_turvy 25.02.2009 12:58
Das iclean-log sieht jetzt so aus:

iclean log 25.02.2009 12:55:41

Windows XP SP3, Using advanced Kernel functions

Processes
---------
516 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
580 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
604 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
648 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
660 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
876 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
948 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1040 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1092 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1104 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1364 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1424 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1644 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1676 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1684 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1940 - C:\WINDOWS\Explorer.EXE - Windows Explorer
800 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
836 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
932 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
1028 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
1068 - C:\Programme\Java\jre6\bin\jusched.exe - Java(TM) Platform SE binary (Signed)
1276 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
1316 - PocketWebSync.e - PocketWebSync.e
1592 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
1700 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
1792 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
1820 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
1896 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
176 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
1124 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
788 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
1796 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2280 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2448 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
2916 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3044 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
2812 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
3600 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
3088 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Layout=(null)

Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy

tapsi_turvy 25.02.2009 13:05
@ undoreal:

Vielen lieben Dank fürs Helfen! Das ist echt nett von Dir, dass Du so Leuten wie mir, die sich nur auskennen, wenn alles läuft, auf die Sprünge hilfst.
:daumenhoc

Liebe Grüße,
tapsi

undoreal 26.02.2009 08:38
:) immer gerne.

Ich schreib' dir hier nochmal ein paar Tips zusammen damit du dir keine unnötigen Schutzprogramme installierst:
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
    Mit einem Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
      und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .
  • Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
    .
    Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

tapsi_turvy 26.02.2009 20:42
Hi!

Danke. Hardwaretreiber werde ich in den nächsten Tagen mal suchen und Secunia PSI werd ich mir auch mal anschaun. Internetoptionen werd ich mir jetzt gleich mal vornehmen.

Wenn das alles getan ist, bin ich so sicher, wie man bei aller Unsicherheit sein kann. :heilig:

Vielen Dank noch mal für alles.
Liebe Grüße,

tapsi


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131