Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.10.2010, 19:46   #1
caecilia
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi,

mir ist es jetzt auch passiert - ich habe mir einen Trojaner eingefangen

Symptome waren

a) Firefox stürzt beim Start ab - IE funktioniert, bleibt aber auch öfter "hängen"
b) Windows Update funktioniert nicht (benutze Windows 7)
c) Lenovo Update funktioniert nicht
d) MS Security Essentials kann die neusten Virendefinitionen nicht downloaden

Was ich dann gemacht habe

a) McAffee Stinger benutzt: 2 Trojaner identifiziert und entfernt
b) BitDefender benutzt: 1 Trojaner identifiziert (Backdoor.Bot.128189) und entfernt

Symptome waren immer noch da. Dann bin ich auf dieses Forum gestossen und habe

a) 4 x Malewarebytes laufen lassen. Es wurde immer wieder der gleiche Trojaner (sah zumindest für mich so aus) identifiziert und entfernt - beim letzten Mal war das Logfile aber sauber
b) OLT laufen lassen

Die Logfiles sind im Anhang. Ich kann den OLT nicht interpretieren - Hilfe! Bin ich den Trojaner jetzt los???

Danke!!!
caecilia

Alt 22.10.2010, 06:48   #2
Chris4You
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi,

Achtung: Falls noch nicht erfolgt, von einem sauberen Rechner aus SOFORT alle Passwörter ändern (Ebay etc.). Die werden mit "abgefischt".

Der Banker ist noch da:
O36 - AppCertDlls: Dismtray - (C:\Windows\system32\charicli.dll) - C:\Windows\System32\charicli.dll ()

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:
Code:
ATTFilter
C:\Windows\System32\charicli.dll
         
hoch.

Ich möchte was probieren, Cureit sollte Ihn finden, falls nicht werden wir ihn mit OTL "ausheben"...

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris
__________________

__________________

Alt 22.10.2010, 07:32   #3
caecilia
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi Chris,

super-vielen Dank für deine Nachricht! Dachte mir schon, dass es das noch nicht gewesen ist - mist. Werde gleich noch die Passwörter ändern und mich dann wieder melden.

Danke!!!
caecilia
__________________

Alt 22.10.2010, 07:42   #4
Chris4You
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi,

lade die Datei wie beschrieben bei uns hoch...

Dann Dr. Web/Cureit laufen lassen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.10.2010, 08:11   #5
caecilia
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Ok, habe die Datei hochgeladen und lasse jetzt Dr. Web laufen. Der Scan hat auch bereits etwas gefunden - soll ich das dann gleich entfernen?

Danke & LG


Alt 22.10.2010, 08:16   #6
caecilia
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi Chris,

du hattest recht, genau in dieser "charicli.dll" Datei - lasse die jetzt desinfizieren und den Scan weiterlaufen.

caecila

Alt 22.10.2010, 08:33   #7
Chris4You
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi,

gut, es ist lt. virustotal.com der einzigste scanner der das teil kennt... tzzz...

Poste wie beschrieben das Log von Dr. Web (nur die Zeilen mit "infiziert") und erstelle und poste ein neues OTL-Log...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.10.2010, 09:59   #8
caecilia
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi Chris,

Quickscan von Dr. Web ist durchgelaufen, jetzt laeuft der Komplettscan - der dauert ewig, bitte nicht weggehen!!!

caecilia

Alt 22.10.2010, 18:38   #9
Chris4You
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi,

und was sagt der gute Dr. Web?
Poste danach bitte auch noch ein neues OTL-Log...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.10.2010, 19:09   #10
caecilia
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi Chris,

Dr. Web laeuft immer noch. Ist das normal, dass es so lange dauert? Der Scan laeuft jetzt ca. 9 h und wie es aussieht, braucht er noch mal 9 h. Er hat aber den "charicli.dll" gefunden und noch drei andere Sachen (java downloader?). Fuerchte ich werde das logfile erst morgen frueh posten koennen - bist Du morgen evtl. auch online??? Waere super...

Vielen, vielen Dank!
caecilia

Alt 22.10.2010, 19:20   #11
Chris4You
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi,

gegen Abend oder Nachmittag vielleicht...
Du könntest offline gehen und dann Deinen eigenen Scanner/Guard abschalten, so wird wahrscheinlich alles zweimal gescannt, erst prüft der eine dann der andere Scanner die Datei...

Java wird zur Zeit gerne verseucht bzw. liegt die Malware im deployment-cache... Den würde ich dann auch ganz löschen, nach ende des scanns:

Deployment-Cache löschen:
Folge den Anweisungen auf dieser Seite
Virus im Cache-Verzeichnis von Java Runtime Environment (JRE) gefunden
und dann dem Abschnitt "Lösung"...

Allerdings sind 18h Laufzeit ungewöhnlich...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.10.2010, 21:19   #12
caecilia
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi Chris,

bin jetzt offline, allerdings kann ich meinen Virenscanner nicht unterbrechen, da der Dr. Web im erweiterten Schutzmodus arbeitet. Dr. Web arbeitet nur mit 26 kb/s. Liegt vermutlich an meinem eigenen Virenscanner, mist...

Werde das dann mit dem Cache gleich nach dem Scan machen. Danke!

Melde mich dann morgen mit den logs!
LG
caecila

Alt 22.10.2010, 23:12   #13
Chris4You
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi,

ok, bis heute Abend...
Ich sollte jetzt auch Schluß machen....

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 23.10.2010, 08:40   #14
caecilia
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi Chris,

endlich ist der Komplettscan von Dr. Web durch. Hier die Teile vom log zu "infiziert":

[Speicherscannen] Speichervorgang: C:\Windows\System32\svchost.exe:1036 infiziert mit BackDoor.Tdss.565 – beseitigt
Master Boot Record HDD1 infiziert mit BackDoor.Tdss.4005
C:\Windows\system32\charicli.dll infiziert mit BackDoor.Spy.649 – gelöscht

"Hier musste ich dann einen Neustart machen, um den "Master Boot Record HDD1 infiziert mit BackDoor.Tdss.4005" zu entfernen. Das, was jetzt kommt, interpretiere ich so, dass es entfernt wurde, ja?"

Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK
OS/2 or WinNT Boot Sector HDD1 - OK

"Dann der Komplettscan"

>C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache2340189119492130117.tmp/cale/calecalea.class infiziert mit Java.Downloader.93
C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache2340189119492130117.tmp - Archiv enthält infizierte Objekte – verschoben
>C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache933845442483268437.tmp/JavaUpdater.class infiziert mit Java.Downloader.106
C:\Documents and Settings\XXX\AppData\Local\Application Data\Temp\jar_cache933845442483268437.tmp - Archiv enthält infizierte Objekte – verschoben
C:\Documents and Settings\XXX\Desktop\charicli.dll infiziert mit BackDoor.Spy.649 – gelöscht
>C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache2340189119492130117.tmp/cale/calecalea.class infiziert mit Java.Downloader.93
C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache2340189119492130117.tmp - Archiv enthält infizierte Objekte – verschoben
>C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache933845442483268437.tmp/JavaUpdater.class infiziert mit Java.Downloader.106
C:\Documents and Settings\XXX\DoctorWeb\Quarantine\jar_cache933845442483268437.tmp - Archiv enthält infizierte Objekte – verschoben

=============================================================================
Gesamtsitzungsstatistik
=============================================================================
Gescannt: 1287175
Infiziert: 5
Modifikationen: 0
Verdächtig: 0
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 1
Umbenannt: 0
Verschoben: 4
Ignoriert: 0
Geschwindigkeit:: 35 Kb/s
Dauer:: 14:32:19
=============================================================================

Hat also nicht 19 h, sondern 14,5 h gedauert Als ich die Internetverbindung unterbrochen habe, ging es schneller. Ich habe jetzt noch die 4 Objekte im DoctorWeb\Quarantine. Die müssen noch gelöscht werden, ja? Ich hatte die empfohlenen Einstellungen für Dr. Web genutzt. Wie lösche ich die Dinger jetzt?

Habe dann Deinen Rat befolgt und den Java Cache manuell gelehrt.

Dann noch mal OLT laufen lassen, die Files sind anbei. Was machen wir jetzt?

Danke & LG,
caecilia

Alt 23.10.2010, 19:34   #15
Chris4You
 
Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Standard

Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



Hi,

JAVA
Deine Javasoftware ist veraltet!
Download Java-Downloads für alle Betriebssysteme
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus die neue Version!


OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
DRV - (vpnva) -- C:\Windows\System32\DRIVERS\vpnva.sys File not found
DRV - (upperdev) -- C:\Windows\System32\DRIVERS\usbser_lowerflt.sys File not found
DRV - (SASKUTIL) --  File not found
DRV - (SASDIFSV) --  File not found
DRV - (pccsmcfd) -- C:\Windows\System32\DRIVERS\pccsmcfd.sys File not found
DRV - (DwProt) --  File not found
DRV - (DgiVecp) -- C:\Windows\System32\Drivers\DgiVecp.sys File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O33 - MountPoints2\{3595106d-80a4-11df-a923-00059a3c7a00}\Shell - "" = AutoRun
O33 - MountPoints2\{3595106d-80a4-11df-a923-00059a3c7a00}\Shell\AutoRun\command - "" = E:\autorun.exe -- File not found
O33 - MountPoints2\{36b76c7d-ac1f-11df-a9cd-0021869871ab}\Shell - "" = AutoRun
O33 - MountPoints2\{36b76c7d-ac1f-11df-a9cd-0021869871ab}\Shell\AutoRun\command - "" = E:\autorun.exe -- File not found

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[EMPTYFLASH]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL


System Reparieren:
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
Advanced SystemCare Free Download Review for Windows XP/Vista/7 | IObit
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

Die Quarantäne von CureIT sollte sich unter C:\Dokumente und Einstellungen\<DeinBenutzername>\DoctorWeb befinden und kann gelöscht werden...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
bitdefender, defender, firefox, forum, funktioniert, funktioniert nicht, gen, hilfe!, hängen, ide, lenovo, logfile, logfiles, microsoft, ms security essentials, neuste, security, software, start, stinger, trojaner, trojaner eingefangen, update, version, windows, windows 7, windows update




Ähnliche Themen: Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\


  1. Data Found : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\ProgramData\SecurityUtility\SecurityUtility32.dll
    Plagegeister aller Art und deren Bekämpfung - 27.08.2015 (1)
  2. 2 Trojaner gefunden HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Ytnaopy
    Log-Analyse und Auswertung - 24.05.2013 (56)
  3. Trojaner in HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nicht dauerhaft löschbar
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (32)
  4. Trojaner Trojan.Agent.Gen in HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Run¦1
    Log-Analyse und Auswertung - 02.02.2013 (24)
  5. Trojan.Ransom Registry Value HKCU\SOFTWARE\Microsoft\Windows\NT\CurrentVersion\Windows|Load
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (31)
  6. Trojan.Ransom Registry Value HKCU\SOFTWARE\Microsoft\Windows\NT\CurrentVersion\Windows|Load
    Plagegeister aller Art und deren Bekämpfung - 26.08.2012 (10)
  7. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom)
    Plagegeister aller Art und deren Bekämpfung - 20.07.2012 (10)
  8. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    Log-Analyse und Auswertung - 22.04.2012 (3)
  9. BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (7)
  10. Gleiches Problem wie Backdoor.Agent in HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Sh
    Plagegeister aller Art und deren Bekämpfung - 06.03.2012 (12)
  11. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer
    Plagegeister aller Art und deren Bekämpfung - 06.03.2012 (54)
  12. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-.....
    Plagegeister aller Art und deren Bekämpfung - 29.02.2012 (26)
  13. Backdoor.Agent in HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell
    Plagegeister aller Art und deren Bekämpfung - 28.01.2012 (13)
  14. Virus/Rootki Problem:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyS
    Plagegeister aller Art und deren Bekämpfung - 20.10.2010 (21)
  15. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (27)
  16. HKEY_CURRENT_USER/Software/Microsoft...
    Plagegeister aller Art und deren Bekämpfung - 21.09.2009 (40)
  17. O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
    Mülltonne - 02.12.2008 (0)

Zum Thema Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - Hi, mir ist es jetzt auch passiert - ich habe mir einen Trojaner eingefangen Symptome waren a) Firefox stürzt beim Start ab - IE funktioniert, bleibt aber auch öfter "hängen" - Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\...
Archiv
Du betrachtest: Trojaner: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.