Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wiederkehrender Schlüssel zu BHO (TSCOM)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.05.2005, 19:23   #1
jo5
 
Wiederkehrender Schlüssel zu BHO (TSCOM) - Standard

Wiederkehrender Schlüssel zu BHO (TSCOM)



Hallo,

mir macht ein Registry-Eintrag Sorgen, der ein nicht existierendes BHO aktiviert (TSCOM class). Die zugehörige DLL hatte ich vor Monaten gelöscht.
Das unschöne: Nach einem Löschen des Eintrags (mit Autoruns/Sysinternals) wird der Wert nach jedem Systemstart wieder hinzugefügt - MS AntiSpyware meldet das auch brav.

Meine Frage:
Welches Programm mag das tun (evtl. sogar ein Backup-Service von Windows)?
Habt ihr eine Idee, wie ich das rausfinden kann (RegMon und FileMon zeigen nicht den Prozess an, der den Wert schreibt).

(Bereits gescannt mit updated Spybot S&D 1.3 und updated MS AntiSpyware. Ich habe aus dem unteren Log lediglich die Trusted Pages gelöscht.)

Danke! Jo

Logfile of HijackThis v1.99.1
Scan saved at 17:17:31, on 19.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot\TeaTimer.exe
C:\Programme\Downloadspeed\DownloadSpeed.EXE
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\SysInternals\ProcessExplorer\procexp.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
M:\Eigene Dateien\System\Programme\System\HijackThis 1.9901.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: TSCOM Class - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ifupoza.dll (file missing)
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [Downloadspeed] C:\Programme\Downloadspeed\DownloadSpeed.EXE
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2002\Office10\OSA.EXE
O4 - Global Startup: procexp.lnk = C:\Programme\SysInternals\ProcessExplorer\procexp.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Copy Location - C:\WINDOWS\WEB\graburl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI698F~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - hxxp://-Web.Washer-/ie_add
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINDOWS\System32\oline.dll

O15 - Trusted IP range: hxxp://192.168.178.1
O15 - Trusted IP range: hxxp://161.88.248.100
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - hxxp://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O19 - User stylesheet: (file missing)
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Alt 19.05.2005, 19:36   #2
Rene-gad
 
Wiederkehrender Schlüssel zu BHO (TSCOM) - Standard

Wiederkehrender Schlüssel zu BHO (TSCOM)



@jo5
Zitat:
mir macht ein Registry-Eintrag Sorgen, der ein nicht existierendes BHO aktiviert (TSCOM class).
Nur ein? Optimisten kommen in der letzten Zeit selten vor .

Das musst du bestimmt fixen:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: TSCOM Class - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ifupoza.dll (file missing)
O8 - Extra context menu item: &Copy Location - C:\WINDOWS\WEB\graburl.htm
O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINDOWS\System32\oline.dll
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O19 - User stylesheet: (file missing)
Das - nur wenn du diese Adressen nicht genau kennst:
Zitat:
O15 - Trusted IP range: hxxp://192.168.178.1
O15 - Trusted IP range: hxxp://161.88.248.100
Die Dateien im abgesicherten Modus löschen
Zitat:
C:\WINDOWS\System32\webzone.dll
C:\WINDOWS\WEB\graburl.htm
__________________


Alt 19.05.2005, 21:28   #3
jo5
 
Wiederkehrender Schlüssel zu BHO (TSCOM) - Standard

Wiederkehrender Schlüssel zu BHO (TSCOM)



Danke erstmal, Rene.

Habe wie empfohlen gefixt, die Schlüssel
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - (no file)
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
werden aber nach Start nach wie vor neu erstellt.
Die BHOs existieren nicht, die DPF ebenfalls nicht.

Das wundert mich nicht wirklich, waren doch die "gefixten" Stellen mit Ausnahme der obigen und den Trusted IPs einfache 'about:blank-Einträge', sowie die offiziellen 'IE PowerTweaks' von MS (nicht mehr wichtig, aber harmlos).

Bleibt also die Frage, wer oder was mir diese (scheinbar ins Nichts zeigenden) Schlüssel ständig neu erstellt?

Gruß Jo
__________________

Alt 19.05.2005, 22:11   #4
jo5
 
Wiederkehrender Schlüssel zu BHO (TSCOM) - Standard

Wiederkehrender Schlüssel zu BHO (TSCOM)



Ok.
Der Schuldige ist der 'TeaTimer' und 'Downloadblocker' von Spybot S&D.
Der Eintrag TSCOM lässt sich zwar so nicht erklären, taucht aber auch nicht mehr auf.
Danke trotzdem.

Antwort

Themen zu Wiederkehrender Schlüssel zu BHO (TSCOM)
adobe, antispyware, bho, dateien, dll, excel, explorer, file missing, frage, hijack, hijackthis, internet, internet explorer, kaspersky, location, log, löschen, microsoft, monitor, nvidia, programm, programme, prozess, rundll, software, windows, windows messenger, windows xp



Ähnliche Themen: Wiederkehrender Schlüssel zu BHO (TSCOM)


  1. Wiederkehrender Trojaner nach DHL Mail + Spam Mails von meiner Emailaddy - Fremdgesteuert?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2015 (25)
  2. Wiederkehrender Tr/rogue schaden erkennen/tatsächlich entfernt worden?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2014 (10)
  3. wiederkehrender Trojaner unter C:\windows\Installer
    Plagegeister aller Art und deren Bekämpfung - 01.08.2012 (3)
  4. 4096 PGP-RSA Schlüssel
    Log-Analyse und Auswertung - 07.05.2012 (3)
  5. regelmäßig wiederkehrender Firefox Freeze für 1 Minute oder mehr
    Log-Analyse und Auswertung - 12.09.2011 (20)
  6. Immer wiederkehrender Ordner E:\XXX\BµBlµBuµBeµBtµBoµBoµBtµBhµB
    Log-Analyse und Auswertung - 03.07.2011 (36)
  7. Schleichwerbung ? und Immer wiederkehrender Virus (Infected.WebPage.gen)
    Plagegeister aller Art und deren Bekämpfung - 07.02.2011 (10)
  8. USB Schlüssel - Malware
    Diskussionsforum - 29.09.2010 (15)
  9. Wiederkehrender Trojanerbefall via Temp Ordner
    Log-Analyse und Auswertung - 01.06.2010 (15)
  10. Wiederkehrender Trojaner C:\WINDOWS\system32\tdlcmd.dll
    Plagegeister aller Art und deren Bekämpfung - 18.12.2009 (1)
  11. WinXP: wiederkehrender Prozeß mit 6 Zeichen
    Plagegeister aller Art und deren Bekämpfung - 30.09.2009 (6)
  12. Wiederkehrender Virus
    Log-Analyse und Auswertung - 14.09.2009 (12)
  13. Wiederkehrender TR/Spy.Gen
    Log-Analyse und Auswertung - 02.12.2008 (5)
  14. Ständig wiederkehrender Virus?
    Plagegeister aller Art und deren Bekämpfung - 03.09.2008 (7)
  15. Wiederkehrender Registryeintrag
    Mülltonne - 16.07.2008 (0)
  16. immer wiederkehrender ordner
    Plagegeister aller Art und deren Bekämpfung - 21.05.2006 (1)
  17. Zugehörigkeit Reg-Schlüssel ?
    Log-Analyse und Auswertung - 09.04.2006 (2)

Zum Thema Wiederkehrender Schlüssel zu BHO (TSCOM) - Hallo, mir macht ein Registry-Eintrag Sorgen, der ein nicht existierendes BHO aktiviert (TSCOM class). Die zugehörige DLL hatte ich vor Monaten gelöscht. Das unschöne: Nach einem Löschen des Eintrags (mit - Wiederkehrender Schlüssel zu BHO (TSCOM)...
Archiv
Du betrachtest: Wiederkehrender Schlüssel zu BHO (TSCOM) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.