Hi...
So... nun hab ich alles so gemacht, wie beschrieben: escan -> Dateien gelöscht etc.

Nach eScan habe ich die Datei CMD.FTP online scannen lassen. Verdacht hat sich bestätigt: war ein "Trojan-Downloder.bat.FTP.u" drin.

Trotzdem: Leider erfolgt nach jedem neuen Bootvorgang das gleiche Schema: Die Zeile 07 in der Registry wird jedes mal neu eingefügt und blockiert den Zugriff. Über HJT bekomme ich aber den Zugriff zurück.

Gleichzeitig meldet mir Spybot - Search & Destroy\TeaTimer, dass drei Änderungen an der Registry vorgenommen werden bzw. drei Zeilen von Programmen zugefügt werden an, die, bis auf NERO 7, nicht mehr auf meinem Rechner sind und sämtliche entsprechende Verzeichnisse gelöscht sind.

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

Wo also ist die Datei, die diese Einträge in die REG vornimmt und diese dann blockiert???

Gern poste ich noch mal einen HJT-Log, wenns hilft!!
Danke für alle Hilfe

Gruß Joseba

Zitat:

Zitat von joseba

Wo also ist die Datei, die diese Einträge in die REG vornimmt und diese dann blockiert???

Hi Joseba,

das lässt sich unter Umständen mit Regmon von Sysinternals ermitteln. Bitte das Programm runterladen http://www.sysinternals.com/Utilities/Regmon.html und folgende Einstellungen vornehmen:

Filter/Highlight (Ctrl + L)
Include: CreateKey; CurrentVersion\Policies\
Exclude:
Highlight: CreateKey

Zusätzlich alle 5 Häckchen setzen. Unter "Options" noch "Log Boot" anwählen.
Nun, wie bereits unternommen, per HJT den Eintrag fixen und neustarten. Regmon sollte anzeigen, welcher Prozess versucht hat den Eintrag neu zu schreiben.

Hallo Migthy Marc.., Hi cacatoa
danke für die Tipps. Werde sie morgen gleich umsetzen...

Habe heute mal bei Jotti's Malwarescanner einige Dateien checken lassen, die im HJT-Log als ausführende Dateien angezeigt werden. U.A auch die Datei WINADM.EXE im Ordner c:/Windows/System32
Dabei kam folgendes zu Tage:
Der Scanner Dr. Web sagte: Backdoor.Trojan
und VBA32 gab an: E-Mail-Worm.VB.3

Ist das ernst zu nehmen und wenn ja, was mach ich mit dieser Datei?
Danke an Alle, ihr seid ne große Hilfe - die einzige sozusagen

Gruß
Joseba

Zitat:

Zitat von MightyMarc

Nun, wie bereits unternommen, per HJT den Eintrag fixen und neustarten. Regmon sollte anzeigen, welcher Prozess versucht hat den Eintrag neu zu schreiben.

Was meinst du mit neu starten? Den Rechner? oder Regmon? Wie ist die richtige Reihenfolge?

1. Rechner starten, Windoof hochfahren
2. Regmon ausführen mit den o.g. Einstellungen (läuft sofort los und zeichnet alles auf, rot hinterlegt!)
3. Regmon in Taskleiste verkleinern
4. HJT starten und scan ausführen und Zeile 07 fixen
5. Regmon-log aus Taskleiste aufrufen und auswerten? Wonach?

So o.k.? oder lieber alles im abgesicherten Modus und ohne Systemwiederherstellung deaktivieren usw...

Gruß
Joseba

Hi, joseba,
gut, daß du die Datei hast prüfen lassen. Sollte es wirklich der VB.3 sein, so würde ich mir keine Mühe mehr geben, das System zu reparieren. Dieser Wurm lädt (regelmäßig) eine RBot-Variante nach und kompromittiert so Dein System.
Allerdings habe ich darauf in Deinem Logfile eben noch keinen Hinweis gefunden.
Benutzt Du "parentsFriend", ein Kindersicherungsprogramm?
Und zu Deiner Frage: Genauer als MightyMarc kann man die Vorgehensweise doch nicht mehr beschreiben, oder?
cacatoa

@joseba

Nochmal:

1. Regmon einstellen (dann kannst Du es offen lassen)
2. HJT starten, Eintrag fixen
3. Rechner neu starten und berichten, was regmon berichtet.

Zitat:

Zitat von cacatoa

Benutzt Du "parentsFriend", ein Kindersicherungsprogramm?

cacatoa

Hallo cacatoa,
Ja, dieses Programm läuft auf meinem Rechner. Was ist damit? deinstallieren? Und ... gibt es kein Tool, um den VB.3 - wenn er es denn ist - zu erkennen und zu beseitigen?

Regmon Log folgt gleich....
danke
Joseba

Zitat:

Zitat von MightyMarc

@joseba

Nochmal:

1. Regmon einstellen (dann kannst Du es offen lassen)
2. HJT starten, Eintrag fixen
3. Rechner neu starten und berichten, was regmon berichtet.

Hi MightyMarc,

..sorry für meine Verständnisfragen, aber wenn ich so ein Fachleut' wär, wie ihr, müßte ich mich kaum um Rat bemühen. Bin halt ein Laie, der Hilfe braucht. Und EDV-Laien brauchen nun mal etwas allgemein verständlichere Beschreibungen - Sorry!

Hier also das, was mir Regmon nach der von dir beschriebenen Vorgehensweise berichtet: (Nützt dir auch ein Log vor dem Neustart - also vor und nach dem Fixen mit HJT?) Dies ist natürlich etwas länger, aber könnte ich dir auch posten...

Danke schon jetzt für die Analyse!

09:18:46 explorer.exe:1932 CreateKey HKCU\SessionInformation SUCCESS Access: 0x2
09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2
09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2
09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2
09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2
09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2
09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2
09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2
09:18:46 services.exe:756 CreateKey HKLM\System\CurrentControlSet\Control\DeviceClasses SUCCESS Access: 0xF003F
09:18:46 services.exe:756 CreateKey HKLM\System\CurrentControlSet\Control\DeviceClasses SUCCESS Access: 0xF003F
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef93-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef93-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef92-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef94-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef94-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef91-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef90-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef8e-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef8f-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1240d588-b637-11d8-9379-806d6172696f}\ SUCCESS Access: 0x2000000
09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef8d-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000
09:19:00 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\DeviceClasses SUCCESS Access: 0xF003F
09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4} SUCCESS Access: 0xF003F
09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}\Control SUCCESS Access: 0xF003F
09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}\LogConf SUCCESS Access: 0xF003F
09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\kmixer\Enum SUCCESS Access: 0xF003F
09:19:01 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\000000000000ebda SUCCESS Access: 0x1
09:19:01 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\000000000000ebda SUCCESS Access: 0x1
09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}\Control SUCCESS Access: 0xF003F
09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}\Control SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F
09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F

Hi, joseba,
ich habe nach parentsFriend gefragt, weil die Datei "WINADM.EXE" auch zu parentsFriend gehören kann. Wenn also (was oft der Fall ist) ein scanner nur nach Dateinamen scannt, dann kann er die Datei auch für einen Schädling halten. Da ich, wie vorher schon geschrieben, aber keinen weiteren Hinweis darauf gefunden habe, gehe ich davon aus, daß es eben die ganz normale Datei ist, die zu parentsFriend gehört, zumal sie auch von eScan nicht beanstandet wurde.
Im RegMon Logfile sehe ich aber auch nicht, daß der Eintrag O7 neu geschrieben wurde. Ist er im aktuellen HJT-Logfile noch da?
cacatoa

Guten Morgen Cacatoa...

das war ein Supertipp mit der Parentsfriend-Datei. Vielleicht ist das ja schon des Rätsels Lösung...?
Laut Google ist die WINADM.EXE eine Spionagedatei, die Informationen an den Absender weitergibt. Ich werde das Programm mal versuchen zu deinstallieren, was nicht ganz einfach sein soll, wenn man den Berichten von Anwendern glauben schenkt.

Im aktuellen Log ist der 07 nicht mehr da. Im HJT ist der O7-Eintrag erst nach dem fixen mit HJT so lange weg, wie ich das System nicht neu starte. Erst dann wird der Eintrag jedesmal neu geschrieben.

Melde mich, wenn die ParentsFriend-löschaktion geklappt hat. - oder auch nicht klappt Vielleicht tut sich ja was.

Danke schon mal für den wertvollen Tipp.

Gruß
Joseba

Wenn der Wert nicht beim Booten geschrieben wird, wird er wohl vor dem Runterfahren geschrieben.

Wenn sich Parentsfriend nicht einfach über Systemsteuerung -> Software entfernen lässt, gibt es zwei Möglichkeiten:

1. Den Hersteller kontaktieren und ihn um eine Deinstallationsanleitung gegebenenfalls ein Removaltool bitten.

Alternativ:

Start -> Ausführen - > winadmkill /uninst

oder

http://www.parents-friend.de/faq.htm#f19

Hilft das nicht, dann

2. Das Ding von Hand entfernen.

Hallo Mighty Marc, hallo cacatoa!

Ihr seid die Größten...
Vielen 1000 Dank für eure Geduld mit mir - aber auch für die wertvollen Tipps und die vielen Hilfen...

ES HAT GEKLAPPT :aplaus:

Das Proggi PARENTSFRINDS ließ sich problemlos deinstallieren. Danke für die alternativen Deinstallationshilfen. Die "gefährlichen" Dateien sind gelöscht und die Testprogramme melden alle "Null Fehler", sowohl:

Spybot S & D, Ad-Aware, Norman Virus Control und HJT melden keine Auffälligkeiten und auch in die Registry komme ich mit Regedit ohne Probleme. Bin erleichtert und froh. Ihr habt was bei mir gut... Vielen Dank noch mal für eurern Einsatz. Der Thread kann damit geschlossen werden -> Erfolgreich beendet!

... bis zum nächsten mal

Aber ich hab's ja gleich gesagt...

Na, siehst Du - et jeht doch
Also, bleib "sauber" und komm wieder - aber ohne Probleme, sondern einfach zum mitlesen und evtl. auch -schreiben.
cacatoa