Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Zugehörigkeit Reg-Schlüssel ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 08.04.2006, 20:34   #1
kesrith
Gast
 
Zugehörigkeit Reg-Schlüssel ? - Standard

Zugehörigkeit Reg-Schlüssel ?



Hallo und Grüsse....
...'mal wieder seit längerem.

seit einiger Zeit macht sich bei der Auswertung meiner HiJackLogfiles ein Reg.-Eintrag auffällig, von dem ***hijackthis.** nach dem dazugehörigen Programm frägt - um entscheiden zu können, obder Eintrag gut oder "madig" ist:

O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} -

der Schlüssel befindet sich im Verzeichnis HKey_Lokal_Machine/Software/Microsoft/Code Store Database/Distribution Units

Von 5 Instanzen (Admin, System, Ersteller, Benützer, und meineWenigkeit) besitzen alle ausser "Benützer" eine Berechtigung für "Vollzugriff".
Der Schlüssel wird nach dem Fixen beim nächsten Neustart wieder hergestellt.

Wie lässt sich herausfinden, zu welcher Applikation dieser Schlüssel gehört und welche Funktion diese Appl. hat ?

Gruss...
kesrith

Das komplette Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:26:08, on 08.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4ss.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4gui.exe
G:\WINDOWS\system32\SLEE503.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme-Si\Kerio\Personal Firewall 4\kpf4gui.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\PROGRA~4\DSL\SPEEDM~1\install\SpeedMgr.exe
G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
G:\Programme\Java\jre1.5.0_06\bin\jusched.exe
G:\Programme\ATI Technologies\ATI.ACE\cli.exe
G:\WINDOWS\system32\ctfmon.exe
G:\PROGRA~4\DSL\SPEEDM~1\install\tsmsvc.exe
G:\Programme-2\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
G:\Programme-Si\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme-Si\Steganos\Secure\install\spm.exe
G:\Programme-Inet\1 & 1\SMS\install\SMS-Manager\SMSMngr.exe
G:\Programme\ATI Technologies\ATI.ACE\CLI.exe
G:\WINDOWS\System32\wbem\wmiapsrv.exe
G:\Programme-Inet\FIREFOX_1_5\install\firefox.exe
G:\Programme-Si\HIJACKTHIS1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme-2\adobe\Adobe-Reader_705\install_adobe-700\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~3\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "G:\PROGRA~4\DSL\SPEEDM~1\install\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] G:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "G:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UIWatcher] G:\Programme-2\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme-Si\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SSS6_SPM] "G:\Programme-Si\Steganos\Secure\install\spm.exe" /booting
O4 - HKCU\..\Run: [1&1 SMS-Manager] G:\Programme-Inet\1 & 1\SMS\install\SMS-Manager\SMSMngr.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = G:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - ****://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ****://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132957635281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ****://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134545188170

O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{4EB662A0-F583-4A14-9E16-CD6E8AB9A9D3}: NameServer = 192.168.178.1,192.168.178.2
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - G:\Programme-Si\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - G:\WINDOWS\system32\SLEE503.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - G:\PROGRA~4\DSL\SPEEDM~1\install\tsmsvc.exe

Alt 08.04.2006, 20:42   #2
chaosman
 
Zugehörigkeit Reg-Schlüssel ? - Standard

Zugehörigkeit Reg-Schlüssel ?



Hallo kesrith,

Der Schlüssel wird nach dem Fixen beim nächsten Neustart wieder hergestellt.
Hast TeaTimer vor dem fixen deaktiviert? Wahrscheinlich nicht, also deaktivieren.

O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} - ist java plugin, bitte fixen.

chaosman
__________________

__________________

Alt 09.04.2006, 00:08   #3
kesrith
Gast
 
Zugehörigkeit Reg-Schlüssel ? - Standard

Zugehörigkeit Reg-Schlüssel ?



...hat geklappt, Danke !

Gruss....
kesrith
__________________

Antwort

Themen zu Zugehörigkeit Reg-Schlüssel ?
adobe, alert, antivir, applikation, ashampoo uninstaller, auswertung, bho, check, dateien, dsl, e-mail, explorer, firefox, firewall, hotkey, internet, internet explorer, messenger, neustart, programm, programme, secure, system, system32, windows, windows xp



Ähnliche Themen: Zugehörigkeit Reg-Schlüssel ?


  1. Enthüllungsplattform Cryptome: PGP-Schlüssel kompromittiert
    Nachrichten - 16.09.2015 (0)
  2. Löchrige VMs: Den PGP-Schlüssel des Nachbarn klauen
    Nachrichten - 23.07.2015 (0)
  3. Info zu Schlüssel '0FF2AEFF45EEA0A48A4B33C1973B6094'
    Plagegeister aller Art und deren Bekämpfung - 15.11.2014 (5)
  4. Schlüssel nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 28.05.2014 (2)
  5. PC zurückgesetzt. AdwCleaner findet Schlüssel
    Log-Analyse und Auswertung - 17.10.2013 (5)
  6. PC zurückgesetzt. AdwCleaner findet Schlüssel
    Mülltonne - 17.10.2013 (1)
  7. 4096 PGP-RSA Schlüssel
    Log-Analyse und Auswertung - 07.05.2012 (3)
  8. VPN-Schlüssel von Finanzdienstleister bei eBay aufgetaucht
    Nachrichten - 25.04.2012 (0)
  9. USB Schlüssel - Malware
    Diskussionsforum - 29.09.2010 (15)
  10. Preiswert Schlüssel knacken in der Cloud
    Nachrichten - 03.11.2009 (0)
  11. Seltsamer Schlüssel in der registry
    Plagegeister aller Art und deren Bekämpfung - 01.09.2009 (5)
  12. truecrypt schlüssel...wofür?
    Alles rund um Windows - 11.10.2008 (4)
  13. Small.cgu in dll's - Zugehörigkeit der dll's erkennen?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2006 (3)
  14. Attacke aus dem Internet u. Registry Schlüssel
    Plagegeister aller Art und deren Bekämpfung - 11.09.2005 (4)
  15. Wiederkehrender Schlüssel zu BHO (TSCOM)
    Log-Analyse und Auswertung - 19.05.2005 (3)

Zum Thema Zugehörigkeit Reg-Schlüssel ? - Hallo und Grüsse.... ...'mal wieder seit längerem. seit einiger Zeit macht sich bei der Auswertung meiner HiJackLogfiles ein Reg.-Eintrag auffällig, von dem ***hijackthis.** nach dem dazugehörigen Programm frägt - um - Zugehörigkeit Reg-Schlüssel ?...
Archiv
Du betrachtest: Zugehörigkeit Reg-Schlüssel ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.