Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wo in der Registry Trojaner-Eintrag löschen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.08.2006, 11:30   #1
Martin
 
Wo in der Registry Trojaner-Eintrag löschen? - Standard

Wo in der Registry Trojaner-Eintrag löschen?



Hallo,
ich habe mir - wahrscheinlich über eine Onlinepoker-Software - einen Trojaner eingefangen und dazu folgende Info gefunden:

Troj/Lineag-AEC ist ein Kennwort-stehlender Trojaner für die Windows-Plattform.

Troj/Lineag-AEC enthält Funktionalität, um Benachrichtigungen an remote Speicherorte zu senden.

Wenn er zum ersten Mal ausgeführt wird, kopiert sich Troj/Lineag-AEC nach <Windows-Ordner>\Config\svhost32.exe und erstellt die Datei <Windows-Systemordner>\dllf.dll. dllf.dll wird auch erkannt als Troj/Lineag-AEC.

Der folgende Registrierungseintrag wird erstellt, damit svhost32.exe beim Start ausgeführt wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
fzg
<Windows-Ordner>\Config\svhost32.exe



Aber wo finde ich diesen Reg.-Eintrag innerhalb der Registry und wie lösche ich ihn dann, einfach markieren und über re Maus?



Danke,
__________________
Grüße,

Martin

Das Web ist ein gefährlicher Dschungel und viele brauchen Tarzan...

Alt 25.08.2006, 01:12   #2
dartus
 
Wo in der Registry Trojaner-Eintrag löschen? - Standard

Wo in der Registry Trojaner-Eintrag löschen?



Hallo,

poste bitte ein Hijackthis-Logfile.

dartus
__________________

__________________

Alt 25.08.2006, 09:26   #3
Martin
 
Wo in der Registry Trojaner-Eintrag löschen? - Standard

Wo in der Registry Trojaner-Eintrag löschen?



Hallo,
der Virenscanner hat die betroffenen Dateien bereits in Quarantäne geschickt. Macht das jetzt noch Sinn?

Aber was es ist und was zu tun ist, steht doch ohnehin bereits fest (der Auszug ist von Sophos).
__________________
__________________

Alt 26.08.2006, 21:58   #4
Martin
 
Wo in der Registry Trojaner-Eintrag löschen? - Standard

Wo in der Registry Trojaner-Eintrag löschen?



In der Registry war nix.
Seltsamerweise hat der Scanner jetzt einen neuen Virus gefunden, zu dem selbst Google nichts findet:
Generic.PWStealer.B42C8873
Ein Mal in einer Volume/restore-Datei und ein Mal in einem Plugin zu IrvanView (? schon länger nichts mehr in der Richtung getan).

Logfile of HijackThis v1.99.1
Scan saved at 21:41:56, on 26.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Nhksrv.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxx://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxx://www.symantec.com/techsupp/oem
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla16.org\Mozilla16\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O4 - Global Startup: cleanup.lnk = C:\cleanup.cmd
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - hxxx://-Web.Washer-/ie_add
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxx://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095676347796
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Ist da was Verdächtiges dabei, kann das jemand interpretieren?
__________________
Grüße,

Martin

Das Web ist ein gefährlicher Dschungel und viele brauchen Tarzan...

Geändert von Martin (26.08.2006 um 22:05 Uhr)

Alt 27.08.2006, 00:17   #5
Sunny
Administrator
> Competence Manager
 

Wo in der Registry Trojaner-Eintrag löschen? - Standard

Wo in der Registry Trojaner-Eintrag löschen?



Hallo,

suche die Datei (bzw. den Trojaner!) im Quarantäne-Verzeichnis deines Virenscanners, und lass die Datei (egal wie sie heisst!) hier auswerten -> Virustotal
Poste anschliessend das Ergebnis, markieren, kopieren und in einen Beitrag einfügen.

Anschliessend einmal die Systemwiederherstellung deaktivieren -> so wirds gemacht
Rechner neu starten (STW kann wieder aktiviert werden.)


Zusätzlich solltest du dir das Service Pack 2 einspielen, sonst kriegst du eventuell noch mehr Probleme, zumal die Sicherheitsupdates viele Lücken schliessen!

Gruß
Sunny

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.08.2006, 00:59   #6
Martin
 
Wo in der Registry Trojaner-Eintrag löschen? - Standard

Wo in der Registry Trojaner-Eintrag löschen?



Hallo,
leichter gesagt als getan, ich finde die Dateien(Virus) weder im Verzeichnis-Pfad des Scanners noch über die Windows-Suche.
Auch die Quarantäne-Datei finde ich nicht. Ich habe keinen Ordner gefunden, der es dem Namen nach sein könnte.

Die Hilfe des Scanners (AVK 12) sagt:
Die Quarantäne ist ein geschützter Bereich innerhalb des AVK, in dem infizierte Dateien verschlüsselt gespeichert werden und auf diese Weise den Virus nicht mehr an andere Dateien weitergeben können.

Offenbar schützt diese Verschlüsselung auch vor dem Auffinden.

Aber irgendwie muss das doch gehen!?

Das Protokoll hilft auch nichts:

Virenprüfung mit AntiVirenKit
Version 15.0.5
Virensignaturen vom 26.08.2006
Startzeit: 26.08.2006 16:29
Engine(s): KAV-Engine (AVK 16.9373), BD-Engine (BD 16.5562)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: EMail.dll
Pfad: C:\Programme\IrfanView\Plugins
Status: Datei in Quarantäne verschoben
Virus: DeepScan:Generic.PWStealer.B42C8873 (BD-Engine)
Objekt: A0015384.dll
Pfad: C:\System Volume Information\_restore{27F3F182-4FE7-45F7-85CB-63BE7C2ED734}\RP43
Status: Datei in Quarantäne verschoben
Virus: DeepScan:Generic.PWStealer.B42C8873 (BD-Engine)
Analyse vollständig durchgeführt: 26.08.2006 17:52
52029 Dateien überprüft
2 infizierte Dateien gefunden
0 verdächtige Dateien gefunden
__________________
--> Wo in der Registry Trojaner-Eintrag löschen?

Alt 28.08.2006, 13:38   #7
normalo
 
Wo in der Registry Trojaner-Eintrag löschen? - Standard

Wo in der Registry Trojaner-Eintrag löschen?



Hallo zusammen,

bin neu hier. Habe seit Samstag ebenfalls diesen Virus-PWSTEALER.3BB4D75.

Bei mir lief es so ab:

1. PC hochgefahren am Samstag 26.08.2006
2. System gescannt mit Virensignaturen von Freitag den 25.08.2006 - PC ist VIRENFREI

danach

keine surfen oder sonstige Aktivitäten im Internet, keine E-Mailabfrage:

unmittelbar nach dem o.g. Scan

3. Aktualisierung der Virendefinitionen am Samstag morgen ca. 7:00 Uhr

4. erneuter Systemscan mit den neuen Virensignaturen am 28.06.2009 ca. 7:30 Uhr
5. Virenfund in IrfanView/ Plugin

Was ist das nun?

Alt 27.01.2010, 15:50   #8
Sandy77
 
Wo in der Registry Trojaner-Eintrag löschen? - Standard

Wo in der Registry Trojaner-Eintrag löschen?



Hallo, habe schon seit wochen mit folgenden Problem zu kämpfen...Vielleicht kann mir jemand helfen...Habe schon einige ähnliche Probleme gelesen, bin aber zu keiner Lösung gekommen....

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3349
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

12.12.2009 14:48:59
mbam-log-2009-12-12 (14-48-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98215
Laufzeit: 3 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Temp\xqvi.tmp\svchost.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Windows\System32\MSVolume.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Antwort

Themen zu Wo in der Registry Trojaner-Eintrag löschen?
ausgeführt, config, datei, einfach, eingefangen, enthält, erkannt, erstell, erstellt, folge, folgende, gefangen, gen, innerhalb, löschen, löschen?, markieren, maus, microsoft, registry, remote, start, svhost, troja, trojaner, trojaner eingefangen, version, wahrscheinlich



Ähnliche Themen: Wo in der Registry Trojaner-Eintrag löschen?


  1. Frage zu Program JRT (Junkware Removal Tool) Registry Eintrag gelöscht
    Antiviren-, Firewall- und andere Schutzprogramme - 20.06.2015 (3)
  2. Win 8.1 (64bit) verweigert Antivirenprogramme, ngij.exe-Eintrag in Registry gefunden
    Log-Analyse und Auswertung - 19.03.2015 (14)
  3. Registry eintrag lässt sich nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2014 (6)
  4. Unbekannter Dienst bzw. Eintrag in der Registry
    Plagegeister aller Art und deren Bekämpfung - 25.01.2014 (1)
  5. Suspekter Registry-Eintrag und Windows Mini-Anwendungsproblem
    Plagegeister aller Art und deren Bekämpfung - 18.12.2013 (13)
  6. registry eintrag (virus?)
    Plagegeister aller Art und deren Bekämpfung - 20.08.2013 (29)
  7. Versteckter Eintrag i.d. REGISTRY
    Log-Analyse und Auswertung - 28.09.2011 (7)
  8. Unbekannter Nameserver in Registry Eintrag
    Plagegeister aller Art und deren Bekämpfung - 27.12.2010 (2)
  9. Backdoor.Bot -> immer wieder in Registry eintrag zu finden.
    Log-Analyse und Auswertung - 15.08.2010 (19)
  10. Registry-Eintrag CLSID will sich nicht löschen lassen
    Plagegeister aller Art und deren Bekämpfung - 25.02.2009 (0)
  11. Trojaner der Run Registry Eintrag immer wieder neu erstellt?
    Log-Analyse und Auswertung - 30.10.2008 (1)
  12. Registry-Eintrag
    Alles rund um Windows - 11.07.2007 (3)
  13. Merkwürdiger Registry Eintrag
    Plagegeister aller Art und deren Bekämpfung - 27.07.2006 (3)
  14. internet explorer geht nach registry eintrag nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 27.05.2006 (1)
  15. Adware.Srv32 -Registry-Eintrag löschen?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2006 (2)
  16. Kann Registry Eintrag nicht dauerhaft löschen
    Alles rund um Windows - 13.04.2006 (1)

Zum Thema Wo in der Registry Trojaner-Eintrag löschen? - Hallo, ich habe mir - wahrscheinlich über eine Onlinepoker-Software - einen Trojaner eingefangen und dazu folgende Info gefunden: Troj/Lineag-AEC ist ein Kennwort-stehlender Trojaner für die Windows-Plattform. Troj/Lineag-AEC enthält Funktionalität, um - Wo in der Registry Trojaner-Eintrag löschen?...
Archiv
Du betrachtest: Wo in der Registry Trojaner-Eintrag löschen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.