Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Möglicher Trojaner ...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.05.2008, 16:20   #1
HellScreAm
 
Möglicher Trojaner ... - Icon17

Möglicher Trojaner ...



Hoi ich fand eure Community schon immer äußerst hilfreich, aber bis dato reichte die SuFu oder Google.de völlig aus um meine Probleme zu lösen^^ naja irgendwann ist immer das erstemal. Folgendes ich hab gestern mal mit TuneUp meinte Registry durchgekramt, und plötzlich stieß ich auf einen mir unbekannten Key mit einem sehr bizzaren Namen "HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????" daraus werde ich nicht schlau. Hab ihn gestern gelöscht gehabt weil wie gesagt sieht echt merkwürdig aus ... aber heute war er wieder da, das "lustige" ist, wenn ich die Berechtigung ändern möchte steht da das ich die Rechte nicht hätte lol, obwohl ich auf einem Admin Konto unterwegs bin ...
Also wäre nett wenn jmd. vllt. eine Idee oder einen Tipp hätte. Danke schonmal
Ich häng mal nen HijackThis LogFile an, aber ich kann da nix verdächtiges erkennen.

--------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:41, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TuneUp Utilities 2007\Integrator.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\TuneUp Utilities 2007\RegistryEditor.exe
E:\Sonstiges\Internet-Tools\Anti-Spyware\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 3505 bytes

--------------------------------------------------------------------------

Alt 19.05.2008, 16:28   #2
myrtille
/// TB-Ausbilder
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Heya

Hast du mal mit Regedit nach dem Schlüssel gesucht?
(Start->Ausführen->Regedit eingeben)
Es handelt sich vermutlich um Zeichen die TuneUp nicht darstellen kann, etwa chinesische oder russische Zeichen.
Da hat vielleicht einfach jemand vergessen seinen Programmnamen zu übersetzen.

lg myrtille
__________________

__________________

Alt 19.05.2008, 16:33   #3
HellScreAm
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Hmm erstmal danke für die schnelle Antwort^^, hab ich grade mal gemacht, beim Windows RegEdit steht der Schlüssel komischerweise nicht mit drin ...
Hab halt die Vermutung das es was sein könnte bin eigentlich recht gut geschüzt möchte ich meinen, hab atm AviraAntiVir, Spyware Doctor quasi als aktiven Schutz drauf und F-Secure Blacklight, Ewido und HighJackThis als passiven ... müsste doch reichen ^_°.
__________________

Geändert von HellScreAm (19.05.2008 um 16:45 Uhr)

Alt 19.05.2008, 16:55   #4
myrtille
/// TB-Ausbilder
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Mach mal folgendes:

Kopiere den Text:
Zitat:
@echo off
echo regedit /e >%temp%\tmp.txt
regedit /e HKEY_CURRENT_USER\Software>>%temp%\tmp.txt
echo regedit /a >>%temp%\tmp.txt
regedit /a HKEY_CURRENT_USER\Software>>%temp%\tmp.txt
%temp%\tmp.txt
del %temp%\tmp.txt
in deinen Texteditor (Start->Ausführen->notepad eingeben) und speichere es als "tb.bat" ab. Wähle vorher als Dateityp "alle Dateien" aus.
Das Symbol der Datei sollte sich zu ändern.
Die Datei doppelklicken, es sollte sich ein Fenster öffnen, den Inhalt bitte hier posten.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 19.05.2008, 17:00   #5
HellScreAm
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



°_° oha kamen 2 Fehlermeldungen von wegen Dateisystemfehler dann stand folgendes im Fenster:

regedit /e
regedit /a


Alt 20.05.2008, 21:36   #6
myrtille
/// TB-Ausbilder
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Hi,

dann versuche es bitte mal mit folgendem Skript:
Code:
ATTFilter
@echo off
regedit /e %temp%\tmp.txt HKEY_CURRENT_USER\Software
regedit /a %temp%\tmp2.txt HKEY_CURRENT_USER\Software
type %temp%\tmp.txt >> %temp%\tmp2.txt

%temp%\tmp2.txt

del %temp%\tmp2.txt
del %temp%\tmp.txt
         
Die Datei erneut als tb.bat abspeichern und ausführen, die sich öffnende Datei abspeichern und hinter zb bei file-upload hochladen.

Schicke mir dann den Link per PM oder setze ihn hier in einen Post.
Wenn wir deinen Eintrag so nicht finden, werden wir dein System auf Malware überprüfen um einen Befall ausschließen zu können.

lg myrtille
__________________
--> Möglicher Trojaner ...

Alt 22.05.2008, 16:35   #7
HellScreAm
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Okay hab ich gemacht, hast ne PM^^.

Alt 22.05.2008, 16:50   #8
myrtille
/// TB-Ausbilder
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Mitdenken ist derzeit irgendwie nicht meine Stärke. Sorry.

Ich bräuchte noch ein Log mit der Bat... dasselbe nochmal wie die letzte Bat.

Code:
ATTFilter
@echo off
regedit /e %temp%\tmp2.txt HKEY_CURRENT_USER\Software

%temp%\tmp2.txt

del %temp%\tmp2.txt
         
Den Inhalt der Datei wieder bei file-upload deponieren.

Die Einträge sind die folgenden:
Zitat:
[HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????]

[HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????\PC Sync]

[HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????\PC Sync\Settings]
Falls dir das schon was sagt.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 22.05.2008, 18:18   #9
HellScreAm
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



So hast noch ne PM, hmmm naja hab mal bisschen rumgesucht aufm PC könnte vom Samsung PC Studio stammen ... sollte dem so sein, dann entschuldige ich mich schonmal für den ganzen Wirbel, aber so komische Fragezeichen machen mich halt stutzig.

Alt 22.05.2008, 18:33   #10
myrtille
/// TB-Ausbilder
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Hi,
es handelt sich dabei um Schriftzeichen, die TuneUp nicht interpretieren kann.
Leider sind sie in unicode nicht viel lesbarer:
Zitat:
[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ \��� Qǩ� �\����� ȹ������� ��1�� Qǩ� �\�����]



[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ \��� Qǩ� �\����� ȹ������� ��1�� Qǩ� �\�����\ P C S y n c ]



[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ \��� Qǩ� �\����� ȹ������� ��1�� Qǩ� �\�����\ P C S y n c \ S e t t i n g s ]
Hatte mir da was besseres erhofft.

Die ersten googletreffer deuteten eher Nokia als Samsung an.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 22.05.2008, 22:22   #11
HellScreAm
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



K, hab aber nen Samsung^^, naja dann trotzdem erstmal Thx für die Hilfe, wie gesagt Fragezeichen heißen ja eig nie was gutes ... deshalb wollt ich auf nummer sicher gehen.

Alt 22.05.2008, 22:32   #12
myrtille
/// TB-Ausbilder
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Hi,
KarlKarl schlug noch vor, dass du dir den ProcessExplorer herunter lädst und versuchst mit dem Tool nachzuvollziehen, welche Datei auf den Schlüssel zugreift, da sollte man sehen können zu wem der Schlüssel gehört.

Weitere Instruktionen (falls du Interesse hast?) gibts dann morgen, ich geh jetzt erstmal ins Bett.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 23.05.2008, 08:27   #13
myrtille
/// TB-Ausbilder
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Hi,

Also lade dir den ProcessExplorer herunter und entpacke ihn in einen eigenen Ordner.

Führe ihn mit einem Doppelklick aus und rufe mit Ctrl+L die Filter auf.
Füge nun diese Filter ein:
  • Wähle im ersten Feld Path aus, im zweiten begins with und schreibe ins dritte HKCU\Software, im vierten Fenster include auswählen. Danach auf Add klicken.

  • Wähle im ersten Feld Path aus, im zweiten begins with und schreibe ins dritte HKCU\Software\Classes, im vierten Fenster exclude auswählen. Danach auf Add klicken.

  • Wähle im ersten Feld Path aus, im zweiten begins with und schreibe ins dritte HKCU\Software\Microsoft, im vierten Fenster exclude auswählen. Danach auf Add klicken.

  • Wähle im ersten Feld Path aus, im zweiten begins with und schreibe ins dritte HKCU\Software\Policies, im vierten Fenster exclude auswählen. Danach auf Add klicken.

  • Wähle im ersten Feld Event Class aus, im zweiten is und schreibe ins dritte Profiling, im vierten Fenster exclude auswählen. Danach auf Add klicken.

  • Wähle im ersten Feld Event Class aus, im zweiten is und schreibe ins dritte Process, im vierten Fenster exclude auswählen. Danach auf Add klicken.

  • Wähle im ersten Feld Event Class aus, im zweiten is und schreibe ins dritte File System, im vierten Fenster exclude auswählen. Danach auf Add klicken.

Anschließend unten rechts auf Apply klicken
(Diese Filter musst du nur einmal eingeben. Wenn du den ProcessExplorer jetzt schließt und wieder öffnest, schlägt er dir die angegebenen Filter vor)

Das Tool schreibt nun mit welche Dateien auf welche Registryschlüssel zugreifen.
Lass es also im Hintergrund mitlaufen und arbeite mit den verschiedenen Programmen, von denen du denkst, dass sie den Schlüssel angelegt haben könnten.

Unter Tools->Registry Summary kannst du einsehen welche Registryschlüssel aufgerufen wurden.
Leider gibt es keine Garantie, dass der Schlüssel aufgerufen wird, selbst wenn das richtige Programm gestartet ist.

Wenn du alle "relevanten" Programme mal ausgeführt und benutzt hast (oder im Registry Summary siehst, dass der Schlüssel aufgerufen worden ist), dann kannst du das Log unter File->Save abspeichern und es irgendwo hochladen. Wähle bei Format bitte Comma Separated Value (CSV) aus.
Dann schau ich mir das nochmal an und guck ob ich den Schlüssel finden kann.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 23.05.2008, 17:21   #14
HellScreAm
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



kk Done! Hast mal wieder ne PM mit Link^^.

Alt 25.05.2008, 09:24   #15
myrtille
/// TB-Ausbilder
 
Möglicher Trojaner ... - Standard

Möglicher Trojaner ...



Heya

Also aus dem Bericht geht mE deutlich hervor, dass die Schlüssel, wie du schon sagtest, zu Samsung gehören:

Zitat:
"436228","21:16:35,1048220","PC Sync.exe","3032","RegCloseKey","HKCU\Software\로컬 응용 프로그램 마법사에서 생성된 응용 프로그램\PC Sync\Recent File List","SUCCESS",""
und
Zitat:
"439821","21:16:35,3590267","PC Sync.exe","3032","RegCloseKey","HKCU\Software\Sams ung\Samsung PC Studio 3\CurrentPhone","SUCCESS",""
lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Möglicher Trojaner ...
?????, antivir, avira, explorer, firefox, gelöscht, hijack, hijackthis, hijackthis logfile, hilfreich, hotkey, internet, internet explorer, logfile, micro, mozilla, mozilla firefox, namen, programme, registry, security, software, spyware, stick, system, trojaner, windows, windows xp, ändern



Ähnliche Themen: Möglicher Trojaner ...


  1. Möglicher Trojaner auf beiden Laptops?
    Log-Analyse und Auswertung - 20.10.2014 (28)
  2. Möglicher Trojaner-/Virenbefall von Webseite
    Plagegeister aller Art und deren Bekämpfung - 20.02.2014 (3)
  3. Möglicher Trojaner online Inkasso
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (3)
  4. Möglicher Trojaner nach Mailöffnung
    Plagegeister aller Art und deren Bekämpfung - 29.06.2013 (11)
  5. Email von Arbeitskollegen geöffnet möglicher Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 26.02.2013 (3)
  6. VLC.de - Startfenster und möglicher Trojaner?
    Log-Analyse und Auswertung - 06.09.2012 (19)
  7. BKA-Trojaner --> Möglicher Befall von anderen Dateien möglich?
    Plagegeister aller Art und deren Bekämpfung - 04.04.2012 (3)
  8. Möglicher Trojaner? - Auswertung erbeten
    Log-Analyse und Auswertung - 15.06.2011 (14)
  9. Debian möglicher Trojaner?
    Alles rund um Mac OSX & Linux - 27.03.2011 (25)
  10. Möglicher Hijacker/Trojaner/Virus gesucht
    Log-Analyse und Auswertung - 16.03.2011 (4)
  11. Möglicher Trojaner/Backdoor-Befall nach Neuaufsetzung!
    Log-Analyse und Auswertung - 02.01.2010 (2)
  12. Möglicher Trojaner-Befall
    Log-Analyse und Auswertung - 31.12.2009 (2)
  13. Bitte HiJackThis prüfen, möglicher Trojaner!
    Log-Analyse und Auswertung - 01.10.2009 (37)
  14. Möglicher Trojaner - Festplatte anschliessen?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2009 (1)
  15. Möglicher Trojaner weg
    Log-Analyse und Auswertung - 21.11.2008 (0)
  16. Möglicher Trojaner/Spyware
    Log-Analyse und Auswertung - 01.03.2007 (3)
  17. Möglicher Trojaner bei der datei drwtsn32?
    Log-Analyse und Auswertung - 25.01.2006 (4)

Zum Thema Möglicher Trojaner ... - Hoi ich fand eure Community schon immer äußerst hilfreich, aber bis dato reichte die SuFu oder Google.de völlig aus um meine Probleme zu lösen^^ naja irgendwann ist immer das erstemal. - Möglicher Trojaner ......
Archiv
Du betrachtest: Möglicher Trojaner ... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.