Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner der Run Registry Eintrag immer wieder neu erstellt?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.10.2008, 02:09   #1
Nay-Kee
 
Trojaner der Run Registry Eintrag immer wieder neu erstellt? - Standard

Trojaner der Run Registry Eintrag immer wieder neu erstellt?



also, folgendes Problem:
habs schon mit diversen Virenscannern gesucht und nichts gefunden.
wenn ich versuche diesen Registryeintrag zu löschen wird er sofort wiederhergestellt:
HKLM\..\Run: [C:\WINDOWS\system32\kdcxz.exe] C:\WINDOWS\system32\kdcxz.exe

eine google suche nach dieser datei hat nichts sinnvolles ergeben, komischerweise existiert sie im dateisystem auch nicht, auch nicht versteckt.
habe mal die reg changes mitprotokolliert und denke einmal gesehen zu haben dass meine löschvorgang von der lsass.exe (8 kb groß und im system32 ordner) wieder rückgängig gemacht wurde.
Der IE7 zeigt auch ein sehr komsiches Surfverhalten, manche Seiten gehn nicht, manche werden redirectet, ganz Schlimm vorallem beim Benutzen der Windows Live suche.

also ich weiss net genau was die kdcxz.exe für eine rolle spielt in der ganzen sache vorallem weil sie im dateisystem nicht existiert... aber wenn der registryeintrag sofort wiederhergestellt wird und irgendwas mit der dns auflöung im internet explorer nicht stimmt denke ich mal dass irgendwas falsch ist.

Hier mein Hijack This Log:
aLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:52:56, on 30.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Zitat:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Intel Audio Studio\IntelAudioStudio.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
G:\WindowsXP-KB936929-SP3-x86-DEU.exe
d:\5049741a67d76723a7\i386\update\update.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdcxz.exe] C:\WINDOWS\system32\kdcxz.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

Alt 30.10.2008, 02:28   #2
Nay-Kee
 
Trojaner der Run Registry Eintrag immer wieder neu erstellt? - Standard

Trojaner der Run Registry Eintrag immer wieder neu erstellt?



hab grad windows auf die neueste version zum entfernen bösartiger software geupdatet: hat nen Win32/Alureon.gen entfernt, ich hoffe/denke mal dass der der Auslöser für das Problem war.
Nun kann ich den Regeintrag auf jeden fall entfernen...
infortmiert mich bitte falls ich da falsch liege, ansonsten für alle die das Problem auch haben, einfach auf die neueste version zum entfernen bösartiger software updaten.
__________________


Antwort

Themen zu Trojaner der Run Registry Eintrag immer wieder neu erstellt?
antivir, avira, bho, dateisystem, dsl, excel, explorer, firefox, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, mozilla, problem, programme, registry, rückgängig, scan, seiten, server, software, studio, system, trojaner, windows, windows xp



Ähnliche Themen: Trojaner der Run Registry Eintrag immer wieder neu erstellt?


  1. HKLM\System\CCS\Services\Tcpip\... - Eintrag kommt immer wieder!
    Log-Analyse und Auswertung - 28.10.2015 (17)
  2. Unter C\PragramData erstellt sich immer wieder ein Ordner Boost_interprocess
    Plagegeister aller Art und deren Bekämpfung - 06.10.2014 (10)
  3. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  4. Backdoor.Bot -> immer wieder in Registry eintrag zu finden.
    Log-Analyse und Auswertung - 15.08.2010 (19)
  5. Trojanisches Pferd Spy.Gen2 erstellt sich immer wieder
    Plagegeister aller Art und deren Bekämpfung - 17.04.2010 (3)
  6. Datei wird immer wieder erstellt - wer war es?
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (3)
  7. Wo in der Registry Trojaner-Eintrag löschen?
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (7)
  8. svchost.exe erstellt sich immer wieder neu im TEMP Ordner
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (1)
  9. Trojaner der sich immer wieder neu erstellt
    Plagegeister aller Art und deren Bekämpfung - 28.05.2009 (2)
  10. IE öffnet immer wieder "C:\WINDOWS\pop.htm", Log-File erstellt
    Log-Analyse und Auswertung - 24.01.2009 (0)
  11. Virusdatei erstellt sich immer wieder neu
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (4)
  12. Links werden auf Desktop immer wieder neu erstellt
    Log-Analyse und Auswertung - 01.06.2008 (2)
  13. Gefixter Eintrag erscheint immer wieder
    Log-Analyse und Auswertung - 24.04.2007 (8)
  14. logfile-hilfe ... eintrag 017 ist nach neustart immer wieder da
    Log-Analyse und Auswertung - 11.01.2007 (2)
  15. Registry Trace installiert sich bei Systemstart immer wieder neu
    Plagegeister aller Art und deren Bekämpfung - 07.05.2006 (8)
  16. Gefixter HJT-Eintrag erscheint immer wieder!?
    Log-Analyse und Auswertung - 04.12.2005 (13)
  17. Logfile Eintrag taucht immer wieder auf..
    Log-Analyse und Auswertung - 11.11.2005 (30)

Zum Thema Trojaner der Run Registry Eintrag immer wieder neu erstellt? - also, folgendes Problem: habs schon mit diversen Virenscannern gesucht und nichts gefunden. wenn ich versuche diesen Registryeintrag zu löschen wird er sofort wiederhergestellt: HKLM\..\Run: [C:\WINDOWS\system32\kdcxz.exe] C:\WINDOWS\system32\kdcxz.exe eine google suche nach - Trojaner der Run Registry Eintrag immer wieder neu erstellt?...
Archiv
Du betrachtest: Trojaner der Run Registry Eintrag immer wieder neu erstellt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.