Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows XP: Adware und Trojaner en masse (https://www.trojaner-board.de/150668-windows-xp-adware-trojaner-en-masse.html)

confiance 06.03.2014 00:09
-----
SavingsBull ist immer noch in der Liste... Sollte es mit dem letzten Schritt überhaupt entfernt werden?

Überschneidung ;-) Ich mach mit SystemLook weiter...

SystemLook
Code:
SystemLook 30.07.11 by jpshortstuff
Log created at 23:34 on 05/03/2014 by user
Administrator - Elevation successful

========== regfind ==========

Searching for "SavingsBull*"
No data found.

Searching for "SavingBull*"
No data found.

Searching for "        "
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Dokumente und Einstellungen\user\Desktop\mbam-setup-1.75.0.1300.exe"="Malwarebytes Anti-Malware                                  "
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media Device Manager\Plugins\SP\MSPMSP\KBDeviceList]
"SanDiskIMb"="E-USB Fl;ash            ;    "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi\Parameters]
"UseCheckPowerForFlush"="SAMSUNG WNR-31601A (1600MB)              SAMSUNG WNR-31601A (1.6GB)              IBM-DTCA-24090                          TC6OAA2A IBM-DTCA-24090                          TC6IAA2A IBM-DPLA-25120                          PL8OAA2A IBM-DPLA-25120                          PL8IAA2A IBM-DPLA-25120                          PL8IAA4A IBM-DTCA-23240                          TC5OAA2A IBM-DTCA-23240                          TC5IAA2A IBM-DPLA-24480                          PL7OAA2A IBM-DPLA-24480                          PL7IAA2A"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi\Parameters]
"NoFlushDevice"="QUANTUM_LPS525A                          SCR-730                                "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi\Parameters]
"PioOnlyDevice"="    Conner Peripherals 425MB - CFS425A  MATSHITA CR-581                          FX600S                                  CD-44E                                  QUANTUM TRB850A                          QUANTUM MARVERICK 540A                    MAXTOR MXT-540  AT                      Maxtor 71260 AT                          Maxtor 7850 AV                          Maxtor 7540 AV                          Maxtor 7213 AT                          Maxtor 7345                              Maxtor 7245 AT                          Maxtor 7245                              Maxtor 7211AU                            Maxtor 7171 AT                          CD-316E                                  SAMSUNG_SCR-2430 CR-2801TE"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi\Parameters]
"NonRemovableMedia"="Kingston Technology DataPak 340          SunDisk SDP5A-10                        SunDisk SDCFB-10                        SunDisk SDP3B-20                        SunDisk SDP3B-175                        SunDisk SDP5-2.5                        Calluna Technology CT260MC              BN-S004AC-S 1.00 Calluna Technology CT520RM Hitachi CV 5.1.1      ATA_FLASH  Mitsubishi ATA Card  LEXAR ATA_FLASH Micron MTCF004A Micron MTCF008A SunDisk SDP3B-110 SunDisk SDCFB-4 BN-CAB-T MEMORYSTICK MEMORYSTICK  8M  8K"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi\Parameters]
"NoPowerDownDevice"="RD-DRC001-M                              CS-R37 0                                "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi\Parameters]
"AutoEjectZipDevice"="IOMEGA  ZIP 100      ATAPI            23.D    IOMEGA  ZIP 100      ATAPI            21.D    IOMEGA  ZIP 100      ATAPI            20.D    IOMEGA  ZIP 100      ATAPI            91.D    IOMEGA  ZIP 100                        B.29    IOMEGA  ZIP 100                        B.22    "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi\Parameters]
"UseCheckPowerForFlush"="SAMSUNG WNR-31601A (1600MB)              SAMSUNG WNR-31601A (1.6GB)              IBM-DTCA-24090                          TC6OAA2A IBM-DTCA-24090                          TC6IAA2A IBM-DPLA-25120                          PL8OAA2A IBM-DPLA-25120                          PL8IAA2A IBM-DPLA-25120                          PL8IAA4A IBM-DTCA-23240                          TC5OAA2A IBM-DTCA-23240                          TC5IAA2A IBM-DPLA-24480                          PL7OAA2A IBM-DPLA-24480                          PL7IAA2A"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi\Parameters]
"NoFlushDevice"="QUANTUM_LPS525A                          SCR-730                                "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi\Parameters]
"PioOnlyDevice"="    Conner Peripherals 425MB - CFS425A  MATSHITA CR-581                          FX600S                                  CD-44E                                  QUANTUM TRB850A                          QUANTUM MARVERICK 540A                    MAXTOR MXT-540  AT                      Maxtor 71260 AT                          Maxtor 7850 AV                          Maxtor 7540 AV                          Maxtor 7213 AT                          Maxtor 7345                              Maxtor 7245 AT                          Maxtor 7245                              Maxtor 7211AU                            Maxtor 7171 AT                          CD-316E                                  SAMSUNG_SCR-2430 CR-2801TE"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi\Parameters]
"NonRemovableMedia"="Kingston Technology DataPak 340          SunDisk SDP5A-10                        SunDisk SDCFB-10                        SunDisk SDP3B-20                        SunDisk SDP3B-175                        SunDisk SDP5-2.5                        Calluna Technology CT260MC              BN-S004AC-S 1.00 Calluna Technology CT520RM Hitachi CV 5.1.1      ATA_FLASH  Mitsubishi ATA Card  LEXAR ATA_FLASH Micron MTCF004A Micron MTCF008A SunDisk SDP3B-110 SunDisk SDCFB-4 BN-CAB-T MEMORYSTICK MEMORYSTICK  8M  8K"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi\Parameters]
"NoPowerDownDevice"="RD-DRC001-M                              CS-R37 0                                "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi\Parameters]
"AutoEjectZipDevice"="IOMEGA  ZIP 100      ATAPI            23.D    IOMEGA  ZIP 100      ATAPI            21.D    IOMEGA  ZIP 100      ATAPI            20.D    IOMEGA  ZIP 100      ATAPI            91.D    IOMEGA  ZIP 100                        B.29    IOMEGA  ZIP 100                        B.22    "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi\Parameters]
"UseCheckPowerForFlush"="SAMSUNG WNR-31601A (1600MB)              SAMSUNG WNR-31601A (1.6GB)              IBM-DTCA-24090                          TC6OAA2A IBM-DTCA-24090                          TC6IAA2A IBM-DPLA-25120                          PL8OAA2A IBM-DPLA-25120                          PL8IAA2A IBM-DPLA-25120                          PL8IAA4A IBM-DTCA-23240                          TC5OAA2A IBM-DTCA-23240                          TC5IAA2A IBM-DPLA-24480                          PL7OAA2A IBM-DPLA-24480                          PL7IAA2A"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi\Parameters]
"NoFlushDevice"="QUANTUM_LPS525A                          SCR-730                                "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi\Parameters]
"PioOnlyDevice"="    Conner Peripherals 425MB - CFS425A  MATSHITA CR-581                          FX600S                                  CD-44E                                  QUANTUM TRB850A                          QUANTUM MARVERICK 540A                    MAXTOR MXT-540  AT                      Maxtor 71260 AT                          Maxtor 7850 AV                          Maxtor 7540 AV                          Maxtor 7213 AT                          Maxtor 7345                              Maxtor 7245 AT                          Maxtor 7245                              Maxtor 7211AU                            Maxtor 7171 AT                          CD-316E                                  SAMSUNG_SCR-2430 CR-2801TE"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi\Parameters]
"NonRemovableMedia"="Kingston Technology DataPak 340          SunDisk SDP5A-10                        SunDisk SDCFB-10                        SunDisk SDP3B-20                        SunDisk SDP3B-175                        SunDisk SDP5-2.5                        Calluna Technology CT260MC              BN-S004AC-S 1.00 Calluna Technology CT520RM Hitachi CV 5.1.1      ATA_FLASH  Mitsubishi ATA Card  LEXAR ATA_FLASH Micron MTCF004A Micron MTCF008A SunDisk SDP3B-110 SunDisk SDCFB-4 BN-CAB-T MEMORYSTICK MEMORYSTICK  8M  8K"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi\Parameters]
"NoPowerDownDevice"="RD-DRC001-M                              CS-R37 0                                "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi\Parameters]
"AutoEjectZipDevice"="IOMEGA  ZIP 100      ATAPI            23.D    IOMEGA  ZIP 100      ATAPI            21.D    IOMEGA  ZIP 100      ATAPI            20.D    IOMEGA  ZIP 100      ATAPI            91.D    IOMEGA  ZIP 100                        B.29    IOMEGA  ZIP 100                        B.22    "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
"UseCheckPowerForFlush"="SAMSUNG WNR-31601A (1600MB)              SAMSUNG WNR-31601A (1.6GB)              IBM-DTCA-24090                          TC6OAA2A IBM-DTCA-24090                          TC6IAA2A IBM-DPLA-25120                          PL8OAA2A IBM-DPLA-25120                          PL8IAA2A IBM-DPLA-25120                          PL8IAA4A IBM-DTCA-23240                          TC5OAA2A IBM-DTCA-23240                          TC5IAA2A IBM-DPLA-24480                          PL7OAA2A IBM-DPLA-24480                          PL7IAA2A"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
"NoFlushDevice"="QUANTUM_LPS525A                          SCR-730                                "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
"PioOnlyDevice"="    Conner Peripherals 425MB - CFS425A  MATSHITA CR-581                          FX600S                                  CD-44E                                  QUANTUM TRB850A                          QUANTUM MARVERICK 540A                    MAXTOR MXT-540  AT                      Maxtor 71260 AT                          Maxtor 7850 AV                          Maxtor 7540 AV                          Maxtor 7213 AT                          Maxtor 7345                              Maxtor 7245 AT                          Maxtor 7245                              Maxtor 7211AU                            Maxtor 7171 AT                          CD-316E                                  SAMSUNG_SCR-2430 CR-2801TE"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
"NonRemovableMedia"="Kingston Technology DataPak 340          SunDisk SDP5A-10                        SunDisk SDCFB-10                        SunDisk SDP3B-20                        SunDisk SDP3B-175                        SunDisk SDP5-2.5                        Calluna Technology CT260MC              BN-S004AC-S 1.00 Calluna Technology CT520RM Hitachi CV 5.1.1      ATA_FLASH  Mitsubishi ATA Card  LEXAR ATA_FLASH Micron MTCF004A Micron MTCF008A SunDisk SDP3B-110 SunDisk SDCFB-4 BN-CAB-T MEMORYSTICK MEMORYSTICK  8M  8K"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
"NoPowerDownDevice"="RD-DRC001-M                              CS-R37 0                                "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
"AutoEjectZipDevice"="IOMEGA  ZIP 100      ATAPI            23.D    IOMEGA  ZIP 100      ATAPI            21.D    IOMEGA  ZIP 100      ATAPI            20.D    IOMEGA  ZIP 100      ATAPI            91.D    IOMEGA  ZIP 100                        B.29    IOMEGA  ZIP 100                        B.22    "
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\._msige52\GoogleEarth.exe"="Setup Launcher                                                                                                                                                                                                                                                  "
[HKEY_USERS\S-1-5-21-2025429265-879983540-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Dokumente und Einstellungen\user\Desktop\mbam-setup-1.75.0.1300.exe"="Malwarebytes Anti-Malware                                  "
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\TEMP\._msige52\GoogleEarth.exe"="Setup Launcher                                                                                                                                                                                                                                                  "

-= EOF =-
Ich hab ein wenig gegoogelt und schließlich in der registry diesen Schlüssel gefunden:
Code:
HKEY_CLASSES_ROOT\Installer\Products\1708EDD6AB4EB164A86999D0AF0ABE1D
mit dem Wert
Code:
ProductName=SavingsBull
Hilft das?
Kann ich den Schlüssel einfach löschen?

LG
Lars

Zum Abschluss für heute habe ich die Suche mit SystemLook etwas modifiziert (hab das * weggelassen) - und siehe da:
Code:
SystemLook 30.07.11 by jpshortstuff
Log created at 00:05 on 06/03/2014 by user
Administrator - Elevation successful

========== regfind ==========

Searching for "SavingsBull"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\1708EDD6AB4EB164A86999D0AF0ABE1D]
"ProductName"="SavingsBull"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"c:\Programme\SavingsBullFilter\"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"c:\Programme\SavingsBull\"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AD04033484A18CA4CAB3EE59D39D756E]
"1708EDD6AB4EB164A86999D0AF0ABE1D"="c:\Programme\SavingsBull\IEOptimizer64.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1708EDD6AB4EB164A86999D0AF0ABE1D\InstallProperties]
"HelpLink"="hxxp://www.SavingsBull.com/"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1708EDD6AB4EB164A86999D0AF0ABE1D\InstallProperties]
"Publisher"="SavingsBull"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1708EDD6AB4EB164A86999D0AF0ABE1D\InstallProperties]
"DisplayName"="SavingsBull"

-= EOF =-
:party:

Für heute meinen herzlichsten Dank! :dankeschoen:
Eine gute Nacht und einen schönen Tag morgen! :Boogie:

LG
Lars

sunjojo 06.03.2014 16:19
Zitat:
Zum Abschluss für heute habe ich die Suche mit SystemLook etwas modifiziert (hab das * weggelassen) - und siehe da
Asche auf mein Haupt! Hab dieses Tool noch nicht häufig verwendet und vergesse immer, dass es für die Registrysuchfunktion keine Wildcards gibt (das *). Entschuldige bitte :).

Mit dem Fix hier, sollte dann alles aus der Registry entfernt sein. Gucke bitte, ob SavingBulls immernoch in der Softwareliste auftaucht.
Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\1708EDD6AB4EB164A86999D0AF0ABE1D" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AD04033484A18CA4CAB3EE59D39D756E" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1708EDD6AB4EB164A86999D0AF0ABE1D" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders" /v c:\Programme\SavingsBullFilter\ /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders" /v c:\Programme\SavingsBull\ /f

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


confiance 06.03.2014 22:06
Heureka! Alles sauber! :Boogie:

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 05-03-2014
Ran by user at 2014-03-06 18:08:15 Run:7
Running from C:\Dokumente und Einstellungen\user\Desktop
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\1708EDD6AB4EB164A86999D0AF0ABE1D" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AD04033484A18CA4CAB3EE59D39D756E" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1708EDD6AB4EB164A86999D0AF0ABE1D" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders" /v c:\Programme\SavingsBullFilter\ /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders" /v c:\Programme\SavingsBull\ /f
       
*****************


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\1708EDD6AB4EB164A86999D0AF0ABE1D" /f =========


Der Vorgang wurde erfolgreich ausgeführt.


========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AD04033484A18CA4CAB3EE59D39D756E" /f =========


Der Vorgang wurde erfolgreich ausgeführt.


========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1708EDD6AB4EB164A86999D0AF0ABE1D" /f =========


Der Vorgang wurde erfolgreich ausgeführt.


========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders" /v c:\Programme\SavingsBullFilter\ /f =========


Der Vorgang wurde erfolgreich ausgeführt.


========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders" /v c:\Programme\SavingsBull\ /f =========


Der Vorgang wurde erfolgreich ausgeführt.


========= End of Reg: =========


==== End of Fixlog ====
Ich mache mich dann nachher ans Aufräumen (die Anleitung hattest du ja schon gepostet) und melde mich danach zum Abschluss nochmal kurz mit Lobeshymnen. :party:

Und die Kollegin bekommt auf jeden Fall die Nummer vom Spendenkonto! :D

--------------
:taenzer: VIELEN DANK! :applaus:

Der Rechner ist wieder in einem brauchbaren, aufgeräumten Zustand, alles bestens!

Herzliche Grüße und ein schönes Frühlingswochenende!

:dankeschoen: :bussi:

sunjojo 06.03.2014 22:09
Hallo confiance,

schön, dass wir dir helfen konnten :abklatsch:.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht, damit erhalte ich keine Benachrichtungen über neue Antworten in diesem Thread. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder Andere bitte hier klicken und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:10 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131