Trojaner-Board - Hilfe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe - POP UP's!!! (https://www.trojaner-board.de/26138-hilfe-pop-ups.html)

wenn du die reg doppeltklickst, wirst du gefragt mit ja oder nein, ob sie der registry beigefuegt werden soll.
antworte mit ja.

schau noch mal, ob alles so ist, wie jetzt, denn ich habe editiert...waehrend du schon auf der Lauer gelegen hast...du warst zu schnell :D

dann scanne noch mal mit Rootkitrevealer

Ja, sorry, aber wenns jetzt dem Ende zugeht, kann ichs gar nicht mehr erwarten.....
Ich hab im Normalfall schon keine Geduld für nix, und dies war ne harte Prüfung für mich (+ die beiden Kittys...)

OK, ich habs nochmal gemacht und die ersten beiden vorsichtshalber gelöscht.

Allerdings stand da noch was von Codierung, da ist jetzt ANSI eingestellt - ist das so richtig?

Gruss, Suse

Alles erledigt!

Rootkit - log:

KLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 11.2.2006 16:03 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\PINNACLESYS\MSSQLServer\uptime_time_utc 11.2.2006 16:02 8 bytes Data mismatch between Windows API and raw hive data.
C:\RECYCLER\NPROTECT\02775172.DIC 7.2.2006 15:00 162 bytes Visible in Windows API, but not in MFT or directory index.
C:\RECYCLER\NPROTECT\02775173.DIC 7.2.2006 15:00 162 bytes Visible in Windows API, but not in MFT or directory index.
C:\RECYCLER\NPROTECT\02777945 11.2.2006 16:04 5.10 MB Hidden from Windows API.
C:\RECYCLER\NPROTECT\02777946.edb 11.2.2006 16:01 64.00 KB Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 11.2.2006 16:01 64.00 KB Visible in Windows API, but not in MFT or directory index.

Sind wir durch? :huepp:

Danke!

Gruss, Suse

Zitat:

Zitat von senpl

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 14.12.2004 21:43 0 bytes Key name contains embedded nulls (*)

Diese Einträge noch mit RegDelNul löschen. Im Anschluss daran nochmal die von Sabina erwähnte fixme.reg laufen lassen.

Wie geht das mit dem Löschen?

regdelnull hab ich runtergeladen, wenn ich auf die exe klicke, öffnet sich nix.

Leider ist auf der Seite alles englisch, kann ich nicht verstehen.

fixme.reg - die von mir auf den Desktop kopierte?

Danke, Suse

am besten kopierst Du die Datei "regelnul.exe" in folgenden Ordner C:\Windows

Dann klickst Du auf "Start" -> "Ausführen" gibst cmd ein und drückst "Enter". Dann gibst Du in dem Fenster regdelnul HKLM -s ein. Danach folgen Abfragen, ob Du die gefundenen Sachen löschen willst.

Zitat:

Zitat von senpl

fixme.reg - die von mir auf den Desktop kopierte?

Ich meine das hier:

Zitat:

Zitat von Sabina

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\S-1-5-21-2255585776-910089136-1440489552-1007\Software\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}]

Geht leider nicht!

Ich bekomm die Meldung regdelnull (regdelnul) falsch geschrieben.....oder konnte nicht gefunden werden...

Ich schreib das genau so, wie es in C steht: regdelnull

Was mach ich nu falsch?

Danke, Suse

Zitat:

Zitat von senpl

Ich bekomm die Meldung regdelnull (regdelnul) falsch geschrieben.....oder konnte nicht gefunden werden...

Ok, versuchen wir es anders rum:

Kopiere die Datei regdelnull.exe nach C:\
Nun Start -> Ausführen -> cmd (Enter)
Nun cd.. eingeben (Enter).
Das ganze Nochmal.
Jetzt sollte da stehen:

C:\>

Eingeben:

regdelnull hklm -s
(Enter drücken)

leider auch nicht, es steht nicht C da, es steht immer:

c:\dokumente und Einstellungen\suse>_

und dann wieder ...falsch geschrieben oder nicht gefunden....

Ich glaub, ich habs, ich musste das mit cd.. 2mal machen

OK, erledigt!

Gelöscht und fix laufen lassen.

Muss ich jetzt nochmal irgendein Kontrollprogramm oder sowas laufen lassen?

Danke, Suse

********hinfällig. hatte ja geklappt***************

dann scanne noch mal mit Rootkitrevealer, wenn die Registry-Eintraege geloescht sind ;)

Das ist jetzt bei Rootkit rausgekommen:

KLM\SOFTWARE\Microsoft\Microsoft SQL Server\PINNACLESYS\MSSQLServer\uptime_time_utc 11.2.2006 18:29 8 bytes Data mismatch between Windows API and raw hive data.
C:\RECYCLER\NPROTECT\02775196.MOZ 7.2.2006 16:00 162 bytes Visible in Windows API, but not in MFT or directory index.
C:\RECYCLER\NPROTECT\02778008 11.2.2006 18:31 5.22 MB Hidden from Windows API.

Soltte es das jetzt gewesen sein.....??? :dummguck:

Gruss, Suse

Ja, das sollte es gewesen sein.

Der erste Eintrag ist Pinnacle. Die sind leider dafür bekannt, immer mindestens einen Eintrag zu verstecken. Die beiden anderen gehören zum Protected Recycler von Norton/Symantec, sollten also auch ok sein.

Herrlich diese Ruhe!

Ich möchte mich dann hier mal bei allen fleißigen Helfern bedanken, die nicht ihre Geduld verloren haben und hier in mich und meine Blöd- und Unerfahrenheit unglaublich viel Zeit und Mühe investiert haben!!!

VIELEN VIELEN DANK!!! :bussi:

ganz besonders an Sabina!

@Sabina: Denk an den Inhalt meiner PM.....!

Nu heißt es :party:

und, wenn mir was komisch vorkommt - Finger weg und nix aufschwatzen lassen.

Danke!, ich habe viel gelernt bei Euch!

Nehmts nicht persönlich - Aber ehrlich gesagt, ich hoffe, wir hören nicht wieder voneinander in diesem Forum...... :lach:

Gruss, eine zufriedene SUSE