Möglicher Trojaner ...
 

Hoi ich fand eure Community schon immer äußerst hilfreich, aber bis dato reichte die SuFu oder Google.de völlig aus um meine Probleme zu lösen^^ naja irgendwann ist immer das erstemal. Folgendes ich hab gestern mal mit TuneUp meinte Registry durchgekramt, und plötzlich stieß ich auf einen mir unbekannten Key mit einem sehr bizzaren Namen "HKEY_CURRENT_USER\Software\?? ?? ???? ????? ??? ?? ????" daraus werde ich nicht schlau. Hab ihn gestern gelöscht gehabt weil wie gesagt sieht echt merkwürdig aus ... aber heute war er wieder da, das "lustige" ist, wenn ich die Berechtigung ändern möchte steht da das ich die Rechte nicht hätte lol, obwohl ich auf einem Admin Konto unterwegs bin ...
Also wäre nett wenn jmd. vllt. eine Idee oder einen Tipp hätte. Danke schonmal
Ich häng mal nen HiJackThis LogFile an, aber ich kann da nix verdächtiges erkennen.

--------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:41, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TuneUp Utilities 2007\Integrator.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\TuneUp Utilities 2007\RegistryEditor.exe
E:\Sonstiges\Internet-Tools\Anti-Spyware\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 3505 bytes

--------------------------------------------------------------------------

Heya :)

Hast du mal mit Regedit nach dem Schlüssel gesucht?
(Start->Ausführen->Regedit eingeben)
Es handelt sich vermutlich um Zeichen die TuneUp nicht darstellen kann, etwa chinesische oder russische Zeichen.
Da hat vielleicht einfach jemand vergessen seinen Programmnamen zu übersetzen. :D

lg myrtille

Hmm erstmal danke für die schnelle Antwort^^, hab ich grade mal gemacht, beim Windows RegEdit steht der Schlüssel komischerweise nicht mit drin ...
Hab halt die Vermutung das es was sein könnte bin eigentlich recht gut geschüzt möchte ich meinen, hab atm AviraAntiVir, Spyware Doctor quasi als aktiven Schutz drauf und F-Secure Blacklight, Ewido und HighJackThis als passiven ... müsste doch reichen ^_°.

Mach mal folgendes:

Kopiere den Text:
in deinen Texteditor (Start->Ausführen->notepad eingeben) und speichere es als "tb.bat" ab. Wähle vorher als Dateityp "alle Dateien" aus.
Das Symbol der Datei sollte sich zu http://www.trojaner-board.de/attachm...-batchicon.jpg ändern.
Die Datei doppelklicken, es sollte sich ein Fenster öffnen, den Inhalt bitte hier posten. :)

lg myrtille

°_° oha kamen 2 Fehlermeldungen von wegen Dateisystemfehler dann stand folgendes im Fenster:

regedit /e
regedit /a

Hi,

dann versuche es bitte mal mit folgendem Skript:
Die Datei erneut als tb.bat abspeichern und ausführen, die sich öffnende Datei abspeichern und hinter zb bei file-upload hochladen.

Schicke mir dann den Link per PM oder setze ihn hier in einen Post.
Wenn wir deinen Eintrag so nicht finden, werden wir dein System auf Malware überprüfen um einen Befall ausschließen zu können.

lg myrtille

Okay hab ich gemacht, hast ne PM^^.

Mitdenken ist derzeit irgendwie nicht meine Stärke. Sorry.

Ich bräuchte noch ein Log mit der Bat... dasselbe nochmal wie die letzte Bat.

Den Inhalt der Datei wieder bei file-upload deponieren. :)

Die Einträge sind die folgenden:
Falls dir das schon was sagt. ;)

lg myrtille

So hast noch ne PM, hmmm naja hab mal bisschen rumgesucht aufm PC könnte vom Samsung PC Studio stammen :headbang:... sollte dem so sein, dann entschuldige ich mich schonmal für den ganzen Wirbel, aber so komische Fragezeichen machen mich halt stutzig.:cool:

Hi,
es handelt sich dabei um Schriftzeichen, die TuneUp nicht interpretieren kann.
Leider sind sie in unicode nicht viel lesbarer:
Hatte mir da was besseres erhofft. :p

Die ersten googletreffer deuteten eher Nokia als Samsung an. :D

lg myrtille

K, hab aber nen Samsung^^, naja dann trotzdem erstmal Thx für die Hilfe, wie gesagt Fragezeichen heißen ja eig nie was gutes ... deshalb wollt ich auf nummer sicher gehen.

Hi,
KarlKarl schlug noch vor, dass du dir den ProcessExplorer herunter lädst und versuchst mit dem Tool nachzuvollziehen, welche Datei auf den Schlüssel zugreift, da sollte man sehen können zu wem der Schlüssel gehört.

Weitere Instruktionen (falls du Interesse hast?) gibts dann morgen, ich geh jetzt erstmal ins Bett. ;)

lg myrtille

Hi, :)

Also lade dir den ProcessExplorer herunter und entpacke ihn in einen eigenen Ordner.

Führe ihn mit einem Doppelklick aus und rufe mit Ctrl+L die Filter auf.
Füge nun diese Filter ein:

• Wähle im ersten Feld Path aus, im zweiten begins with und schreibe ins dritte HKCU\Software, im vierten Fenster include auswählen. Danach auf Add klicken.
  
  
• Wähle im ersten Feld Path aus, im zweiten begins with und schreibe ins dritte HKCU\Software\Classes, im vierten Fenster exclude auswählen. Danach auf Add klicken.
  
  
• Wähle im ersten Feld Path aus, im zweiten begins with und schreibe ins dritte HKCU\Software\Microsoft, im vierten Fenster exclude auswählen. Danach auf Add klicken.
  
  
• Wähle im ersten Feld Path aus, im zweiten begins with und schreibe ins dritte HKCU\Software\Policies, im vierten Fenster exclude auswählen. Danach auf Add klicken.
  
  
• Wähle im ersten Feld Event Class aus, im zweiten is und schreibe ins dritte Profiling, im vierten Fenster exclude auswählen. Danach auf Add klicken.
  
  
• Wähle im ersten Feld Event Class aus, im zweiten is und schreibe ins dritte Process, im vierten Fenster exclude auswählen. Danach auf Add klicken.
  
  
• Wähle im ersten Feld Event Class aus, im zweiten is und schreibe ins dritte File System, im vierten Fenster exclude auswählen. Danach auf Add klicken.

Anschließend unten rechts auf Apply klicken
(Diese Filter musst du nur einmal eingeben. Wenn du den ProcessExplorer jetzt schließt und wieder öffnest, schlägt er dir die angegebenen Filter vor)

Das Tool schreibt nun mit welche Dateien auf welche Registryschlüssel zugreifen.
Lass es also im Hintergrund mitlaufen und arbeite mit den verschiedenen Programmen, von denen du denkst, dass sie den Schlüssel angelegt haben könnten.

Unter Tools->Registry Summary kannst du einsehen welche Registryschlüssel aufgerufen wurden.
Leider gibt es keine Garantie, dass der Schlüssel aufgerufen wird, selbst wenn das richtige Programm gestartet ist.

Wenn du alle "relevanten" Programme mal ausgeführt und benutzt hast (oder im Registry Summary siehst, dass der Schlüssel aufgerufen worden ist), dann kannst du das Log unter File->Save abspeichern und es irgendwo hochladen. Wähle bei Format bitte Comma Separated Value (CSV) aus.
Dann schau ich mir das nochmal an und guck ob ich den Schlüssel finden kann. :)

lg myrtille

:D kk Done! Hast mal wieder ne PM mit Link^^.

Heya :)

Also aus dem Bericht geht mE deutlich hervor, dass die Schlüssel, wie du schon sagtest, zu Samsung gehören:

und
lg myrtille