Wie lösche ich am besten einen Trojaner-Downloader aus detr Registry

Dieses Thema im Forum "Sicherheit" wurde erstellt von FT74, 20. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. FT74

    FT74 Byte

    Registriert seit:
    20. Januar 2004
    Beiträge:
    81
    Hallo,
    mein Virenprogramm hat gerade beim Installieren eines Programms einen Trojaner gemeldet. Ein Teil ist aber jetzt wohl doch installiert, nämlich der Trojaner-Downloader oder irgnd ein Programm, das andauernd versucht beim Start des Computers zu starten. Ich weiß das deshalb, weil ich den Startup Monitor und Startup Control Panel installiert habe. Dort habe ich das Programm auch schon deaktiviert. Trotzdem fragt der Startup Monitor mich immer, ob ich den Start des Trojanerprogramms zulassen will.
    Wie lösche ich denn jetzt den Registry - Eintrag für den Trojaner?
    Sorry, kenn mich da nicht so aus.
    Wäre für jeden Hinweis dankbar.
    MfG
     
  2. Denniss

    Denniss Megabyte

    Registriert seit:
    23. Juli 2000
    Beiträge:
    1.289
    R3 - URLSearchHook: _URLHandler - {9337C435-655C-4B13-AB3F-2A9136BC9AA6} - C:\PROGRA~1\GMX\GMXUPL~1\DFSDrive.dll
    -> Verdächtig
     
  3. Gast

    Gast Guest

    Hallo!

    Probiere mal diese Tools:

    Spybot

    CWShredder

    @franzkat
    Was ist denn interessant? Kläre mich mal auf. ;)
     
  4. FT74

    FT74 Byte

    Registriert seit:
    20. Januar 2004
    Beiträge:
    81
    Ja, hab?schon gesehen, dass igfxtray.exe bei mir von der Intel Corporation ist. Zumindest steht das unter Eigenschaften der Anwendung. Deshalb habe ich sie lieber nicht gelöscht.
    In der Registry habe ich auch keinen Eintrag mit Windows_LowLevel_Security_Core gefunden.

    Da hab?ich wohl noch mal Glück gehabt.

    In der Registry unter HKLM\...\Run ist auch kein Eintrag mehr von bundle.exe zu finden. Irgendwie wird das aber noch angezeigt, wenn ich das Programm Startup Control Panel aufrufe (und dort steht es unter dem Register HKLM\...\Run). Ich hab aber keine Ahnung warum. Weiß jemand, wie man das dort wegbekommt?



    :confused:
     
  5. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Das ist ja eine sehr interessante Seite. Habe ich mir gleich mal abgespeichert !
     
  6. Gast

    Gast Guest

  7. FT74

    FT74 Byte

    Registriert seit:
    20. Januar 2004
    Beiträge:
    81
    Wow, ich hätte nicht gedacht, dass igfxtray.exe ein Trojaner ist. Die Datei habe ich aber glaube ich schon länger auf meinem Notebook. Ich werde den Eintrag mal löschen und hoffe, dass dann noch alles funktioniert.
    Vielen Dank für den Hinweis.::eek:
     
  8. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ FT74

    Diese igfxtray.exe deutet vielleicht auf einen Trojaner hin.
    Die Trellian Toolbar ist i.O., du kannst sie aber trotzdem fixen, wenn du sie nicht mehr benötigst.

    @ bond7

    Process File: hkcmd or hkcmd.exe
    Process Name: Hkcmd
    Description: Application that implements the Intel Hotkey command.
    Company: Intel Corporation
    System Process: No
    Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
    Common Errors: N/A
     
  9. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @FT74
    O3 - Toolbar: Trellian Toolbar - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\ToolBar\toolbar.dll
    das sieht mir "unecht" und daher gefährlich aus
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    zu welcher anwendung gehört das tastatur-aufzeichnung-tool ?
     
  10. Gast

    Gast Guest

    Re: Systemwiederherstellung

    Nein, das siehst Du falsch, afaik macht die Systemwiederherstellung das (d.h. das Wiederherstellen von gelöschten Systemdateien) automatisch, ohne Dich zu fragen und ohne daß Du das mitbekommst.

    MfG
    Vimes

    (Geändert, da vorher mißverständlich formuliert)

    P.S.: Für mich sieht Dein Logfile sauber aus.
     
  11. FT74

    FT74 Byte

    Registriert seit:
    20. Januar 2004
    Beiträge:
    81
    Also gut, dann poste ich mal die Logdatei von HijackThis. Ich konnte nichts verdächtiges entdecken oder ist jemand anderer Meinung?

    Logfile of HijackThis v1.97.7
    Scan saved at 23:53:52, on 20.05.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AntiVirenKit 2004\AVKService.exe
    C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\PROGRA~1\Buhl\PCFIRE~1.0\sfw.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\StartupMonitor.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Steganos AntiDialer 6\guard.exe
    C:\Programme\FRITZ!\IWatch.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Dokumente und Einstellungen\Frank\Eigene Dateien\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pcwelt.de/
    R3 - URLSearchHook: _URLHandler - {9337C435-655C-4B13-AB3F-2A9136BC9AA6} - C:\PROGRA~1\GMX\GMXUPL~1\DFSDrive.dll
    O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Trellian Toolbar - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Programme\TRELLIAN\ToolBar\toolbar.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Secuties Personal Firewall] C:\Programme\Buhl\PC Firewall 2.0\sfw.exe /waitservice
    O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Steganos AntiDialer 6] "C:\Programme\Steganos AntiDialer 6\guard.exe"
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
    O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
    O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra button: Trashcan (HKCU)
    O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38101.2079861111
    O17 - HKLM\System\CCS\Services\Tcpip\..\{91F16AB9-ED98-4586-A4B0-3C01E5CB83A7}: NameServer = 192.168.120.252,192.168.120.253


    Ich wollte ja eigentlich nicht mein ganzes System wieder neu installieren, wenn es nicht sein muss.

    @ Vimes: Sehe ich das richtig, dass das mit der Systemwiederherstellung nur dann ein Problem ist, wenn ich sie betätige, d. h. das System wiederherstellen will?
     
  12. Gast

    Gast Guest

    Wenn "bundle.exe" im startup auftaucht, ist logischerweise auch noch nicht die Malware eliminiert:

    http://www.liutilities.com/products/wintaskspro/processlibrary/bundle/

    Du kannst einfach die Datei löschen, die normalerweise in C:\Dokumente und Einstellungen\( Benutzername)\Lokale Einstellungen\Temp sitzt.

    Aber das ist nur eine scheinbare Lösung. Nach meiner Meinung kommt es weniger darauf an, dass du nicht weißt, was sonst noch so an schädlichen Programmen auf deiner Platte ist . (Das wissen wir strenggenommen alle nicht) Vielmehr weißt du nicht, was die Malware mit deinem System angestellt hat.
     
  13. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ FT74

    mmk hat natürlich recht, das dein System nicht mehr vertrauenswürdig ist und du daher besser neuaufsetzen solltest.

    Die bundle.exe gehört auch zu SahAgent.
    Solange du keine Log Datei postest, kann man dir nur schlecht helfen.


    Wenn dein System mit einem Virus infiziert ist, kann es sein, dass der Virus durch die Systemwiederherstellung gesichert wird. Windows verhindert standardmäßig, dass die Systemwiederherstellung von anderen Programmen verändert wird. Es ist daher möglich, dass du eine mit einem Virus infizierte Datei versehentlich wiederherstellst.
     
  14. Gast

    Gast Guest

    Das hilft streng genommen nicht beim Löschen. Wenn Du aber aus dem Systemordner eine Systemdatei löschst, dann haut Dir die Systemwiederherstellung das automatisch wieder drauf. In diesem Falle die Malware, weil Windows das natürlich nicht wissen kann, daß das ein unerwünschtes Programm ist.

    Ansonsten stimme ich meinem Vorredner zu -- ist ein System einmal erkennbar befallen, weiß man nie, was da noch für'n Zeug drauf rumwurmt und -virt. Besser alles platt machen und neu aufsetzen.

    MfG
    Vimes
     
  15. Gast

    Gast Guest

    Da hilft nur eines:
    http://oschad.de/wiki/index.php/Kompromittierung
     
  16. FT74

    FT74 Byte

    Registriert seit:
    20. Januar 2004
    Beiträge:
    81
    Danke für den Hinweis mit dem Patch.
    Bis jetzt geht aber meine Internetverbindung noch. Ich hatte von dem Problem auch schon gelesen, aber vielleicht liegt es daran, dass ich noch versucht habe die Installation des verseuchten Programms abzubrechen. Anschließend habe ich mit einem Installationsüberwachungsprogramm versucht, die installierten Komponenten zu entfernen. Vielleicht hat das ja auch geholfen, weiteren Schaden zu vermeiden. Allerdings konnte ich nicht alle Dateien der Spyware entfernen und habe dann Adaware verwendet.
    Powermule habe ich übrigens nicht. Ich wollte mir gestern einen Bildschirmschoner aus dem Internet runterladen und der war verseucht.

    HijackThis habe ich bis jetzt noch nicht verfwendet. Bin mir auch ganz sicher, dass ich alles wieder entfernt habe, bis auf die Sache mit bundle.exe als Eintrag im Startup.

    Warum soll denn das Deaktivieren der Systemwiederherstellung beim Löschen helfen? Das würde mich interessieren.
     
  17. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo FT74,

    SahAgent ist Spyware. Hast du eventuell Powermule installiert, den diese Version hat den SahAgent onBoard.
    Löschen kannst du SahAgent mit Ad-Aware.Es gibt aber ein Problem: Sobald das Spytool erkannt und entfernt wird, kannst du wahrscheinlich keine Internetverbindung mehr aufbauen.

    Um dieses Problem wiederum zu beheben, gibt es folgenden englischsprachigen Patch (Quelle: http://cexx.org/lspfix.htm):
    http://cexx.org/lspfix.zip
    Zip-Datei entpacken und dann die lsp.exe starten.
    Dann nur noch auf Finish klicken, und das Problem sollte gelöst sein.

    Hinweise:
    -Bei LSP nicht den Haken bei "I know what I do" setzen!


    Process File: sahagent or sahagent.exe
    Process Name: Sahagent
    Description: Application that collects and combines user Internet browsing behavior and sends it to ShopAtHomeSelect servers.
    Company: ShopAtHomeSelect.com
    System Process: No
    Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): Yes
    Common Errors: N/A

    Bundle.exe

    Systemwiederherstellung abschalten, dann kannst du sie löschen

    Ps
    Poste die Log Datei von Hijackthis
     
  18. FT74

    FT74 Byte

    Registriert seit:
    20. Januar 2004
    Beiträge:
    81
    Hab?inzwischen mal ein bischen recherchiert und herausgefunden, dass die genannten Programme Spyware sind. Ich habe sie inzwischen mit Adaware beseitigen können.
    Ich musste also Hijack This gar nicht verwenden.
    Trotzdem erscheint jetzt immer noch der Eintrag "bundle.exe" , wenn ich das Startup Control Panel aufrufe. Da muss wohl noch ein Registry-Eintrag da sein, oder?
     
  19. the_firebird

    the_firebird Kbyte

    Registriert seit:
    15. Mai 2004
    Beiträge:
    136
    probiers über linux (knoppix) oder im abgesicherten modus mit der doskonsole
     
  20. FT74

    FT74 Byte

    Registriert seit:
    20. Januar 2004
    Beiträge:
    81
    Danke erstmal.
    Ich hoffe, ich werde dann kapieren, wie ich das Programm verwende.

    Ich hab?jetzt aber noch ein anderes Problem:

    Durch den Trojaner hat sich jetzt bei mir ein Programm mit dem Namen "sahagent1020.exe" unter Windows\System32 festgesetzt. (Sogar mit kleinem Pferd als Icon) Wenn ich es löschen will, erscheint die Meldung: Die Datei kann nicht gelöscht werden, weil sie von jemand anderem verwendet wird (oder so ähnlich). Bei `ner anderen Datei mit dem Namen "bundle.exe" erscheint die Mitteilung, dass sie nicht gelöscht werden kann, weil sie entweder voll oder schreibgeschützt ist.

    kann ich die Dateien auch von Hand löschen und wenn ja, wie?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen