Trojan.AdRotator in HKEY_USERS

Dieses Thema Trojan.AdRotator in HKEY_USERS im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von ma91, 5. Okt. 2007.

Thema: Trojan.AdRotator in HKEY_USERS Liebe Forums-Teilnehmer, ich bitte Euch um Hilfe. Bei der Überprüfung meines Systems mit Spyware Doctor wurde...

  1. Liebe Forums-Teilnehmer,

    ich bitte Euch um Hilfe. Bei der Überprüfung meines Systems mit Spyware Doctor wurde folgendes Problem festgestellt:

    Trojan.AdRotator: 1 Bedrohung (36 Infizierungen) - Erhöht

    Diese Bedrohung sitzt in der Registry-Wert (Hkey_Users_S-1-5-21- .... \Software\Microsoft\Hid_Layer, install_id bzw. ...Hid_Layer, day, ... Hid_Layer, delete usw. Hkey_Classes_Root...) und in der Registry-Schlüssel (HKey_Users und HKey_Classes_Root).

    Darf ich diese Eintragungen im Registrierungs-Editor einfach löschen, oder ändern oder was kann ich tun, damit ich diese Trojan.AdRotator Bedrohung vom System bringe.

    Ich danke Euch im voraus für Eure Hilfe!
     
  2. Hallo pan_fee,

    danke für deine Antwort! Hijackthis scheint in Ordnung zu sein, oder übersehe ich da etwas. Auch andere Programme (Avast, Ad-Aware, Spyware Fighter, Spyware Terminator, Spybot) haben keine Infektion gemeldet, nur Spyware Doctor.

    Vielleicht kannst du mir noch mitteilen, wie ich nun weiter vorgehen soll.

    Hier das Logfile von Hijackthi:

    Logfile of HijackThis v1.99.1
    Scan saved at 12:47:05, on 05.10.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
    C:\Programme\Lexmark 4300 Series\lxcemon.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Lexmark 4300 Series\ezprint.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\QuickTime\QTTask.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Spyware Doctor\svcntaux.exe
    C:\Programme\SPYWAREfighter\spftray.exe
    C:\Programme\Spyware Doctor\SDTrayApp.exe
    C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Programme\WinZip\WZQKPICK.EXE
    C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
    C:\Programme\Spyware Doctor\swdsvc.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\snmptrap.exe
    C:\Programme\Spyware Terminator\sp_rsser.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\SPYWAREfighter\spfprc.exe
    C:\WINDOWS\system32\lxcecoms.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Programme\Opera\Opera.exe
    C:\Programme\SpywareDetector\SDService.exe
    C:\Programme\SpywareDetector\SDSystemTray.exe
    C:\Dokumente und Einstellungen\User\Eigene Dateien\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://orf.at/
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
    O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [lxcemon.exe] C:\Programme\Lexmark 4300 Series\lxcemon.exe
    O4 - HKLM\..\Run: [EzPrint] C:\Programme\Lexmark 4300 Series\ezprint.exe
    O4 - HKLM\..\Run: [FaxCenterServer] C:\Programme\Lexmark Fax Solutions\fm3032.exe /s
    O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
    O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe
    O4 - HKLM\..\Run: [SpywareTerminator] C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
    O4 - HKLM\..\Run: [SystemTraySD] C:\Programme\SpywareDetector\SDSystemTray.exe -AUTO
    O4 - HKLM\..\Run: [SDAutoLiveupdate] C:\Programme\SpywareDetector\LiveUpdateSD.exe -AUTO
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
    O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra->Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra->Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: SDNotify - C:\Programme\SpywareDetector\SDNotify.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe /service (file missing)
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
    O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
    O23 - Service: SDService - Max Secure Software - C:\Programme\SpywareDetector\SDService.exe
    O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
     
  3. sehe auch nichts Verdächtiges.
    Poste mal die kompletten Schüssel, die Spyware Doctor dir anzeigt.
    In der Registry kannst du den kompletten Pfad kopieren, Rechtsklick auf den Unterschlüssel und im Kontextmenü Schlüsselnamen kopieren
    Interessant wäre aber noch die rechte Seite des Unterschlüssels.

    Wenn du dich ein wenig auskennst, kannst du den Unterschlüssel exportieren und hier als TXT-Datei reinkopieren.

    pan_fee
     
  4. Hallo pan_fee,

    danke für deine Hilfe. Mit dem Posten des Schlüssel habe ich ein Problem. Ich versuche daher einige Eintragungen händisch.

    Trojan.Regfreeze (23 Infizierungen) in Registry-Wert und Registry-Schlüssel, Bedrohung niedrig, alle von der Art
    HKEY_USERS\S-1-5-21 ....\Software\ActualResearch\RegistryFreeze, Value_LastCheckedVersion
    HKEY_USERS\S-1-5-21 ....\Software\ActualResearch\RegistryFreeze, Value_FreezeIEStartPage
    weiter mit den Endungen ... Value_FreezeIESearchPage, ...Value_IEStartPage usw.

    Trojan.AdRotator (36 Infizierungen) in Registry-Wert und Registry-Schlüssel, Bedrohung erhöht, alle von der Art
    HKEY_USERS\S-1-5-21 ....\Software\Microsoft\HID_Layer
    HKEY_USERS\S-1-5-21 ....\Software\Microsoft\PiccoDrv
    HKEY_CLASSES_ROOT\Rotator.Gizmo2\CurVer
    HKEY_CLASSES_ROOT\Rotator.Gizmo2
    HKEY_CLASSES_ROOT\TypeLib\{2ED7 .....C02C87}\1.0\win32
    HKEY_CLASSES_ROOT\TypeLib\{2ED7 .....C02C87}\1.0\0
    weiter mit den Endungen ...\1.0\Flags ....\1.0HelpDir ...\1.0

    Es tut mir leid, dass meine Angaben so ungenau sind aber ich bringe sie nicht direkt vom Spydoctor herüber. Vielleicht kannst du trotzdem etwas damit anfangen. Auf jeden Fall vielen Dank.

    Hijackthis meldet nach wie vor keine Probleme und auch Ad-Aware findet nichts.
     
  5. da ich das Tool Spyware Doctor nicht verwende, frage ich dich ... hat das Tool eine Undo-Funktion, also sichert das Tool die Einträge, bevor du löscht? Hat Spyware Doctor eine Quarantäne bzw. eine Wiederherstellungsfunktionen?

    du benutzt auch das Tool RegFreeze von actualresearch.com? ???
    Die Registry-Einträge stammen von dem Tool RegFreeze und sind als Rogue/Suspect verzeichnet unter http://www.spywarewarrior.com/rogue_anti-spyware.htm#products.
    Deinstalliere die Software unter Systemsteuerung/Software und kontrolliere danach die Reg.-Einträge nochmal. Falls sie immer noch vorhanden sind lasse sie von Spyware Doctor löschen oder in Quarantäne verschieben.

    Auch hier von Spyware Doctor löschen lassen oder in Quarantäne verschieben.
    {2ED7 .....C02C87} = {2ed7cd5f-aee2-4b09-82f4-c96eb7c02c87}

    Es gibt aber noch mehr zu löschen:
    http://ca.com/at/securityadvisor/pest/pest.aspx?id=453117778
    lösche alle Registrierungseinträge, DLLs und Dateien.

    pan_fee
     
  6. Hallo pan_fee,

    danke für deine Hilfe. Um genau zu sein, verwende ich die Demoversion von Spyware Doctor und da ist die Lösch- und Quarantäne Funktion deaktiviert. Ich werde mir aber die Vollversion kaufen, wenn ich weiß, ob damit meine Probleme gelöst werden können. Aber da es so viele gute Spywareprogramme gibt, ist es nicht so leicht, die richtige Auswahl zu treffen.

    RegFreeze habe ich gestern nachmittag installiert, wieder auf der Suche nach dem richtigen Spyware-Programm. Nachdem ich dann bemerkt habe, dass RegFreeze sich überall eingetragen hat und Spyware Doctor diese Eingragungen als bedrohlich eingestuft hat, habe ich das Programm wieder deinstalliert. Und damit waren auch die Eintragungenin der Registry wieder verschwunden. Manchmal kommt bei mir der Verdacht auf, dass auch manche sogenannten Spywareprogramme mit Vorsicht zu benztzen sind.

    Die restlichen Eintragungen werden ich, wie von dir vorgeschlagen, löschen, aber nicht mit dem Spyware Doctor, sondern händisch. Anschließend werde ich wieder überprüfen. Vielleicht kannst du noch einmal vorbeischauen, damit ich meine Spyware-Probleme endgültig in den Griff bekomme.

    Nochmals danke für deine Hilfe. Liebe Grüße und ein schönes Wochenende.
     
  7. Hallo

    Zu deinem Spyware Doctor ich kenne den nicht aber habe schon gelesen denke
    wenn du ihn kaufen musst nicht so seriös...

    nimm bekannte

    A2Squaered ist sehr gut
    Ad-Aware / Spybot
    etc..

    Wenn du mal ne kleine linkliste möchtest

    mach mir ne mail compiutersandro (@) hotmail.com

    Grüsse Sandro
     
  8. Hallo Sandro,

    danke für deine Hilfe. Ich habe schon sehr viele Programme ausprobiert, unter anderem auch Ad-Aware und Spybot. Finde beide ganz gut, obwohl sie mir bei der Lösung meines Problems nicht wirklich weiter geholfen haben. A2Squaered kenne ich nicht, werde ich aber demnächst testen.

    Danke!
     
  9. genau, erst informieren.
    Hier werden suspekte Spyware-Tools aufgelistet:
    http://www.spywarewarrior.com/rogue_anti-spyware.htm#products

    schau bei uns im Softwarearchiv, hier gibt es auch das a-Squared
    http://www.wintotal.de/Software/?rb=31
    und alle Tools wurden von uns unter die Lupe genommen.

    Danke - wünsch ich dir auch.

    pan_fee
     
Die Seite wird geladen...

Trojan.AdRotator in HKEY_USERS - Ähnliche Themen

Forum Datum
per Script direkt in [HKEY_USERS] schreiben Webentwicklung, Hosting & Programmierung 2. Okt. 2003