Trojaner Sircam-A in der Registry

Dieses Thema Trojaner Sircam-A in der Registry im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von kahlep, 22. Nov. 2005.

Thema: Trojaner Sircam-A in der Registry Hi, wenn ich das System (WinXP Prof.) starte, zeigt mir der ADWatch von AdAware zwei Änderungen in der Registry an....

  1. Hi,

    wenn ich das System (WinXP Prof.) starte, zeigt mir der ADWatch von AdAware zwei Änderungen in der Registry an.
    1. 20.11.2005 16:16:24 - Eine Änderung der Registrierung wurde festgestellt
    Stamm:HKEY_LOCAL_MACHINE
    Schlüssel:SOFTWARE\Classes\exefile\shell\open\command
    Wert:
    Daten:
    Neue Daten:%1 %*

    2.20.11.2005 16:16:24 - Eine Änderung der Registrierung wurde festgestellt
    Stamm:HKEY_LOCAL_MACHINE
    Schlüssel:Software\Microsoft\Windows\CurrentVersion\RunServices
    Wert:Driver32
    Daten:
    Neue Daten:Overwritten when removing W32/Sircam-A, please delete.

    Dieses habe ich erst einmal durch die Erstellung eines Regeleditors unterbunden, aber wer kann mir helfen den Trojaner gänzlich loszuwerden.
    Ein einfaches Lösche der Zeile in Hijackthis: O4 - HKLM\..\RunServices: [Driver32] Overwritten when removing W32/Sircam-A, please delete.reicht nicht aus, da nach einem Systemstart diese Zeile wieder drin steht.

    Spybot und AdAware zeigen den Trojaner nicht an. Was kann ich tun?

    Peter
     
  2. hallo,
    hat eigentlich schon mal jemand empfohlen die Systemwiederherstellung zu deaktivieren und zwar so lange bis die Sache bereinigt ist?
     
  3. Hallo,

    nein, wurde noch nicht empfohlen. Wozu dient das ?

    Peter
     
  4. Entferne ich damit auch den Trojaner, da kein Sicherheitsprogramm ihn irgendwo anzeigt, oder bleibt er auf dem System trotzdem erhalten?
    Ich weiß eben nicht wo der Befehl die Registry zu ändern eigentlich bherkommt.

    Peter
     
  5. Hi,

    wie könnte es denn nun weitergehen. Die Systemwiederherstellung habe ich ausgeschalten.

    Hier noch mal die Hijackthis Auswertung.
    Die zeile O4 - HKLM\..\RunServices: [Driver32] Overwritten when removing W32/Sircam-A, please delete, kommt nach dem löschen aber wieder.

    Wie kriege ich das Mistding endgültig raus?

    Logfile of HijackThis v1.99.1
    Scan saved at 09:48:10, on 24.11.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Programme\Sophos\AutoUpdate\ALMon.exe
    C:\Programme\FRITZ!\FriFax32.exe
    C:\Programme\FRITZ!\FriFon32.exe
    C:\Programme\FRITZ!\IWatch.exe
    C:\Programme\Microsoft Office XP\Office10\OUTLOOK.EXE
    C:\Programme\Sophos\AutoUpdate\ALsvc.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Programme\Microsoft Office XP\Office10\WINWORD.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.076\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [AWMON] C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    O4 - HKLM\..\RunServices: [Driver32] Overwritten when removing W32/Sircam-A, please delete.
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Ad-Watch SE Professional.lnk = C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
    O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
    O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
    O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office XP\Office10\OSA.EXE
    O4 - Global Startup: Microsoft Outlook.lnk = ?
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
    O23 - Service: Sophos AutoUpdate Service (ActiveLinkClient) - Unknown owner - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
     
  6. Start - Ausführen - regedit - OK
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

    also RunServices direkt anklicken, die vorhergehenden anderen ordnerähnlichen Unterschlüssel auf das Plus-Zeichen davor anklicken, damit sich die weiteren Unterschlüssel öffnen.

    Im RunServices Ordner im rechten Fenster den Eintrag Driver32 oder Overwritten löschen (Rechtsklick -> Löschen).

    Diese Registry-Werte sind überschrieben worden und stellen keine Gefahr mehr dar.

    pan_fee
     
  7. Hi Leute,

    hiermit bedanke ich mich bei allen Helfern.
    Leider konnte ich das Problem nicht in den Griff bekommen.
    Es bleibt nichts weiter übrig, als neu zu installieren. Die Fehler häufen sich.

    Eigentlich war mein System gut geschützt, also war es ein Anwenderfehler. Folgendes einfach einhalten,
    und es dürfte euch gut schützen:

    SpyBot Search und Destroy installieren und unter Profi Einstellungen den Tea Timer ankreuzen.
    ( Dieser startet dann beim Systemstart mit und fragt den Benutzer bei einer Registryänderung erst um erlaubnis.)

    Diese Nachfragen gut durchlesen und gegebenenfalls verweigern, so kann nichts passieren.

    Ein mal auf ja hat bei mir gereicht, um den Teufel geweckt zu haben.

    Viel Glück

    Peter
     
Die Seite wird geladen...

Trojaner Sircam-A in der Registry - Ähnliche Themen

Forum Datum
Bundeskriminalamt Trojaner Viren, Trojaner, Spyware etc. 21. Nov. 2014
Windows 7 Trojaner?? Windows 7 Forum 22. Okt. 2014
Trojaner/vius ? Windows 8 Forum 15. Aug. 2013
Recovery CD bei Trojaner erstellen? Windows 7 Forum 7. Aug. 2011
Antispyware Virus Trojaner Bitte Hilfe... Firewalls & Virenscanner 5. Mai 2010