Hilfe! Wie komme ich an diese "HKML, etc." Registrydateien

Begonnen von Andy2005, 16. Juli 2005, 14:52:59 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Andy2005

Hallo

mein PC ist zur Zeit mit ein paar "schweren" Viren befallen.
Ich habe Probleme sie wegzubekommen, da ich kein Anti-Virus-Program mehr
finde, welche die Viren erkennt und sie !auch löscht!.

Ich habe mich nun auf die "manuelle" Entfernung fixiert.
Dateinen alias "Files" welche infiziert sind (bzw. waren) habe ich alle
wegbekommen.
Doch die "Registrier-Dateien" (HKLM, etc.) bekomme ich nicht weg, da ich
nicht weiß wo sie sind bzw. wie ich sie entfernen kann.

Kann mir bitte jemand sagen wie ich an diese "HKLM, etc." Registrierdateien
komme?
Bekommt man diese dann auch normal weg, oder gibt es auch wieder Schwierig-
keiten?

Ich bitte um Hilfe!

PS:
Ach ja, falls ich mich letztendlich doch dazu entschließen würde, die
Festplatte zu formatieren, dann bitte ich noch darum, dass mir jemand sagt,
wie das funktioniert.
Denn das Problem ist, das ich nicht weiß wie ich bei "XP" auf den "MSDOS-Modus"
zugreifen kann (praktisch:format c:).
Wenn ich im Windows-Menü mit der rechten Maustaste auf der Festplatte gehe,
steht da auch der Befehl "formatieren" (bzw. Schnellformatierung), welcher
allerdings nicht funktioniert.


tyco

Poste mal den Inhalt Deiner HijackThis.log (http://www.merijn.org/downloads.html). Damit lassen sich die Registyeinträge fixen.
Bitte keine Supportanfragen per PM stellen.

Andy2005

Hallo

was soll das mit dem "fixen" bedeuten?
Ich habe das Program zwar schon als laufen lassen und bekomme dann das Protokoll mit den vielen "HKML etc.", aber
kann ich die denn mit dem Program auch löschen?
Bzw. was versteht man denn unter dem Begriff "fixen"?
Und wie mache ich das?

tyco

Schau mal unten links im HijackThis-Fenster. Da ist ein Button Fix checked::)

Alle Einträge die Du vorher angeklickt hast werden damit entfernt.

Bitte keine Supportanfragen per PM stellen.

Andy2005

Ok.
Ich habe mir das nochmal genauer angeschaut.
Habe die Dinger jetzt mal gefixt.
Die "HKWL" Registrierdateien die mit den "schweren" Viren verseucht sind, habe ich jedoch nicht wegbekommen bzw. waren da
anscheinend nicht dabei.
Kann/Muss man den "HJackThis" auch updaten?

Gibt es keine Möglichkeit über einen bestimmten Ordner oder ein anderes Programm, auf dieser "Registrierdateien" zuzugreifen?

tyco

Führe HijackThis mal im abgesicherten Modus aus und fixe dann. Anschliessend löscht Du vor einem Neustart den Inhalt des Papierkorbes.

Falls das auch nicht hilft, poste Dein Logfile ins Forum.
Bitte keine Supportanfragen per PM stellen.

Andy2005

Ich habe ihn im "abgesicherten Modus" fixen lassen. (4 Dinge kann er trotzdem nicht löschen - aber ich bin mir nicht sicher ob es sich
dabei überhaupt um Viren handelt, da er die Namen von manchen Virenscanner etc. benutzt)
Doch das Problem ist, das er die vielen "Infizierungen" garnicht erkennt, welche mir ein anderer Scanner auflistet.
Ich habe mal beide Protokolle genommen.

Der HJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:37, on 16.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

und der "Spyware Doctor": (kann es nicht "übersichtlicher/geordneterr" rüberkopieren)

Name der Infizierung   Standort
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}##
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\ProxyStubClsid
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\ProxyStubClsid##
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\ProxyStubClsid32
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\ProxyStubClsid32##
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\TypeLib
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\TypeLib##
Common Components for Gogotools, CWS variants and other adware   HKCR\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}\TypeLib##Version
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}##
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0##
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\0
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\0##
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\0\win32
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\0\win32##
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\FLAGS
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\FLAGS##
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\HELPDIR
Common Components for Gogotools, CWS variants and other adware   HKCR\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}\1.0\HELPDIR##
Quicknavigate Hijacker   HKCR\CLSID\VMHomepage
Quicknavigate Hijacker   HKCR\CLSID\VMHomepage##
Quicknavigate Hijacker   HKCR\CLSID\VMHomepage##CLSID
Quicknavigate Hijacker   HKCR\CLSID\VMHomepage##CurVer
Quicknavigate Hijacker   HKCR\CLSID\VMHomepage.1
Quicknavigate Hijacker   HKCR\CLSID\VMHomepage.1##
Quicknavigate Hijacker   HKCR\CLSID\VMHomepage.1##CLSID
Quicknavigate Hijacker   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta
Quicknavigate Hijacker   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta##
Quicknavigate Hijacker   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}
Quicknavigate Hijacker   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}##
Quicknavigate Hijacker   HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run##paint.exe
Trojan.FakeSpy   HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##winlogon.exe
Trojan.FakeSpy   HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##notepad2.exe
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar##
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files##
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files##TBPS.exe
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files\APP
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files\BBDE
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files\BBDHE
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files\BBDI
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files\COMMON
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files\SVC
WebSearch Toolbar   HKLM\SOFTWARE\Toolbar\Files\TBR
WinTools   HKLM\SOFTWARE\WinTools
WinTools   HKLM\SOFTWARE\WinTools##
WinTools   HKLM\SOFTWARE\WinTools\nlibx4m
WinTools   HKLM\SOFTWARE\WinTools\nlibx4m##
WinTools   HKLM\SOFTWARE\WinTools\nlibx4m\0g
WinTools   HKLM\SOFTWARE\WinTools\nlibx4m\0v
WinTools   HKLM\SOFTWARE\WinTools\nlibx4m\8q
WinTools   HKLM\SOFTWARE\WinTools\nlibx4m\qv
Transponder.Twain-tech   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{000020DD-C72E-4113-AF77-DD56626C6C42}
Transponder.Twain-tech   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{000020DD-C72E-4113-AF77-DD56626C6C42}\iexplore
WebSearch Toolbar   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{339BB23F-A864-48C0-A59F-29EA915965EC}
WebSearch Toolbar   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{339BB23F-A864-48C0-A59F-29EA915965EC}\iexplore
WebSearch Toolbar   HKCR\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}
WebSearch Toolbar   HKCR\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}\InprocServer32
WebSearch Toolbar   HKLM\Software\Classes\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}
WebSearch Toolbar   HKLM\Software\Classes\CLSID\{708BE496-E202-497B-BC31-9CF47E3BF8D6}\InprocServer32
WebSearch Toolbar   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8952A998-1E7E-4716-B23D-3DBE03910972}
WebSearch Toolbar   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8952A998-1E7E-4716-B23D-3DBE03910972}\iexplore
WinTools   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{87766247-311C-43B4-8499-3D5FEC94A183}
WinTools   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{87766247-311C-43B4-8499-3D5FEC94A183}\iexplore
Lop.com   C:\Dokumente und Einstellungen\Admin\Favoriten\adult\Hardcore.url
SCBar   C:\Dokumente und Einstellungen\Admin\Favoriten\shopping\Computers.url
Quicknavigate Hijacker   C:\WINDOWS\system32\hhk.dll
Quicknavigate Hijacker   C:\WINDOWS\system32\intmon.exe
CWS   C:\WINDOWS\system32\uichf.txt
CWS   C:\WINDOWS\szjtm.dat

-----------------------------

Achja, die Viren die ich habe sind "6 Spywares": (belastet mich nicht so sehr)
- CWS_Analyze IE
- CWS_MS AS
- PS Guard Desktop HiJacker
- PS Guard
- Virtual Maid Toolbar
- Web Search Toolbar (schon lange - ist nicht schlimm)

Und vorallem zwei Trojaner: (belastet mich sehr!)
- Antivirus Gold
- Trojan-Downloader-Zlob

tyco

Fix mal im abgesicherten Modus folgende Einträge:

Quicknavigate Hijacker HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run##paint.exe

Trojan.FakeSpy HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##winlogon.exe

Trojan.FakeSpy HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run##notepad2.exe

WebSearch Toolbar HKLM\SOFTWARE\Toolbar\Files##TBPS.exe

Quicknavigate Hijacker C:\WINDOWS\system32\intmon.exe

Anschliessend suchst Du die Dateien paint.exe, notepad2.exe, TBPS.exe und löscht sie, falls noch vorhanden. Die Datei  C:\WINDOWS\system32\intmon.exe löscht Du ebenfalls > Papierkorb leeren > Neustart.

Bitte keine Supportanfragen per PM stellen.

Andy2005

Ich kann diese Einträge nicht fixen, da sie der "HJackThis" nicht findet bzw. auflistet.
Und der "Spyware-Doctor" tut nur scannen.

Gibt es denn keine Möglichkeit über irgendeinen "Menübefehl" auf diese "Registriereinträge/dateien" zuzugreifen?

tyco

Zitat von: Andy2005 am 17. Juli 2005, 16:52:02 Uhr
Ich kann diese Einträge nicht fixen, da sie der "HJackThis" nicht findet bzw. auflistet.

Wie sieht es aus wenn Du im normalen Modus startest? Siehst Du die Einträge dann und kannst sie fixen? Papierkorb leeren nicht vergessen.
Bitte keine Supportanfragen per PM stellen.

Andy2005

Nein, das ist in beiden Modusen das gleiche.
Habe einige "Anti-Spyware" Programme, doch die meisten machen garkeine Viren weg, weil ich bei manchen den "Freischalt-Key" kaufen
müsste - bei anderen etwas nicht funktioniert (z.B. der SpySweeper lässt sich nicht richtig installieren und ist unbrauchbar) - andere
finden erst garkeine Viren.
Außerdem ist es so, dass fast jeder Scanner andere Viren auflistet.
Nur manche Viren kommen "fast immer" bei den verschiedenen Scannern vor.

Ich habe wirklich schon viele Programme ausprobiert, doch keiner kann mir wirklich helfen.
Z.B. - Spybot S&D > findet erst garkeine
      - Spyware Doctor > Viren löschen kostet 30 Euro
      - SpySweeper > Geht nichtmehr zu installieren
      - AnitVirus (Regenschirm) > löscht zwar Trojanerdateien, doch kommt anscheinend nicht an die "Kerndateien"
                                            (praktisch: macht nur die entstehenden "indifizierten Dateien" weg, welche von den "schweren Viren"
                                                           erstellt werden)
      - SpionFrei > löscht keine Viren, da er behauptet das er sich nicht mit dem Internet verbinden kann (was aber Quatsch ist, da
                        es [gegenwärtig] auch bei anderen Programmen klappt und ich eine "offene Verbindung" zum Netz habe).
      - Microstoft AntiSpyware > löscht ebenfalls, wie der "AntiVirus", nur "leichte Infizierungen"

        U.S.W.

Ich möchte umbedingt "manuell" an diese "Registryinfizierungen" kommen.
AntiSpyware-Programme nützt da einscheinend nichts mehr!




tyco

Gehen wir mal Schritt für Schritt vor.

Du hast den Trojaner Troj/Puper-D installiert. Der Trojaner hat folgende Dateien erzeugt:

<System>\hhk.dll
<System>\intmon.exe
<System>\hpXX.tmp - wobei XX für zufällig erzeugte Zeichen steht.

Der Neustart des Hauptprozesses durch intmon.exe funktioniert nur, wenn die Trojanerdatei den Namen shnlog.exe hat.

Daher kann das System desinfiziert werden, indem der Name der Datei shnlog.exe geändert und dann der Prozess popuper.exe beendet wird.

intmon.exe beendet sich selbst, wenn sie die Hauptdatei nicht mehr findet, um sie neu auszuführen. Beide Dateien können gelöscht und die Registrierung bereinigt werden.

Nachdem shnlog.exe von dem System entfernt wurde, können die Standardvorgehensweisen für die Desinfektion der anderen beiden Komponenten angewendet werden.

http://www.sophos.de/virusinfo/analyses/trojpuperd.html
Bitte keine Supportanfragen per PM stellen.

Andy2005

Hallo

ich habe die Trojaner über die "Registryeinträge" löschen können.
(Die Dateien die du beschrieben hast, finde ich nicht [oder nun nicht mehr]).
Ich habe jetzt nur noch fünf "Adware-Viren".
Ich dachte das das "hohe Risko" von den "Trojaner" kommt, doch das Parameter zeigt es immer noch an.

Problem ist dies, das ich die gefundenen "infizierte Einträge" (HKLM, etc.) nicht löschen kann (auch nicht im Abgesicherten).

Dann habe ich jetzt noch ein weiteres Problem:
Ich habe wahrscheinlich bei den Löschungen der Registrierungen (oder war es ein Viren der das veranlasst hat) eine falsche Datei
erwischt und
nun fehlt mir im "letzten Menü" der PC-Herunterfahrung (da wo die Konten sind und da steht "(PC NAME) ausschalten",  der Befehl
zum "ausschalten".
Er ist einfach weg!

Wie kann ich den wieder einrichten?

Wie bekomme ich denn nun die fünf restlichen Viren weg?

CWS_AnalyzeIE
PSGuard Desktop Hijacker
PSGuard
VirtualMaid Toolbar
WebSearch Toolbar