CHECKLISTE / PC von Trojaner o. Malware befallen ?

#1 Verdächtige Eintragungen in der Registry
Viele trojanische Pferde werden über Registrierungsschlüssel beim Systemstart bzw. der Anmeldung eines Benutzers ausgeführt. Die typischen Registry-Schlüssel, in welche sich Malware jeglicher Art bevorzugt einschreibt sind:

Code

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\AeDebug
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Otions
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs

In den meisten Fällen muss ein gestarteter Prozess zuerst beendet werden, bevor das AV-Programm auf die zugehörigen Dateien zugreifen/löschen kann.

Mehr wertvolle Hilfe für die Spurensuche unter:
http://cert.uni-stuttgart.de/os/ms/windows-intruder-detection.php
__________
Durchsuchen --> Aussuchen --> Untersuchen

#2 Um die Funktion laufender Prozesse, die man mittels dem Logfile von HijackThis ermitteln kann, zu klären sind u.a folgende Seiten sehr gut geeignet.
http://www.reger24.de/processes.php
http://www.pacs-portal.co.uk/startup_index.htm
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.spywareinfo.com/~merijn/htlogtutorial.html

Download von HijackThis
http://www.chip.de/downloads/c_downloads_11353576.html
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Noch eine sehr gute und aktuell gehaltene Liste koennt ihr auch hier finden:

http://sysinfo.org/

Was man bei solchen Problemen an Vorarbeit leisten kann, koennt ihr hier lesen:

http://board.protecus.de/t9373.htm

So sie ist da! Die deutsche Uebersetzung der englischen Beschreibung von Hijackthis!
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
__________
MfG Ralf
SEO-Spam Hunter

#4 Da leider die Seiten für HijackThis und CWSShredder zur Zeit nicht Online sind, hier ein paar Alternativen

Alternative Download Seiten für HiJackThis
http://www.wintotal.de/softw/?id=2022
http://www.chip.de/downloads/c_downloads_11353576.html
http://computercops.biz/zx/phoenix22/hijackthis.zip
http://www.majorgeeks.com/downloadget.php?id=3155&file=3&evp=3304750663b552982a8baee6434cfc13

Alternative Download Seiten für CWS Shredder
http://www.chip.de/downloads/c_downloads_11353799.html
http://www.wintotal.de/softw/index.php?id=1935
http://www.computercops.biz/zx/phoenix22/cws.zip
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5

Zitat

joschi postete
Verdächtige Eintragungen in der Registry
Viele trojanische Pferde werden über Registrierungsschlüssel beim Systemstart bzw. der Anmeldung eines Benutzers ausgeführt. Die typischen Registry-Schlüssel hierfür sind:

Code

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\AeDebug
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Otions
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs

In den meisten Fällen muss ein gestarteter Prozess zuerst beendet werden, bevor das AV-Programm auf die zugehörigen Dateien zugreifen/löschen kann.

Mehr wertvolle Hilfe für die Spurensuche unter:
http://cert.uni-stuttgart.de/os/ms/windows-intruder-detection.php

wenn jetzt einer dieser schlüssel bei mir existiert, heißt das dann, dass mein system befallen ist?
(es tut mir leid, wenn das eine saublöde frage ist, die ich gerade stelle, aber ich bin in sachen viren und trojaner zum glück ein blutiger anfänger......)

#6 Durchaus berechtigte Frage . Die Schlüssel sind -zumindest teilweise- auf jeden Fall vorhanden, gehören zum System. Sie sind jedoch ein bevorzugter Ort, wo sich Malware reinschreibt umd eben bei Systemstart aktiv zu werden.
Werde das oben noch korrigieren.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 was mir nämlich bei der überprüfung meiner registry aufgefallen ist, ist dass bei mir ca.75% der o.g. schlüssel existieren. was soll ich damit jetzt anfangen?