explorer.exe will cocolite.ath.cx auf port 80 kontaktieren

#0
23.09.2006, 13:31
...neu hier

Beiträge: 9
#1 Man denkt ja immer, einem passiert nichts...

Ich bin mittlerweile ziemlich sicher, das mein REALVNC mir einen Eindringling ins Haus geholt hat. Gestern öffnet sich plötzlich meine Run-Box und jemand versucht sich an http:\\www.w32-gen.us\oagain.exe. HILFE!

Ich habe sofort alle Verbindungen gekappt und gegengesteuert.
Der VNC ist mittlerweile deinstalliert.

Wenig später stürzt meine "explorer.exe" ab und startet sich neu. Und plötzlich bewegt sich meine Maus... Schnell den Rechner aus. Horror.

Mehrer Virenscans, HJT, Adaware, Spybot haben keine Meldungen generiert, die mich beunruhigt hätten.

Aber ich befürchte, dass noch irgendetwas los ist.

Was mich z.B. total stutzig macht ist die explorer.exe, die laut neu installierter spf - Firewall immer einen Rechner cocolite.ath.cx auf Port 80 anfunken will. Ich kenn dieses Ziel nicht (ist wohl eine dyndns.org-Domain).

Hat jemand eine Idee, was ich tun kann, um, wieder ruhig zu schlafen?

Viele Grüße,
Frankie

--------------
UPDATE:
Diese Adresse http://cocolite.ath.cx macht mich verrückt. Ich wüsste gerne mal, wer diese Anfrage initial auslöst. Wie komm ich dem auf die Spur?

Letztendlich stellt sich die Anfrage über die explorer.exe dar...

Kann mir jemand detektivische Hilfe leisten?
Dieser Beitrag wurde am 23.09.2006 um 17:56 Uhr von frankiebm editiert.
Seitenanfang Seitenende
23.09.2006, 21:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 wir hatten das schon mal hier, ich muesste den Thread suchen ;)
Antivirus hat damals 3 Trojanaer geloescht,
http://virus-protect.org/antivirus.html
(im abgesicherten Modus scannen)

Lade Dir das Tool Autoruns runter
http://virus-protect.org/artikel/tools/autoruns.html
entpacke im abgesicherten Modus von Windows unter Deinem Benutzernamen angemeldet die Zip-Datei
führe autoruns.exe aus
mach bei "Options" bei "Verify Code Signatures" - "Hide Signed Microsoft Entries" jeweils Häckchen und vergewissere Dich, dass bei "Include Empty Locations" kein Häckchen ist.
poste das Log



ist eine argentinische Seite:


Zitat

ip address: 201.253.13.187 (copy)
country: Argentina
state: Santa Fe
city: Puerto Fray Luis A. Beltrán
latitude: -32.799999
longitude: -60.716702
isp: Telecom Argentina S.A.
organization: Telecom Argentina S.A.

Zitat

canonical name cocolite.ath.cx.
aliases
addresses 201.253.13.187

.CX Domain Information
Domain: ath.cx
Created: 09 May 2001
Expires: 15 Feb 2008
Modified: 15 Feb 2005
Status: Active
Registrar: Christmas Island Technology Corp
http://www.netdns.cx/
Name Servers:
ns.dyndns.org
ns2.dyndns.org
ns3.dyndns.org
ns4.dyndns.org
Contact Information - Administrative
Given Name: DynDNS
Surname: Hostmaster
Organisation: Dynamic Network Services, Inc.
Address: 1 Sundial Ave. Suite 301
City: Manchester
State: NH
Postcode: 03103
Country: United States
Email: hostmaster@dyndns.org
Phone: 603-668-4998
Fax: 603-668-6474
Modified: 15 Mar 2005


.DM Domain Information
Domain: ath.dm
Status: Not Registered

inetnum: 201.253.12/23
status: reallocated
owner: Apolo -Gold-Telecom-Per
ownerid: AR-APGO-LACNIC
responsible: Aseguramiento de Datos
address: Dorrego, 2520, piso 3°
address: 1425 - Capital Federal -
country: AR
phone: +54 11 4968-7975 []
owner-c: ADA
tech-c: ADA
created: 20051118
changed: 20051118
inetnum-up: 201.253/16

nic-hdl: ADA
person: Administrador Abuse
e-mail: abuse@TA.TELECOM.COM.AR
address: Dorrego, 2520, Piso 3
address: 1425 - Buenos Aires -
country: AR
phone: +54 11 4968 [7975]
created: 20030211
changed: 20030715

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.


DNS records
name class type data time to live
cocolite.ath.cx IN A 201.253.13.187 60s (00:01:00)
ath.cx IN SOA
server: ns1.dyndns.org
email: hostmaster.dyndns.org
serial: 2134607411
refresh: 600
retry: 300
expire: 604800
minimum ttl: 600
600s (00:10:00)
ath.cx IN NS ns2.dyndns.org 86400s (1.00:00:00)
ath.cx IN NS ns3.dyndns.org 86400s (1.00:00:00)
ath.cx IN NS ns4.dyndns.org 86400s (1.00:00:00)
ath.cx IN NS ns5.dyndns.org 86400s (1.00:00:00)
ath.cx IN NS ns1.dyndns.org 86400s (1.00:00:00)
ath.cx IN A 63.208.196.104 86400s (1.00:00:00)
ath.cx IN MX
preference: 20
exchange: mail.dyndns.org
86400s (1.00:00:00)
ath.cx IN MX
preference: 50
exchange: mx2.mailhop.org
86400s (1.00:00:00)
187.13.253.201.in-addr.arpa IN PTR host187.201-253-13.telecom.net.ar 7200s (02:00:00)
Traceroute

Tracing route to cocolite.ath.cx [201.253.13.187]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 1 0 70.84.211.97 61.d3.5446.static.theplanet.com
2 0 0 0 70.84.160.161 vl2.dsr01.dllstx5.theplanet.com
3 0 0 0 70.85.127.105 po51.dsr01.dllstx3.theplanet.com
4 6 0 0 70.85.127.37 25.7f.5546.static.theplanet.com
5 0 1 0 208.175.175.9 aer1-ge-4-3.dallasequinix.savvis.net
6 0 0 0 204.70.194.17 dpr1-ge-2-2-0.dallasequinix.savvis.net
7 0 0 0 204.70.193.209 dcr2-so-7-1-0.dallas.savvis.net
8 1 28 28 204.70.193.193 acr2-so-2-0-0.miami.savvis.net
9 28 29 28 208.172.99.94 bpr2-so-4-0-0.miamimit.savvis.net
10 29 28 28 208.172.99.94 bpr2-so-4-0-0.miamimit.savvis.net
11 30 30 30 195.22.199.193 mia7-mia5-racc1.mia.seabone.net
12 29 30 29 195.22.199.193 mia7-mia5-racc1.mia.seabone.net
13 * 30 * 195.22.199.126 customer-side-telecom-argentina-7-ar-mia7.mia.seabone.net
14 * * *
15 * * *
16 192 * 272 201.253.13.187 host187.201-253-13.telecom.net.ar

Trace complete
Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 Error: ConnectionRefused
POP3 - 110 Error: TimedOut
IMAP - 143 Error: TimedOut



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.09.2006, 12:55
...neu hier

Themenstarter

Beiträge: 9
#3 Hallo Sabina!

Ich werde mich mal an die Tips halten, heute abend mal wieder auf die Suche gehen.

Den Thread hatte ich seinerzeit auch gefunden.
Antivirus hatte bei mir nichts gefunden, ausser einem JAVA/Blackbox oder so ähnlich. (War eine .jar Datei, die ihm nicht gefallen hat)

Was ich mittlerweile aber auch festgestellt habe: In der Registry gibt es einen Zweig unter dem Current User, der diesen komischen cocolite.ath.cx Server als eintrag für einen WindowsUpdate Server eingestellt hatte. Ein Schlüssel hiess glaub ich "homecall" oder so ähnlich. Das fand ich alles schon sehr verdächtig...

Ich in Kürze noch mal die Details und befolge die Anweisungen.

Auf jeden Fall schon mal vielen Dank,

Frankie
---
Update:

Hier also das Update.

Meine Recherchen haben schon folgenden (aus meiner Sicht) besorgniserregenden Eintrag in der Registry zu Tage gefördert:

Windows Registry Editor Version 5.00

Zitat

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]
"Installed date"="19/09/2006 17:03:51"
"Email"="coco004@gmail.com"
"Sent Times"="000016"
"Sent date"="24/09/2006 20:06:01"
"CallBack Hostname"="cocolite.ath.cx"
"Icon Times"="000038"
Der 19.09. war ein Datum, an dem mein Rechner samt RealVNC lief und ich den fernsteuern wollte. Ich habe es nicht hingekriegt, weil ich das Passwort vergessen hatte. ;) Dafür hat sich scheinbar cocolite installiert.
Sent Times = 16. Auweia.

Ich habe dann mal einen Eintrag in der hosts-Datei vorgenommen der cocolite.ath.cx 127.0.0.1 zuweist. Damit da erst mal Ruhe ist.

Hier ist jetzt zuletzt das Logfile von autoruns.exe mit den vorgeschlagenen Einstellungen.

Und nochmals vielen Dank für die Hilfe!

Viele Grüße,
Frankie

Zitat

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Acrobat Assistant 7.0 AcroTray (Not verified) Adobe Systems Inc. c:\programme\adobe\adobe acrobat 7.0\distillr\acrotray.exe
+ avgnt Antivirus System Tray Tool (Not verified) Avira GmbH c:\programme\antivir personaledition classic\avgnt.exe
+ DAEMON Tools-1033 Virtual DAEMON Manager (Not verified) DAEMON'S HOME c:\programme\d-tools\daemon.exe
+ FileZilla Server Interface REM (Not verified) LAB1.DE c:\windows\system32\rem.exe
+ iTunesHelper iTunesHelper Module (Verified) Apple Computer, Inc. c:\programme\itunes\ituneshelper.exe
+ Jet Detection Creative JetDetect c:\programme\creative\sblive\program\adgjdet.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ nod32kui NOD32 Control Center GUI (Not verified) Eset c:\programme\eset\nod32kui.exe
+ nwiz NVIDIA nView Wizard, Version 110.26 (Not verified) NVIDIA Corporation c:\windows\system32\nwiz.exe
+ Openwares LiveUpdate REM (Not verified) LAB1.DE c:\windows\system32\rem.exe
+ OSSelectorReinstall c:\programme\gemeinsame dateien\acronis\acronis disk director\oss_reinstall.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\programme\quicktime\qttask.exe
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\programme\cyberlink\powerdvd\pdvdserv.exe
+ SmcService Sygate Agent Firewall (Verified) Sygate Technologies, Inc. c:\programme\sygate\spf\smc.exe
+ Sony Ericsson PC Suite Application Launcher (Not verified) Sony Ericsson Mobile Communications AB c:\programme\sony ericsson\mobile2\application launcher\application launcher.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\programme\java\jre1.5.0_06\bin\jusched.exe
+ TopDesk TopDesk 1.4.1 (Not verified) Otaku Software c:\programme\topdesk\topdesk.exe
+ type32 Type32.exe (Not verified) Microsoft Corporation c:\programme\microsoft intellitype pro\type32.exe
+ UltraMon UltraMon (Not verified) Realtime Soft c:\programme\ultramon\ultramon.exe
+ UpdReg Creative UpdReg (Not verified) Creative Technology Ltd. c:\windows\updreg.exe
+ WinampAgent REM (Not verified) LAB1.DE c:\windows\system32\rem.exe
+ WINDVDPatch REM (Not verified) LAB1.DE c:\windows\system32\rem.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
+ Adobe Acrobat - Schnellstart.lnk c:\windows\installer\{ac76ba86-1033-f400-7760-000000000002}\sc_acrobat.exe
+ Cisco Systems VPN Client.lnk Cisco Systems VPN Client (Verified) Cisco Systems, Inc. c:\programme\cisco systems\vpn client\vpngui.exe
C:\Dokumente und Einstellungen\Frankie\Startmenü\Programme\Autostart
+ Adobe Gamma.lnk Adobe Gamma Loader (Not verified) Adobe Systems, Inc. c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma loader.exe
+ trillian.lnk Trillian (Not verified) Cerulean Studios c:\programme\trillian\trillian.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} Nero Home (Not verified) Nero AG c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe
+ Copernic Desktop Search Copernic Desktop Search (Verified) Copernic Technologies Inc. c:\programme\copernic desktop search\copernicdesktopsearch.exe
+ Free Download Manager c:\programme\free download manager\fdm.exe
+ H/PC Connection Agent ActiveSync Connection Manager (Not verified) Microsoft Corporation c:\programme\microsoft activesync\wcescomm.exe
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ n/a c:\dokumente und einstellungen\all users\anwendungsdaten\services.exe
+ n/a Microsoft .NET IE SECURITY REGISTRATION (Not verified) Microsoft Corporation c:\windows\system32\mscories.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ 7-Zip Shell Extension c:\programme\7-zip\7-zip.dll
+ Adobe.Acrobat.ContextMenu Adobe Acrobat Context Menu (Not verified) Adobe Systems Inc. c:\programme\adobe\adobe acrobat 7.0\acrobat elements\contextmenu.dll
+ AlcoholShellEx AXShlEx.dll (Not verified) Alcohol Soft Development Team c:\programme\alcohol soft\alcohol 120\axshlex.dll
+ Context Menu Shell Extension Tag&Rename shell extension (Not verified) Softpointer Inc c:\programme\tagrename\tagrename\trshell.dll
+ CPL-Erweiterung für Anzeigeverschiebung File not found: deskpan.dll
+ Delphi Context Menu Shell Extension Example c:\programme\exifer\exifershellext.dll
+ Desktop Explorer NVIDIA Desktop Explorer, Version 110.26 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 110.26 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Fusion Cache Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ IExif Extension OpandaShellExt Module c:\programme\opanda\iexif 1.8\opandashellext.dll
+ IntelliType Pro Key Settings Control Panel Property Page itcplkey.dll (Not verified) Microsoft Corporation c:\programme\microsoft intellitype pro\itcplkey.dll
+ IntelliType Pro Scrolling Control Panel Property Page itcplwhl (Not verified) Microsoft Corporation c:\programme\microsoft intellitype pro\itcplwhl.dll
+ IntelliType Pro Wireless Control Panel Property Page itcplwir (Not verified) Microsoft Corporation c:\programme\microsoft intellitype pro\itcplwir.dll
+ IntelliType Pro Zooming Control Panel Property Page itcplzm.dll (Not verified) Microsoft Corporation c:\programme\microsoft intellitype pro\itcplzm.dll
+ iTunes iTunes Mini Player DLL (Verified) Apple Computer, Inc. c:\programme\itunes\itunesminiplayer.dll
+ Mobile Device Mobile Devices Shell Extension (Not verified) Microsoft Corporation c:\programme\microsoft activesync\wcesview.dll
+ NeroDigitalIconHandler Nero Digital Shell Extension (Not verified) Nero AG c:\programme\gemeinsame dateien\ahead\lib\nerodigitalext.dll
+ NeroDigitalPropSheetHandler Nero Digital Shell Extension (Not verified) Nero AG c:\programme\gemeinsame dateien\ahead\lib\nerodigitalext.dll
+ NOD32 Context Menu Shell Extension c:\programme\eset\nodshex.dll
+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 110.26 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ RExpCtxU RExpCtx DLL c:\programme\resco\pocket encryption\rexpctxu.dll
+ Shell Extension for Malware scanning ShlExt.dll (Not verified) H+BEDV Datentechnik GmbH c:\programme\antivir personaledition classic\shlext.dll
+ Shell Icon Handler for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ ShellLink for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ Sony Ericsson Datei-Manager File Manager interface (Not verified) Sony Ericsson Mobile Communications AB c:\programme\sony ericsson\mobile2\file manager\fmgrgui.dll
+ TuneUp Shredder Shell Context Menu Extension TuneUp Shredder Shell Extension (Not verified) TuneUp Software GmbH c:\programme\tuneup utilities 2006\sdshelex.dll
+ WinRAR shell extension c:\programme\winrar\rarext.dll
+ XnView Shell Extension XnViewShellExt Module c:\programme\xnview\xnviewshellext.dll
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ NeroDigitalColumnHandler Class Nero Digital Shell Extension (Not verified) Nero AG c:\programme\gemeinsame dateien\ahead\lib\nerodigitalext.dll
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\programme\adobe\adobe acrobat 7.0\activex\pdfshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Adobe PDF Conversion Toolbar Helper Adobe IE plugin (Verified) Adobe Systems, Incorporated c:\programme\adobe\adobe acrobat 7.0\acrobat\acroiefavclient.dll
+ Adobe PDF Reader Link Helper Adobe Acrobat IE Helper Version 7.0 for ActiveX (Verified) Adobe Systems, Incorporated c:\programme\adobe\adobe acrobat 7.0\activex\acroiehelper.dll
+ FDMIECookiesBHO Class c:\programme\free download manager\iefdmcks.dll
+ SSVHelper Class Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\programme\java\jre1.5.0_06\bin\ssv.dll
HKLM\Software\Microsoft\Internet Explorer\Extensions
+ PartyPoker.com RunApp MFC Application c:\programme\partygaming\partypoker\runapp.exe
Task Scheduler
+ 1-Klick-Wartung.job TuneUp System Optimizer (Not verified) TuneUp Software GmbH c:\programme\tuneup utilities 2006\systemoptimizer.exe
HKLM\System\CurrentControlSet\Services
+ AntiVirScheduler Dienst zur Steuerung von AntiVir Prüfaufträgen und Updates. (Not verified) Avira GmbH c:\programme\antivir personaledition classic\sched.exe
+ CVPND Cisco Systems VPN Client (Verified) Cisco Systems, Inc. c:\programme\cisco systems\vpn client\cvpnd.exe
+ FileZilla Server FileZilla Server c:\programme\filezilla server\filezilla server.exe
+ NOD32krn NOD32 Kernel Service (Not verified) Eset c:\programme\eset\nod32krn.exe
+ SmcService Sygate Agent Firewall (Verified) Sygate Technologies, Inc. c:\programme\sygate\spf\smc.exe
+ StarWindService Enables network access to local devices via iSCSI protocol. (Not verified) Rocket Division Software c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe
+ WMP54Gv4SVC WLService (Not verified) GEMTEKS c:\programme\linksys wireless-g pci wireless network monitor\wlservice.exe
HKLM\System\CurrentControlSet\Services
+ AegisP AEGIS Protocol (IEEE 802.1x) v3.4.3.0 (Not verified) Meetinghouse Data Communications c:\windows\system32\drivers\aegisp.sys
+ AMON Amon monitor (Not verified) Eset c:\windows\system32\drivers\amon.sys
+ ASUSHWIO File not found: C:\WINDOWS\system32\drivers\ASUSHWIO.sys
+ avgio H+BEDV Datentechnik GmbH IO Support for Minifilter (Not verified) H+BEDV Datentechnik GmbH c:\programme\antivir personaledition classic\avgio.sys
+ Cardex File not found: C:\WINDOWS\system32\drivers\TBPANEL.SYS
+ CVPNDRVA Cisco Systems VPN Client IPSec Driver (Not verified) Cisco Systems, Inc. c:\windows\system32\drivers\cvpndrva.sys
+ d347bus PnP BIOS Extension (Not verified) c:\windows\system32\drivers\d347bus.sys
+ d347prt SCSI miniport (Not verified) c:\windows\system32\drivers\d347prt.sys
+ DirectNT File not found: C:\DOKUME~1\Frankie\LOKALE~1\Temp\Rar$EX00.907\DIRECTNT.SYS
+ dsNcAdpt File not found: system32\DRIVERS\dsNcAdpt.sys
+ EL2000 3Com 3C2000 NDIS 5.1 Miniport Driver (Not verified) 3Com Corporation c:\windows\system32\drivers\el2k_xp.sys
+ ENTECH PowerStrip support NT kernel-mode driver (Not verified) EnTech Taiwan c:\windows\system32\drivers\entech.sys
+ fixustor File not found: system32\drivers\fixustor.sys
+ GEARAspiWDM CDRom Class Filter Driver (Verified) GEAR Software Inc. c:\windows\system32\drivers\gearaspiwdm.sys
+ ggsemc Gordon's Gate USB Driver (Not verified) Sony Ericsson Mobile Communications c:\windows\system32\drivers\ggsemc.sys
+ giveio c:\windows\system32\giveio.sys
+ GTNDIS5 PCAUSA NDIS 5.0 Protocol Driver (Not verified) Printing Communications Assoc., Inc. (PCAUSA) c:\windows\system32\gtndis5.sys
+ InCDPass File not found: system32\drivers\InCDPass.sys
+ InCDRm File not found: system32\drivers\InCDRm.sys
+ nvport Port Driver (Not verified) NVIDIA Corporation. c:\windows\system32\drivers\nvport.sys
+ Parclass Parallel port Class Driver (Not verified) Microsoft Corporation c:\windows\system32\drivers\parclass.sys
+ pfc Padus(R) ASPI Shell (Not verified) Padus, Inc. c:\windows\system32\drivers\pfc.sys
+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys
+ SE27bus Sony Ericsson Device 039 Driver Driver (Not verified) MCCI c:\windows\system32\drivers\se27bus.sys
+ SE27mdfl Sony Ericsson Device 039 USB WMC Modem Filter (Not verified) MCCI c:\windows\system32\drivers\se27mdfl.sys
+ SE27mdm Sony Ericsson Device 039 USB WMC Modem Driver (Not verified) MCCI c:\windows\system32\drivers\se27mdm.sys
+ SE27mgmt Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM) (Not verified) MCCI c:\windows\system32\drivers\se27mgmt.sys
+ se27nd5 Sony Ericsson Device 039 USB Ethernet Emulation (NDIS 5 Miniport) (Not verified) MCCI c:\windows\system32\drivers\se27nd5.sys
+ SE27obex Sony Ericsson Device 039 USB WMC OBEX Interface (Not verified) MCCI c:\windows\system32\drivers\se27obex.sys
+ se27unic Sony Ericsson Device 039 USB Ethernet Emulation (Not verified) MCCI c:\windows\system32\drivers\se27unic.sys
+ Secdrv SafeDisc driver (Not verified) Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. c:\windows\system32\drivers\secdrv.sys
+ sfdrv01 StarForce Protection Environment Driver (Not verified) Protection Technology c:\windows\system32\drivers\sfdrv01.sys
+ sfhlp02 StarForce Protection Helper Driver (Not verified) Protection Technology c:\windows\system32\drivers\sfhlp02.sys
+ sfvfs02 StarForce Protection VFS Driver (Not verified) Protection Technology c:\windows\system32\drivers\sfvfs02.sys
+ snapman Acronis Snapshot API (Not verified) Acronis c:\windows\system32\drivers\snapman.sys
+ speedfan SpeedFan Device Driver (Not verified) Windows (R) 2000 DDK provider c:\windows\system32\speedfan.sys
+ Tcpip TCP/IP-Protokolltreiber (Not verified) Microsoft Corporation c:\windows\system32\drivers\tcpip.sys
+ Teefer Teefer Driver (Not verified) Sygate Technologies, Inc. c:\windows\system32\drivers\teefer.sys
+ UltraMonMirror UltraMon Display Mirror Miniport (Not verified) Realtime Soft c:\windows\system32\drivers\ultramonmirror.sys
+ UltraMonUtility UltraMon Utility Driver (Not verified) Realtime Soft c:\programme\gemeinsame dateien\realtime soft\ultramonmirrordrv\x32\ultramonutility.sys
+ Vax347b Plug and Play BIOS Extension (Not verified) c:\windows\system32\drivers\vax347b.sys
+ Vax347s SCSI miniport (Not verified) c:\windows\system32\drivers\vax347s.sys
+ vnccom VNC Communication (Not verified) RDV Soft c:\windows\system32\drivers\vnccom.sys
+ vncdrv Ultravnc Mirror Driver (Not verified) RDV Soft c:\windows\system32\drivers\vncdrv.sys
+ vsdatant TrueVector Device Driver (Verified) Zone Labs, Inc c:\windows\system32\vsdatant.sys
+ w810bus File not found: system32\DRIVERS\w810bus.sys
+ w810mdfl Sony Ericsson W810 USB WMC Modem Filter File not found: system32\DRIVERS\w810mdfl.sys
+ w810mdm Sony Ericsson W810 USB WMC Modem Driver File not found: system32\DRIVERS\w810mdm.sys
+ w810mgmt Sony Ericsson W810 USB WMC Device Management Drivers (WDM) File not found: system32\DRIVERS\w810mgmt.sys
+ w810obex Sony Ericsson W810 USB WMC OBEX Interface File not found: system32\DRIVERS\w810obex.sys
+ wg121 File not found: system32\DRIVERS\wg121nd5.sys
+ wg3n wgxn (Not verified) Sygate Technologies, Inc. c:\windows\system32\drivers\wg3n.sys
+ wpsdrvnt wpsdrvnt (Not verified) Sygate Technologies, Inc. c:\windows\system32\drivers\wpsdrvnt.sys
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ WgaLogon Windows Genuine Advantage Notification (Not verified) Microsoft Corporation c:\windows\system32\wgalogon.dll
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ NOD32 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [RAW/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [TCP/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [MSAFD Tcpip [UDP/IP]] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [RSVP TCP Service Provider] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ NOD32 protected [RSVP UDP Service Provider] NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ Adobe PDF Port Acrobat ® PDF Port (Not verified) Adobe Systems Incorporated. c:\windows\system32\adobepdf.dll
Dieser Beitrag wurde am 29.09.2006 um 08:32 Uhr von frankiebm editiert.
Seitenanfang Seitenende
29.09.2006, 09:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 hat mir "den Atem verschlagen" - wie zum Geier kommen die an die Windowsupdates ???????????????

Zitat

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]
"Installed date"="19/09/2006 17:03:51"
"Email"="coco004@gmail.com"
"Sent Times"="000016"
"Sent date"="24/09/2006 20:06:01"
"CallBack Hostname"="cocolite.ath.cx"
"Icon Times"="000038"
die Windowsupdates sind normaerweise unter diesem Schluessel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update] "AUOptions"=dword:00000001

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WindowsUpdate
cocolite

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.


------------------------------------------------

poste bitte dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 09:58
...neu hier

Themenstarter

Beiträge: 9
#5 Hallo Sabina,

hat mir auch zuerst den Atem verschlagen... Allerdings habe ich mal mit einem anderen Rechner verglichen: Da stehen diese Windowsupdate-Einträge gar nicht unter dem current user. Und auch die Local Machine-Einträge haben nicht die gleichen schlüssel.

Ich habe angenommen, dass dieser Zweig nur zur Tarnung gewählt wurde...?


Hier das Combofix log:
Er schreibt immer wärend des scans, dass die destroy.exe nicht gefunden wird, das macht wohl aber nichts...?

Viele Grüße,
Frank

Zitat

Frankie - 06-09-29 9:53:54.60 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\Frankie\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-08-29 to 2006-09-29 ))))))))))))))))))))))))))))))))))


2006-09-23 10:01 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-09-23 10:01 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-09-23 10:01 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-09-23 09:50 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2006-09-23 09:50 55,891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2006-09-23 09:50 18,518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2006-09-23 09:50 11,914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2006-09-09 23:48 8,704 --a------ C:\WINDOWS\system32\drivers\ggsemc.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-29 09:53 -------- d-------- C:\Programme\Trillian
2006-09-29 09:46 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\Free Download Manager
2006-09-29 09:21 -------- d-------- C:\Programme\mIRC
2006-09-29 09:15 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-24 22:06 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\uTorrent
2006-09-23 16:33 -------- d-------- C:\Programme\PPLive
2006-09-23 16:17 -------- d-------- C:\Programme\PPStream
2006-09-23 16:16 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\ppstream
2006-09-23 16:01 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\PPLive
2006-09-23 15:56 359808 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS
2006-09-23 13:45 -------- d-------- C:\Programme\CleanUp!
2006-09-23 10:07 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-23 10:01 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-23 09:50 -------- d-------- C:\Programme\Sygate
2006-09-23 09:49 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-09-23 09:13 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\Lavasoft
2006-09-23 09:12 -------- d-------- C:\Programme\Lavasoft
2006-09-23 08:59 -------- d-------- C:\Programme\ESET
2006-09-23 08:52 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\AdobeUM
2006-09-22 21:30 -------- d-------- C:\Programme\StarMoney 5.0 Commerzbank-Edition
2006-09-19 21:04 -------- d-------- C:\Programme\DVBViewer
2006-09-19 19:06 -------- d-------- C:\Programme\PartyGaming
2006-09-19 19:02 -------- d-------- C:\Programme\eMule
2006-09-15 23:17 -------- d-------- C:\Programme\M3 GAME Manager
2006-09-14 23:04 -------- d-------- C:\Programme\iTunes
2006-09-14 23:04 -------- d-------- C:\Programme\iPod
2006-09-14 23:02 -------- d-------- C:\Programme\QuickTime
2006-09-10 00:43 -------- d-------- C:\Programme\Die Siedler II - Die n„chste Generation
2006-09-09 23:35 -------- d--h----- C:\Programme\Zero G Registry
2006-09-09 23:34 -------- d-------- C:\Programme\Sony Ericsson
2006-09-09 23:13 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2006-09-08 22:29 -------- d-------- C:\Programme\Niedersachsen und Bremen 3D
2006-09-08 22:24 -------- d-------- C:\Programme\MosaicCreator
2006-09-08 21:50 -------- d-------- C:\Programme\GPS Tuner
2006-09-08 21:49 -------- d-------- C:\Programme\DVR-Studio Pro
2006-09-08 21:47 -------- d-------- C:\Programme\DVD-RB PRO
2006-09-08 21:47 -------- d-------- C:\Programme\CCE
2006-09-05 22:23 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-09-05 22:20 -------- d-------- C:\Programme\Picasa2
2006-09-01 19:42 -------- d-------- C:\Programme\Juniper Networks
2006-09-01 19:41 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\Juniper Networks
2006-08-27 15:14 -------- d-------- C:\Programme\Microsoft.NET
2006-08-27 15:09 -------- d-------- C:\Programme\SHOUTcast
2006-08-27 15:08 -------- d-------- C:\Programme\Microsoft ActiveSync
2006-08-26 12:16 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\Adobe
2006-08-26 12:14 -------- d-------- C:\Programme\Adobe
2006-08-25 22:32 -------- d-------- C:\Programme\The GodFather
2006-08-25 21:31 -------- d-------- C:\Programme\TagRename
2006-08-25 07:59 -------- d-------- C:\Programme\Gemeinsame Dateien\Mobipocket Shared
2006-08-22 23:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-08-22 23:18 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-08-22 23:18 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-22 18:53 -------- d-------- C:\Programme\Free Download Manager
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-21 08:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-20 23:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Acronis
2006-08-20 23:08 -------- d-------- C:\Programme\Acronis
2006-08-20 23:00 -------- d-------- C:\Programme\idPlanner Products
2006-08-20 18:51 -------- d-------- C:\Programme\Winamp
2006-08-13 13:32 -------- d-------- C:\Programme\Internet Explorer
2006-08-12 17:49 -------- d-------- C:\Programme\7-Zip
2006-08-07 23:17 86137 --a------ C:\WINDOWS\system32\stfm651.dll
2006-08-07 23:17 344064 --a------ C:\WINDOWS\system32\stsm651.dll
2006-08-07 23:17 151552 --a------ C:\WINDOWS\system32\stas651.dll
2006-08-07 22:33 -------- d-------- C:\Programme\Lotus
2006-08-07 22:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Lotus
2006-08-07 19:29 -------- d-------- C:\Programme\WinRAR
2006-08-07 09:42 86128 --a------ C:\WINDOWS\system32\stfm7.dll
2006-08-07 09:42 344064 --a------ C:\WINDOWS\system32\stsm7.dll
2006-08-07 09:42 151552 --a------ C:\WINDOWS\system32\stas7.dll
2006-08-06 18:21 -------- d-------- C:\Programme\Opera
2006-08-06 18:21 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\Opera
2006-08-04 22:41 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\RapidGet
2006-08-04 18:26 1079808 --a------ C:\WINDOWS\system32\AutoPartNt.exe
2006-08-04 09:13 -------- d-------- C:\Programme\UltraVNC
2006-08-02 21:36 -------- d-------- C:\Programme\MediaMonkey
2006-08-01 23:01 -------- d-------- C:\Dokumente und Einstellungen\Frankie\Anwendungsdaten\foobar2000
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-14 14:51 108144 --a------ C:\WINDOWS\system32\GEARAspi.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Free Download Manager"="C:\\Programme\\Free Download Manager\\fdm.exe -autorun"
"Copernic Desktop Search"="\"C:\\Programme\\Copernic Desktop Search\\CopernicDesktopSearch.exe\" /tray"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"WINDVDPatch"="REM CTHELPER.EXE"
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"Jet Detection"="C:\\Programme\\Creative\\SBLive\\PROGRAM\\ADGJDet.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"FileZilla Server Interface"="REM \"C:\\Programme\\FileZilla Server\\FileZilla Server Interface.exe\""
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"TopDesk"="C:\\Programme\\TopDesk\\topdesk.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"UltraMon"="\"C:\\Programme\\UltraMon\\UltraMon.exe\" /auto"
"WinampAgent"="REM C:\\Programme\\Winamp\\winampa.exe"
"nod32kui"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"Openwares LiveUpdate"="REM C:\\Program Files\\LiveUpdate\\LiveUpdate.exe"
"OSSelectorReinstall"="C:\\Programme\\Gemeinsame Dateien\\Acronis\\Acronis Disk Director\\oss_reinstall.exe"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,80,01,00,00,00,00,00,00,00,06,00,00,92,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,b2,00,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 06-09-29 9:54:29.12
ComboFix.txt
ComboFix2.txt
ComboFix3.txt
--- Update

Hier noch der Regscan:

Zitat

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 06-09-29 10:00:53 for strings:
; 'windowsupdate'
; 'cocolite'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C2E88C2F-6F5B-4AAA-894B-55C847AD3A2D}]
@="WindowsUpdateAgentInfo Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{85713FA1-7796-4FA2-BE3B-E2D6124DD373}]
@="IWindowsUpdateAgentInfo"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Update.AgentInfo]
@="WindowsUpdateAgentInfo Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Update.AgentInfo.1]
@="WindowsUpdateAgentInfo Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6-b170-9a65bc822c77]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\Sus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\WU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Setup]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Setup\ServiceStartup]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]

[HKEY_USERS\S-1-5-21-1801674531-1682526488-2147026105-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Arbeitsplatz\\HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\WindowsUpdate"

[HKEY_USERS\S-1-5-21-1801674531-1682526488-2147026105-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"b"="C:\\Dokumente und Einstellungen\\Frankie\\Desktop\\cocolite.txt"

[HKEY_USERS\S-1-5-21-1801674531-1682526488-2147026105-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt]
"e"="C:\\Dokumente und Einstellungen\\Frankie\\Desktop\\cocolite.txt"

[HKEY_USERS\S-1-5-21-1801674531-1682526488-2147026105-1003\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]

[HKEY_USERS\S-1-5-21-1801674531-1682526488-2147026105-1003\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]
"CallBack Hostname"="cocolite.ath.cx"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]

; End Of The Log...

Dieser Beitrag wurde am 29.09.2006 um 10:02 Uhr von frankiebm editiert.
Seitenanfang Seitenende
29.09.2006, 10:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ich hab editiert - du warst zu schnell - schau mal und poste, worum ich noch gebeten habe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 10:03
...neu hier

Themenstarter

Beiträge: 9
#7 ich dachte ich hätte nicht richtig gelesen ;)

Hab meinen Beitrag auch editiert
Seitenanfang Seitenende
29.09.2006, 10:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nun sollten die Eintraege vom Hacker raus

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]

[-HKEY_USERS\S-1-5-21-1801674531-1682526488-2147026105-1003\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]
PC neustarten

dann ueberpruefe mit regsearch, ob es wirklich raus ist

**
Start - Ausführen -> reinkopieren:
notepad "C:\Windows\System32\drivers\etc\hosts"

poste den text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 15:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 @Sabina
Zum RealVNC http://secunia.com/advisories/20107/

Ein Bild von w32-gen.us sehe Anhang

Anhang: w32-gen1.JPG

__________
MfG Argus
Seitenanfang Seitenende
29.09.2006, 16:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 wenn es das ist: natuerlich loeschen - C:\Programme\UltraVNC
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 19:15
...neu hier

Themenstarter

Beiträge: 9
#11 also die hosts ist ziemlich unspekatulär.

Zitat

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 cocolite.ath.cx
hatte ich selbst vorgenommen den cocolite-Eintrag.

Das RealVNC (welches definitiv den fremdzugriff verursacht hat) ist schon lange deinstalliert. UltraVNC scheint die Sicherheitslücke nicht zu haben. Wird allerdings von mir auch nur noch sparsam eingesetzt nach dem Desaster.

Ich habe immer noch ein leicht ungutes Gefühl... Denn der Registry-Eintrag selber tut ja erst mal nichts. Leider weiss ich immer noch nicht, wer diese Einträge wie vorgenommen hat. Ich gehe also davon aus, dass sich noch irgendwas auf meiner Kiste eingeschlichen hat. Wie schätzt Ihr die Gefahr ein?

Was mich z.B. auch noch irritiert wenn ich die Firewall-Logs durchsehe, sind ständige Zugriffsversuche auf groups.google.com durch meine explorer.exe, die ich nicht bewusst initiiere. Kann das ein Spamroboter sein?

Viele Grüße und auf jeden Fall schon mal vielen Dank.

---
UPDATE nur eine halbe Stunde später:
meine explorer.exe wurde aus irgendwelchen Gründen gekilled. Die Taskleiste hat nicht mehr reagiert. Ich habe anschliessend manuell über den Taskmaanger wieder die explorer.exe gestartet.
Ein kleines Fenster ist aufgepoppt "Persönliche Einstellungen"... Und siehe da: Anschliessend war wieder ein Eintrag in der Registry unter dem Current User.

Da ist doch noch was faul!


Zitat

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]
"Icon Times"="000086"
"Installed date"="29/09/2006 17:30:59"
"Sent Times"="000001"

Zitat

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 06-09-29 19:36:58 for strings:
; 'windowsupdate'
; 'cocolite'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C2E88C2F-6F5B-4AAA-894B-55C847AD3A2D}]
@="WindowsUpdateAgentInfo Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{85713FA1-7796-4FA2-BE3B-E2D6124DD373}]
@="IWindowsUpdateAgentInfo"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Update.AgentInfo]
@="WindowsUpdateAgentInfo Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Update.AgentInfo.1]
@="WindowsUpdateAgentInfo Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6-b170-9a65bc822c77]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\Sus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\WU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Setup]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Setup\ServiceStartup]

[HKEY_USERS\S-1-5-21-1801674531-1682526488-2147026105-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Arbeitsplatz\\HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\WindowsUpdate"

[HKEY_USERS\S-1-5-21-1801674531-1682526488-2147026105-1003\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate]

; End Of The Log...
---Noch ein Update:
Habe man das Anwendungslog durchstöbert...

Die Einträge

Zitat

Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.2180, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.2180, Fehleradresse 0x00010f29.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
und

Zitat

Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes Modul dbghelp.dll, Version 5.1.2600.2180, Fehleradresse 0x0001295d.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Die beiden dll's habe ich mal bei jotti scannen lassen. Ohne negatives Ergebnis. Wie's momentan aussieht tendiere ich mittelfristig schon zu einer Windows-Neuinstallation ;) Schade
Dieser Beitrag wurde am 29.09.2006 um 19:56 Uhr von frankiebm editiert.
Seitenanfang Seitenende
29.09.2006, 23:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 1.
scanne mit Counterspy und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.09.2006, 18:06
...neu hier

Themenstarter

Beiträge: 9
#13 Update

Oh mann... Immer noch kein Erfolg. Die Fünde vom Counterspy hatte ich ja aller gelöscht. Allerdings wird ständig meine explorer.exe "abgeschossen". Anschliessend popt immer ein kleines Fenster auf mit "Persönliche Einstellungen". Diesmal habe ich auch drauf geachtet: Er tut irgendwas an den services.exe.

Mein ursprünglicher Post wurde leider abgeschnitten.

Die Registry Einträge sind auch wieder da. Sent Times 4 macht mich ein bisschen nervös.

Habt Ihr noch eine Idee?

Viele Grüße,
Frankie

---
Hallo.

Das ist der Report vom Counterspy... Immer wenn ich den Rechner hochfahre will die explorer.exe mit groups.google.com sofort kontakt aufnehmen. Keine Ahnung woher das kommt.

Zitat

Spyware Scan Details
Start Date: 06-09-30 12:06:39
End Date: 06-09-30 13:28:13
Total Time: 1 hrs 21 mins 34 secs

Detected spyware

VNC Enterprise Edition Commercial Remote Control Tool more information...
Details: VNC stands for Virtual Network Computing. It is remote control software which allows you to view and interact with one computer (the "server") using a simple program (the "viewer") on another computer anywhere on the Internet. The two computers don't
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\configure vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\register vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\start vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\stop vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (service-mode)\unregister vnc service.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (user-mode)\configure user-mode settings.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc server 4 (user-mode)\run vnc server.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc viewer 4\run listening vnc viewer.lnk
c:\dokumente und einstellungen\all users\startmenü\programme\realvnc\vnc viewer 4\run vnc viewer.lnk

Infected registry entries detected
HKEY_CLASSES_ROOT\VNC.ConnectionInfo
HKEY_CLASSES_ROOT\VNC.ConnectionInfo\DefaultIcon C:\Programme\RealVNC4\vncviewer.exe,0
HKEY_CLASSES_ROOT\VNC.ConnectionInfo\shell\open\command "C:\Programme\RealVNC4\vncviewer.exe" -config "%1"
HKEY_CLASSES_ROOT\VNC.ConnectionInfo VNC Connection Info
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\RealVNC_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\RealVNC_is1 SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\RealVNC_is1 Changed 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: Setup Version 5.0.8
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: App Path C:\Programme\RealVNC4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 InstallLocation C:\Programme\RealVNC4\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: Icon Group RealVNC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: User Frankie
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: Setup Type full
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: Selected Components winvnc,vncviewer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: Deselected Components
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: Selected Tasks installservice
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Inno Setup: Deselected Tasks desktopicon,quicklaunchicon,launchservice
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 DisplayName VNC Free Edition 4.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 DisplayIcon C:\Programme\RealVNC4\VNCViewer.exe,0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 UninstallString "C:\Programme\RealVNC4\unins000.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 QuietUninstallString "C:\Programme\RealVNC4\unins000.exe" /SILENT
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 DisplayVersion 4.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 Publisher RealVNC Ltd.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 URLInfoAbout http://www.realvnc.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 HelpLink http://www.realvnc.com/products/free/4.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 URLUpdateInfo http://www.realvnc.com/download.html
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 NoModify 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1 NoRepair 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 Password
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 SecurityTypes VncAuth
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 ReverseSecurityTypes None
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 QueryConnect 0
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 QueryOnlyIfLoggedOn 0
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 PortNumber 5900
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 IdleTimeout 3600
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 HTTPPortNumber 5800
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 LocalHost 0
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 Hosts +,
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 AcceptKeyEvents 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 AcceptPointerEvents 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 AcceptCutText 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 SendCutText 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 DisableLocalInputs 0
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 DisconnectClients 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 AlwaysShared 0
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 NeverShared 0
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 DisconnectAction None
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 RemoveWallpaper 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 RemovePattern 0
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 DisableEffects 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 PollConsoleWindows 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 UseCaptureBlt 1
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 UseHooks 0
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4 Protocol3.3 0
HKEY_CURRENT_USER\Software\RealVNC
HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4\MRU 00 192.168.0.3
HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4\MRU Order
HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4\MRU 01 192.168.0.4
HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4\MRU 02 80.142.75.109
HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4\MRU 03 80.142.65.136
HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4 dummy
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 dummy
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 Password
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 SecurityTypes VncAuth
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 ReverseSecurityTypes None
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 QueryConnect 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 QueryOnlyIfLoggedOn 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 PortNumber 5900
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 IdleTimeout 3600
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 HTTPPortNumber 5800
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 LocalHost 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 Hosts +,
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 AcceptKeyEvents 1
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 AcceptPointerEvents 1
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 AcceptCutText 1
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 SendCutText 1
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 DisableLocalInputs 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 DisconnectClients 1
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 AlwaysShared 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 NeverShared 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 DisconnectAction None
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 RemoveWallpaper 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 RemovePattern 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 DisableEffects 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 PollConsoleWindows 1
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 UseCaptureBlt 1
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 UseHooks 0
HKEY_CURRENT_USER\Software\RealVNC\WinVNC4 Protocol3.3 0
HKEY_CURRENT_USER\Software\RealVNC RealVNC-98998-RealVNC-37672 {1570776-99055-5591892}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-63616-RealVNC-1461 {5429938-21066-1528326}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-11121-RealVNC-9655 {5605825-70923-5542738}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-48381-RealVNC-38312 {3539526-19188-6133907}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-63068-RealVNC-85960 {9249928-88035-1728816}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-33524-RealVNC-61321 {7627270-49502-2643467}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-84705-RealVNC-635 {1148421-76937-6127371}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-56854-RealVNC-57361 {7708028-24997-5323266}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-53242-RealVNC-79701 {7159267-65671-1742743}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-23225-RealVNC-8094 {8613574-2170-2322870}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-86040-RealVNC-89643 {3393063-4810-2189676}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-14085-RealVNC-10620 {7832570-3055-8802162}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-75943-RealVNC-39478 {4588965-34438-4874552}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-54748-RealVNC-54869 {3275618-83703-4663884}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-25041-RealVNC-73957 {5393289-81388-3462991}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-83701-RealVNC-56035 {2338087-49826-6244265}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-10255-RealVNC-1337 {7436481-36232-9731744}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-36576-RealVNC-6010 {4379142-67225-8940369}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-63349-RealVNC-87475 {3205122-77774-6139717}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-48473-RealVNC-45995 {3068675-58912-4570967}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-9931-RealVNC-86798 {6135505-40927-7620068}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-37963-RealVNC-50241 {6866187-46330-8960084}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-46597-RealVNC-71533 {1897217-83235-3146424}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-24625-RealVNC-65663 {7212014-24220-7632226}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-59802-RealVNC-63830 {1990089-25642-3493872}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-69046-RealVNC-86876 {7990835-52779-2223942}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-91715-RealVNC-18691 {8019199-54632-5560349}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-198-RealVNC-94956 {2533390-72078-6479828}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-45909-RealVNC-34123 {6976424-65000-7217424}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-96518-RealVNC-11168 {2502459-91728-917273}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-70445-RealVNC-52551 {9959086-47238-2228259}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-9629-RealVNC-41398 {7429315-2185-4969598}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-30822-RealVNC-35770 {8928622-23304-6352225}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-33138-RealVNC-16158 {8819296-67329-5434990}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-31828-RealVNC-4887 {1022251-29404-7440955}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-30833-RealVNC-68892 {3844491-27896-3579996}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-47793-RealVNC-94168 {3672151-26421-241507}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-48568-RealVNC-1352 {452939-26702-4393775}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-71122-RealVNC-1076 {4217788-81333-5524550}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-53714-RealVNC-3474 {2854136-71009-7284909}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-11712-RealVNC-27119 {8068172-29407-9394257}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-41098-RealVNC-62246 {2186598-35856-4284158}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-16253-RealVNC-77423 {47660-21094-7277985}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-37075-RealVNC-76056 {282473-11626-3369511}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-73305-RealVNC-24632 {6129327-24245-5984463}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-5491-RealVNC-56511 {4228217-21396-7777595}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-80453-RealVNC-35948 {6952109-42528-8146838}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-25987-RealVNC-90279 {5497743-41135-4284471}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-96910-RealVNC-96247 {3239925-20250-6895903}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-2726-RealVNC-50009 {358259-32842-8916580}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-41845-RealVNC-35545 {7576438-65252-2872175}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-96355-RealVNC-63392 {6508668-30452-8848423}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-44873-RealVNC-88165 {4636853-56368-7770416}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-71466-RealVNC-78355 {3915174-58025-6752388}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-29012-RealVNC-83506 {2612035-44395-5941564}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-69333-RealVNC-73406 {5454367-18396-2512901}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-33115-RealVNC-91613 {3621418-50617-5908898}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-13858-RealVNC-33726 {7205712-22744-1680219}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-42471-RealVNC-61026 {8994488-70157-4886989}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-12909-RealVNC-82688 {79589-12976-8517193}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-74873-RealVNC-80534 5640780-54307-6493395}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-51101-RealVNC-92792 {7594329-56386-6324841}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-83409-RealVNC-1599 {9183848-72923-1991693}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-95795-RealVNC-37951 {1162254-91534-5937728}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-65973-RealVNC-30861 {5307083-17265-5039364}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-64801-RealVNC-74243 {5888737-4235-4157152}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-33576-RealVNC-1161 {4702179-54300-9712119}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-64159-RealVNC-42653 {8925331-98789-8359042}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-47025-RealVNC-22285 {1407667-6951-4828037}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-74038-RealVNC-71945 {8157704-21640-6365903}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-32872-RealVNC-7642 {5633797-69948-9329891}
HKEY_CURRENT_USER\Software\RealVNC RealVNC-61745-RealVNC-18154 {3532640-75564-6732672}


PartyPoker Potentially Unwanted Program more information...
Details: PartyPoker is an online gambling application that requires the user to download its software in order to play.
Status: Deleted

Infected files detected
c:\programme\partygaming\partypoker\addchips.wav
c:\programme\partygaming\partypoker\announce.txt
c:\programme\partygaming\partypoker\cards_dealing.wav
c:\programme\partygaming\partypoker\cards_sliding.wav
c:\programme\partygaming\partypoker\chimes.wav
c:\programme\partygaming\partypoker\chips_sliding.wav
c:\programme\partygaming\partypoker\ding.wav
c:\programme\partygaming\partypoker\exit.html
c:\programme\partygaming\partypoker\firework3.wav
c:\programme\partygaming\partypoker\gra.ini
c:\programme\partygaming\partypoker\install.log
c:\programme\partygaming\partypoker\install.sss
c:\programme\partygaming\partypoker\llh.dll
c:\programme\partygaming\partypoker\login.html
c:\programme\partygaming\partypoker\mouse_move.wav
c:\programme\partygaming\partypoker\notes.txt
c:\programme\partygaming\partypoker\partypoker.dll
c:\programme\partygaming\partypoker\poker.bin
c:\programme\partygaming\partypoker\pokertrainer.exe
c:\programme\partygaming\partypoker\ppunistall.bat
c:\programme\partygaming\partypoker\preloader.html
c:\programme\partygaming\partypoker\reminder.wav
c:\programme\partygaming\partypoker\ring.wav
c:\programme\partygaming\partypoker\runapp.exe
c:\programme\partygaming\partypoker\tabconfig.txt
c:\programme\partygaming\partypoker\tap.wav
c:\programme\partygaming\partypoker\uninstall.exe
c:\programme\partygaming\partypoker\articles\1.html

Infected registry entries detected
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker InstallState Full
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker AppPath C:\Programme\PartyGaming\PartyGaming.exe
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker id
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker InitialPort
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker useCount
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker HHEnableLog
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker HHLogDays
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker HHLogSize
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker UserName
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker Password
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker Remember
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker InitialIP
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker ScreenName
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker TableType
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker EnableSounds
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker EnableCardAnimations
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker EnableCongratulations
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker EnableCallOuts
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker DisableMouseHelp
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker FourColourDeck
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker DisableCharacters
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker MuckLosingHand
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker SearchHiding
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker BlackjackSounds
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker BlackjackVoice
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker 1
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker 2
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker 3
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker 4
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker 5
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker 6
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker UpgradeFileDate
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker UpgradeFile
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker UpgradeInstalled
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker HandHistorySize
HKEY_CURRENT_USER\Software\PartyGaming\Partypoker DealerType
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker DisplayName PartyPoker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker UninstallString "C:\Programme\PartyGaming\PartyPoker\Uninstall.exe" "C:\Programme\PartyGaming\PartyPoker\install.log"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker InstallLocation C:\Programme\PartyGaming
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker InstallSource C:\DOKUME~1\Frankie\LOKALE~1\Temp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker InstallSourceFile C:\DOKUME~1\Frankie\LOKALE~1\Temp\Set67.tmp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker InstallDate 04/23/2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker DisplayIcon C:\Programme\PartyGaming\PartyPoker\Images\ppicon.ico
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker Publisher PartyGaming
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker DisplayVersion 93
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PartyPoker SilentSettings C:\Programme\PartyGaming\PartyPoker\install.sss


Ultr@VNC Commercial Remote Control Tool more information...
Details: Ultr@VNC is a client/server software that allows user to remotely control a computer over any TCP/IP connection as if you were in front of it.
Status: Deleted

Infected files detected
c:\programme\ultravnc\authadmin.dll
c:\programme\ultravnc\authssp.dll
c:\programme\ultravnc\ldapauth.dll
c:\programme\ultravnc\licence.txt
c:\programme\ultravnc\logging.dll
c:\programme\ultravnc\logmessages.dll
c:\programme\ultravnc\mslogon.log
c:\programme\ultravnc\mslogonacl.exe
c:\programme\ultravnc\readme.txt
c:\programme\ultravnc\repeater.exe
c:\programme\ultravnc\unins000.dat
c:\programme\ultravnc\unins000.exe
c:\programme\ultravnc\unzip32.dll
c:\programme\ultravnc\vnchooks.dll
c:\programme\ultravnc\vnchooks_settings.reg
c:\programme\ultravnc\vnclang.dll
c:\programme\ultravnc\vncviewer.exe
c:\programme\ultravnc\whatsnew.txt
c:\programme\ultravnc\winvnc-authssp.log
c:\programme\ultravnc\winvnc.exe
c:\programme\ultravnc\workgrpdomnt4.dll
c:\programme\ultravnc\zip32.dll
c:\programme\ultravnc\driver\before.txt
c:\programme\ultravnc\driver\install.bat
c:\programme\ultravnc\driver\install_silent.bat
c:\programme\ultravnc\driver\license.txt
c:\programme\ultravnc\driver\setupdrv.exe
c:\programme\ultravnc\driver\uninstall.bat
c:\programme\ultravnc\driver\uninstall_silent.bat
c:\programme\ultravnc\driver\vnccom.sys
c:\programme\ultravnc\driver\vncdrv.dll
c:\programme\ultravnc\driver\vncdrv.inf
c:\programme\ultravnc\driver\vncdrv.sys
c:\programme\ultravnc\driver\vnchelp.dll
c:\programme\ultravnc\plugin\debug_off.reg
c:\programme\ult
Dieser Beitrag wurde am 30.09.2006 um 18:33 Uhr von frankiebm editiert.
Seitenanfang Seitenende
30.09.2006, 18:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 nun, jetzt ist der ganze Muell runter, es sollte alles o.k. sein.
loesche noch mal die relevanten Daten aus der Registry und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.09.2006, 18:42
...neu hier

Themenstarter

Beiträge: 9
#15 Tja, wie schon beschrieben in dem Update (hatte erst spät erkannt, das der Beitrag gekappt wurde), der Registry-Eintrag Windowsupdate kommt immer wieder ;)

Ich hatte vorhin den PC nicht bewacht, als der Counterspy gescannt hat. Zur Sicherheit hatte ich den WLAN Adapter deaktiviert. Und währenddessen wurde wieder meine explorer.exe gekilled. Ich konnte die WLAN-Karte nicht mehr hochfahren...

Dann hatte ich den Reg-Eintrag wieder gelöscht. Kommt aber wieder.

Die explorer.exe 2x wieder "abgeschossen" und die Sent Times standen auf 2. Irgendwas ist noch aktiv...

Das töten der Explorer.exe sieht folgendermassen aus:
Es poppt oben rechts immer ein kleines Fensterchen "Persönliche Einstellungen" auf (nur einen Sekundenbruchteil), der was in den Anwendungsdaten des Current Users zu tun scheint. Und er vergeht sich scheinbar an den Diensten (services.exe).

Ist schon faszinierend:
Der WindowUpdate-Eintrag ist schon wieder da. Allerdings nur der Eintrag "Icon Times = 45".
Mal sehen, wann er wieder sendet (oder senden will)...

Jetzt habe ich den Eintrag wieder gelöscht und es ist nur der Schlüssel Windows Update da...
Dieser Beitrag wurde am 30.09.2006 um 18:52 Uhr von frankiebm editiert.
Seitenanfang Seitenende