CHECKLISTE / PC von Trojaner o. Malware befallen ?

#0
17.09.2003, 19:21
Moderator
Avatar joschi

Beiträge: 6466
#1 Verdächtige Eintragungen in der Registry
Viele trojanische Pferde werden über Registrierungsschlüssel beim Systemstart bzw. der Anmeldung eines Benutzers ausgeführt. Die typischen Registry-Schlüssel, in welche sich Malware jeglicher Art bevorzugt einschreibt sind:

Code

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\AeDebug
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Otions
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs
In den meisten Fällen muss ein gestarteter Prozess zuerst beendet werden, bevor das AV-Programm auf die zugehörigen Dateien zugreifen/löschen kann.

Mehr wertvolle Hilfe für die Spurensuche unter:
http://cert.uni-stuttgart.de/os/ms/windows-intruder-detection.php
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
25.01.2004, 12:36
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#2 Um die Funktion laufender Prozesse, die man mittels dem Logfile von HijackThis ermitteln kann, zu klären sind u.a folgende Seiten sehr gut geeignet.
http://www.reger24.de/processes.php
http://www.pacs-portal.co.uk/startup_index.htm
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.spywareinfo.com/~merijn/htlogtutorial.html

Download von HijackThis
http://www.chip.de/downloads/c_downloads_11353576.html
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
25.01.2004, 13:31
Moderator

Beiträge: 7795
#3 Noch eine sehr gute und aktuell gehaltene Liste koennt ihr auch hier finden:

http://sysinfo.org/

Was man bei solchen Problemen an Vorarbeit leisten kann, koennt ihr hier lesen:

http://board.protecus.de/t9373.htm

So sie ist da! Die deutsche Uebersetzung der englischen Beschreibung von Hijackthis! ;)
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 04.02.2004 um 17:51 Uhr von raman editiert.
Seitenanfang Seitenende
18.02.2004, 21:56
Member

Beiträge: 1095
Seitenanfang Seitenende
22.10.2005, 19:43
...neu hier

Beiträge: 9
#5

Zitat

joschi postete
Verdächtige Eintragungen in der Registry
Viele trojanische Pferde werden über Registrierungsschlüssel beim Systemstart bzw. der Anmeldung eines Benutzers ausgeführt. Die typischen Registry-Schlüssel hierfür sind:

Code

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\AeDebug
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Otions
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs
In den meisten Fällen muss ein gestarteter Prozess zuerst beendet werden, bevor das AV-Programm auf die zugehörigen Dateien zugreifen/löschen kann.

Mehr wertvolle Hilfe für die Spurensuche unter:
http://cert.uni-stuttgart.de/os/ms/windows-intruder-detection.php
wenn jetzt einer dieser schlüssel bei mir existiert, heißt das dann, dass mein system befallen ist?
(es tut mir leid, wenn das eine saublöde frage ist, die ich gerade stelle, aber ich bin in sachen viren und trojaner zum glück ein blutiger anfänger......)
Seitenanfang Seitenende
23.10.2005, 08:59
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#6 Durchaus berechtigte Frage ;) . Die Schlüssel sind -zumindest teilweise- auf jeden Fall vorhanden, gehören zum System. Sie sind jedoch ein bevorzugter Ort, wo sich Malware reinschreibt umd eben bei Systemstart aktiv zu werden.
Werde das oben noch korrigieren.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
23.10.2005, 19:24
...neu hier

Beiträge: 9
#7 was mir nämlich bei der überprüfung meiner registry aufgefallen ist, ist dass bei mir ca.75% der o.g. schlüssel existieren. was soll ich damit jetzt anfangen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: