komische Ordner in der Registry

[humpix]

Hallo Leute,

Ich habe ein Phenomen auf meinem Rechner welches mir ein wenig Sorgen macht.

In der Registry tauchen laufend komische Ordner auf wie:
Yú0 oder 0é oder □e usw. In den Ordner ist nur eine Standardwert = 0

Ich lösche diese öfters, mit der Zeit kommen diese aber wieder mehr und mehr.

System ist Vista 32
Antivirus (Avast), und Defender finden nichts. Es laufen auch keine Verdächtigen Prozesse. Brain.exe läuft auch mit, d.h. ich meide eigentlich Gefahrenquellen.

Hat jemand eine Idee was das sein kann? Ich hab ein wenig ein Rootkit oder was in der Art im Verdacht. Kann auch sein, dass irgend ein Programm einfach eine falsche Sprache eingestellt hat...

Ich dankeschön für jeden Tipp
Humpix

 

[easy.2ci]

Auf welcher Ebene tauchen denn die Ordner auf? Nenn mal komplette Schlüsselnamen

 

[humpix]

Oh, entschuldige.
Die Ordner tauchen direkt unter HKEY_CURRENT_USER auf.
Im Moment hab ich folgende:
ó", ó$, ó), ó/ und ób. Jeder Ordner beinhaltet eine leere Zeichenfolge

LG und Danke

 

[Zonk4]

mach mal ein Logfile mit Hijackthis nach dieser Anleitung:

http://sicher-ins-netz.info/analyse/hjt.html

dann kopierste den Inhalt vom Logfile in deine Antwort

 

[$co®pion]

Oder mach direkt bei Windows Live OneCare einen Registry clean. Da kann am allerwenigsten schief gehen. (IE benutzen)

 

[humpix]

Hallo,

Vielen Dank für eure Hilfe,

Anbei der Auszug:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:20, on 22.04.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Program Files\The Claw\TheClaw.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Windows\System32\CtHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\nHancer\nHancer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\CTXFISPI.EXE
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe
C:\Users\Humpix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DX96DU75\HiJackThis[1].exe
C:\Users\Humpix\Downloads\pruefung.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [TheClaw] C:\Program Files\The Claw\TheClaw.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [nHancer] "C:\Program Files\nHancer\nHancer.exe" /tray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CtxfiReg] CTXFIREG.exe /FAIL1 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CtxfiReg] CTXFIREG.exe /FAIL1 (User 'Default user')
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix:
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Program Files\nHancer\nHancerService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 7510 bytes

Unter den Prozessen (lt. Log oben) ist nichts was verdächtig wäre.
Ich kenne diese Prozesse alle und diese sind absichtlich am laufen.

Eine andere Idee.
Gibt ein Tool, mit dem Änderungen in der Registry bemerkt werden und ein Popup aufgeht (Programm xy möchte einen Eintrag in die Reg. setzten... Ja/Nein)
Google bringt mich nicht weiter.
Das würde auch helfen den Schurken zu finden.

LG

 

[olympiakos]

Ja es gibt z.B den TeaTimer von Spybot, AntiHook, oder Kasperskys poaktive Schutz.

Allerdings glaube ich nicht, dass es ein Virus ist bei dir, denn der wäre dann unter HKEY_CURRENT_USER\Software zu finden und nicht direkt unter HKEY_CURRENT_USER.

Hast Du zufällig ein Update, oder einen fremdsprachigen Patch installiert?

 

[humpix]

Soweit ich weiß und aus den installierten Programmen lesen kann, hab ich ausschließlich deutsche und englische Software installiert.

Ich probiere die Programme aus, danke für deinen Tipp.
Wenn ich den "Hund" finde sag ich natürlich was es war

Das komsiche ist eben, dass diese Einträge immer wieder kommen und vor allem immer mehr werden.

 

[olympiakos]

Überwach mal mit Regmon, oder wenn Du Vista hat mit den ProcessMonitor (beide Sysinternals) deine Registry evtl kannst Du dort sehen wer der übeltäter ist.

 

[humpix]

mit Process Monitor hab ich zumindest schon mal rausgefunden das der Eintrag beim hochfahren oder herunterfahren entstehen muss. Pro Boot kommt ein Ordner dazu, bei jedem 4. Boot setzt es einmal aus.
Leider bekomm ich den Bootscan nicht hin, bzw. macht er ein log unter c:\windows, es lässt sich aber nicht importieren (Hängt sich nach der Hälfte auf)

Ich tüftel mal ein wenig weiter...

 

[olympiakos]

Ja die Datei ist Gross, musst was besseres nehmen als den Editor.

Wordpat, oder Notepad++

Edit: ich muss dir aber ehrlich sagen, Du kannst vllt den Schuldigen finden, das Problem beheben wirst Du aber nicht können = format C:

Edit2: "Procmon" läuft auch unter XP

 

[humpix]

Notepat++ ist eine gute Idee, ich hab immer versucht das in den Process Monitor zu importieren. Aber warum einfach wenn es kompliziert geht

Auch wenn ich´s nur finde, dann weiß ich wenigstens beim nächsten mal was ich nicht installieren sollte. Evtl. reicht dann auch schon ein simples Update vom entsprechenden Programm.

Herzlichen Dank für deine Hilfe, ich poste dann wenn ichs gefunden habe... Evtl. hat ja wieder mal jemand so ein "Problem".

LG

 

[humpix]

So, nun die Lösung (spät aber doch)
Die Einträge kommen vom Logitech Profiler (Ver. 5.0.1). Das ist das Programm vom Logitech - Gamepad.
Ein Spitzen Teil wie ich anmerken möchte, abgesehen von der Software dazu. Ein einfacher Treiber hätte es auch getan!

Ein Update auf die Ver 5.0.2 hat den Fehler behoben.