Samsung Kies und Registry-Einträge von Babylon

[MyLife]

Mir zeigt Hitman Pro an, wenn ich Samsung Kies installiert habe, dass Registy-Einträge von Babylon drin seien. Allerdings steht Hitman Pro auf "Ignorieren" und unternimmt standartmässig nichts. Deinstalliere ich Kies, sind die Einträge in der Registry weg.. Was denkt ihr dazu, ist da was Faul?

MalwareBytes, Windows 8.1 Defender und G Data zeigen nichts an. Das habe ich schon getestet.

 

[purzelbär]

Könnte sein das Samsung Kies ungefragt oder von dir unbemekt Babylon mit installiert hat. Meine Frau verwendet aber auch Samsung Kies auf ihren PC für ihr Tablet, aber Malwarebytes findet nichts bei ihr. Kannst evtl. mal dein System mit AdwCleaner und Junkware Removal Tool überprüfen wobei ich dir aber nicht versprechen kann das die nur die Babylon Einträge löschen und Samsung Kies in Ruhe lassen werden.

 

[MyLife]

MalwareBytes findet bei mir ja auch nichts. Scan mal den PC mit Hitman Pro durch, das Ergebnis würde mich mal interessieren.

 

[purzelbär]

Du hast ja jetzt 2 Meinungen: HitMan Pro meint Babylon Einträge gefunden zu haben, Mawarebytes wiederum nicht. Demnach könntest du dir eine 3 und 4 Meinung mit AdwCleaner und JRT holen oder aber wenn du die 2 Scanner nicht benutzen willst, dein System mit Emsisoft Emergency Kit Scanner gegenchecken lassen.

Scan mal den PC mit Hitman Pro durch, das Ergebnis würde mich mal interessieren.

Hab ich gerade am PC meiner Frau gestartet. Sag mal: Hitman Pro will wohl auch usatzsoftware mitinstallieren oder? da kam etwas von File Parade und ich hatte ne Option Skip All die ich auch benutzt habe Wäre ja nicht schön wenn Hitman Pro auch auf den Zug aufspringt.
Edit: Hitman Pro fand auf dem PC meiner Frau auch 2 Registry Einträge von Babylon und 2 weitere:

HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager.1\ (Babylon)
HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager\ (Babylon)
HKU\S-1-5-21-484763869-776561741-725345543-1004\Software\Conduit\ (Conduit)
HKU\S-1-5-21-484763869-776561741-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\AskTB5.6 (AskBar)

Es ist aber nicht schön das auch Hitman Pro zusätzliche Software mitinstallieren will. Da bleib ich künftig lieber bei Malwarebytes, AdwCleaner und JRT.

 

[MyLife]

Ich habe noch nie Hitman Pro installiert. Es klappt auch ohne.

Allerdings hatte ich mehre Einträge Babylon drin. Allerdings habe ich Kies nicht mehr auf den System bis das geklärt ist, was los ist.

 

[Randy89]

Bei mir stuft Hitmanpro eine Winamp-wifi-Datei im temporären Ordner als verdächtig ein, während Adwcleaner, Avast, JRT und Malwarebytes ruhig blieben. Schließe ich Winamp, findet es nichts.

edit: Wie purzelbär würde ich ebenfalls jeweils einen Scan mit Adwcleaner und Junkware Removal Tool empfehlen, bei letzterem per Rechtsklick als Administrator starten.

 

[MyLife]

Habe jetzt Kies nochmal installiert. Hiermal Screenshots für euch:

 

[Randy89]

Ich kann bei mir grade mit dem Fullscan nichts finden:

Wenn du Lust hast, kannst du mal Screenshots von allen Seiten des Installers machen und wie geschrieben, lass noch Adwcleaner und Junkware Removal Tool drüber laufen.
Mehr Infos zur Bereinigung, bzw. Vermeidung von potenziell unerwünschten Programmen findest du hier.

edit: Natürlich kannst du auch selber nach den Einträgen in der Registry suchen und/oder jeden verdächtigen Eintrag in einer Suchmaschine schmeißen, wobei bei dir schon beim ersten mehrere Fundstellen vorhanden sind, welche eben auf Babylon hindeuten.
Apropos: Hast du schonmal das Microsoft Attack Surface Analyzer vor und nach der Installation jeweils einen Snapshot machen lassen?

 

[MyLife]

Bei der Installer deutet nichts auf Adware hin. Adwcleaner und Junkware Removal Tool zeigten mir nichts verdächtiges an. In den Browsern wurd nichts verdächtiges installiert. Keine Toolbar, Suche oder Startseite wurde verändert.

 

[Randy89]

Dann lass mal Microsoft Attack Surface Analyzer vor und nach der Installation laufen und berichte.

 

[MyLife]

Hier der Report von Microsoft Attack Surface Analyzer:

 

[Randy89]

Geh mal zu den Details und such nach den Registryschlüsseln. Dann siehst du bei einem Eintrag z.B. sowas als Name:
PSFactoryBuffer und den zugehörigen Pfad.
Mal eine kurze Frage: Von wo hast du das Setup heruntergeladen?

 

[MyLife]

Von Samsung direkt.

http://www.samsung.com/de/support/usefulsoftware/KIES/JSP

 

[Randy89]

Mal die AGB durchgelesen?
Hier mal paar Fundstellen:
"Der Dienst umfasst Inhalte von Drittanbietern oder Website-Links."
Teile der Samsung-Software verwenden oder enthalten Software von Drittanbietern oder sonstiges urheberrechtlich geschütztes Material.
Mit anderen Worten: Die ganzen Einträge sind anscheined direkt in der Samsung-Software enthalten und die Fundstellen, die dir HitmanPro ankreidet scheinen laut dem Surface Analyzer Bericht unter "Attack Surfaces" auch tatsächlich durch die Installation hinzugefügt worden zu sein.

P.S.: Ich würd ggf. den Namen aus dem Bericht überall rausstreichen oder generell niemals ein Benutzerkonto/Computername mit dem echten Namen verwenden.

edit: Mich würde noch interessieren, ob Adwcleaner oder JRT anschlagen, sobald Kies installiert ist.

 

[MyLife]

Das kann ich mir nicht aussuchen, weil bei Windows 8.1 mit mein Microsoft Konto verknüpft ist, wegen Family Safety ist das erforderlich. Die Datei habe ich aber wieder runter genommen.

edit: Mich würde noch interessieren, ob Adwcleaner oder JRT anschlagen, sobald Kies installiert ist.

Nein, nur Hitman Pro schlägt an. Alle anderen Programme bleiben ruhig.

 

[Randy89]

Nein, nur Hitman Pro schlägt an. Alle anderen Programme bleiben ruhig.

Eigenartig; grade bei Adwcleaner oder JRT, welche gegen PuPs sehr stark sind, hätte ich erwartet, dass die etwas ankreiden würden. Daraus ergibt sich für mich 2 Möglichkeiten:
1) Die entsprechenden Einträge sind gut getarnt und/oder durch den Namen "Samsung" (bzw. der Signatur) whitegelisted bei Adwcleaner und JRT.
2) Hitmanpro zeigt Fehlalarme an und die Einträge sind in Wirklichkeit völlig harmlos.

Fakt ist: Samsung Kies fügt die entsprechenden Registryeinträge hinzu. Was du nun daraus machst, bleibt dir überlassen, zumal PuP und/oder Adware und/oder Drittanbieterprogramme mit hoher Wahrscheinlichkeit ungleich Viren und/oder Trojaner sind, sonst wären die Einträge nicht so einfach nach einer bloßen Deinstallation weg.

 

[MyLife]

Was mich auch wundert ist, dass Hitman Pro standardmäßig die Registry-Einträge aus "Ignorieren" setzt.

Entweder ist Hitman Pro sich selber nicht sicher, oder die Einträge sind in eine Whitelist.

 

[Randy89]

Was mich auch wundert ist, dass Hitman Pro standardmäßig die Registry-Einträge aus "Ignorieren" setzt.

Weil es nur verdächtige und keine schädlichen Dateien an sich sind. Grade bei Mehrfachscannern ist außerdem die Chance groß, dass die Heuristik oder die Verhaltenserkennung etwas empfindlich reagiert und dementsprechend mehr oder überhaupt Fundstellen aufweisen.

Wie sieht es mit den Alternativen aus? Könnte ja sein, dass eins von denen (oder andere Software) ohne diese zweifelhaften Registryeinträge auskommt und gut funktioniert.

 

[Egust]

Bei mir findet (und meldet) ADWcleaner registry Einträge die zum Beispiel mit Myfree Codec zusammenhängen.
Das ist Teil der Kies Software.
ADWcleaner möchte sie löschen.

 

[Randy89]

Man kann beim Adwcleaner auch Elemente in den einzelnen Spalten deaktivieren, die man behalten möchte.