Verdächtige Messenger Einträge

spoddig · 22.11.2009, 01:06

Das Gmbr lief bis eben gerde und hat sich dann leider doch noch mit einem Bluescreen verabschiedet, aber 2 Stunden lief es ohne Probleme.
Hier das was ich noch vor dem Bluescreen kopierne konnte.

Code:

ATTFilter

GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-21 23:09:22
Windows 6.0.6002 Service Pack 2
Running: es4zqpbk.exe; Driver: C:\Users\Rupert\AppData\Local\Temp\pwryqpow.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwAlpcConnectPort [0x963B1E06]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwAlpcCreatePort [0x963B1F84]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwAlpcSendWaitReceivePort [0x963B2014]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwClose [0x963B0DF8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwConnectPort [0x963B14EA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwCreateEvent [0x963B1816]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwCreateFile [0x963B0F66]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwCreateMutant [0x963B16EE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwCreateNamedPipeFile [0x963B09D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwCreatePort [0x963B15AA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwCreateSection [0x963B0B8C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwCreateSemaphore [0x963B1948]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwCreateWaitablePort [0x963B164C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwFsControlFile [0x963B10C4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwOpenEvent [0x963B18B8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwOpenFile [0x963B0E34]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwOpenMutant [0x963B1786]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwOpenSection [0x963B245C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwOpenSemaphore [0x963B19EA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwQueryDirectoryObject [0x963B2214]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwReplyPort [0x963B1D74]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwReplyWaitReceivePort [0x963B1C3A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwSecureConnectPort [0x963B11F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wlh_x86]/Kaspersky Lab)                                                ZwSetInformationToken [0x963B22C8]
SSDT            \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys                                                                                  ZwTerminateProcess [0x97A250B0]

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 13D                                                                                                       850C1880 8 Bytes  [06, 1E, 3B, 96, 84, 1F, 3B, ...] {PUSH ES; PUSH DS; CMP EDX, [ESI-0x69c4e07c]}
.text           ntkrnlpa.exe!KeSetEvent + 181                                                                                                       850C18C4 4 Bytes  [14, 20, 3B, 96]
.text           ntkrnlpa.exe!KeSetEvent + 1A9                                                                                                       850C18EC 4 Bytes  [F8, 0D, 3B, 96]
.text           ntkrnlpa.exe!KeSetEvent + 1C1                                                                                                       850C1904 4 Bytes  JMP 30963B14 
.text           ntkrnlpa.exe!KeSetEvent + 1D1                                                                                                       850C1914 4 Bytes  [16, 18, 3B, 96] {PUSH SS; SBB [EBX], BH; XCHG ESI, EAX}
.text           ...                                                                                                                                 
?               C:\Users\Rupert\AppData\Local\Temp\mbr.sys                                                                                          Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!SetWindowsHookExW                                                  777587AD 5 Bytes  JMP 708297F5 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!CallNextHookEx                                                     77758E3B 5 Bytes  JMP 7081CE79 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!UnhookWindowsHookEx                                                777598DB 5 Bytes  JMP 7079466C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!CreateWindowExW                                                    77761305 5 Bytes  JMP 7082D67C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!DialogBoxParamW                                                    777810B0 5 Bytes  JMP 70755435 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!DialogBoxIndirectParamW                                            77782EF5 5 Bytes  JMP 7092418F C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!DialogBoxParamA                                                    77798152 5 Bytes  JMP 7092412C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!DialogBoxIndirectParamA                                            7779847D 5 Bytes  JMP 709241F2 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!MessageBoxIndirectA                                                777AD4D9 5 Bytes  JMP 709240C1 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!MessageBoxIndirectW                                                777AD5D3 5 Bytes  JMP 70924056 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!MessageBoxExA                                                      777AD639 5 Bytes  JMP 70923FF4 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] USER32.dll!MessageBoxExW                                                      777AD65D 5 Bytes  JMP 70923F92 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] ole32.dll!OleLoadFromStream                                                   774E1E12 5 Bytes  JMP 709244F7 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2172] ole32.dll!CoCreateInstance                                                    77519EA6 5 Bytes  JMP 7082D6D8 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
?               C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2364] C:\Windows\system32\ntdll.dll                         time/date stamp mismatch; 
?               C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2364] C:\Windows\system32\kernel32.dll                      time/date stamp mismatch; 
.text           C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2364] USER32.dll!SetScrollInfo + 7A8                        77767980 4 Bytes  [70, 11, 32, 6D]
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!CreateWindowExW                                                    77761305 5 Bytes  JMP 7082D67C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!DialogBoxParamW                                                    777810B0 5 Bytes  JMP 70755435 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!DialogBoxIndirectParamW                                            77782EF5 5 Bytes  JMP 7092418F C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!DialogBoxParamA                                                    77798152 5 Bytes  JMP 7092412C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!DialogBoxIndirectParamA                                            7779847D 5 Bytes  JMP 709241F2 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!MessageBoxIndirectA                                                777AD4D9 5 Bytes  JMP 709240C1 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!MessageBoxIndirectW                                                777AD5D3 5 Bytes  JMP 70924056 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!MessageBoxExA                                                      777AD639 5 Bytes  JMP 70923FF4 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2444] USER32.dll!MessageBoxExW                                                      777AD65D 5 Bytes  JMP 70923F92 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
?               C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2736] C:\Windows\system32\ntdll.dll                         time/date stamp mismatch; 
?               C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2736] C:\Windows\system32\kernel32.dll                      time/date stamp mismatch; 
.text           C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[2736] USER32.dll!SetScrollInfo + 7A8                        77767980 4 Bytes  [70, 11, 32, 6D]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\tdx \Device\Tcp                                                                                                             kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume8                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume9                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Udp                                                                                                             kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\tdx \Device\RawIp                                                                                                           kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                                            fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}                     
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}@iabfljlfjdbligbkob  0x6A 0x61 0x61 0x6B ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}@halfalgnhdknkken    0x6A 0x61 0x61 0x6B ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}@haagdjppphmfmncg    0x66 0x61 0x64 0x6B ...

Ich hoffe Du kannst damit was anfangen ich steh da ziemlich ratlos da.
Was ich jetzt auf alle fälle erstmal machen werde istdas kaspersky runterwerfen, dann CCleaner und dann neu runterladen.

Kannst Du mir denn zu etwas raten was ich sonst noch machen könnte ???

spoddig · 22.11.2009, 03:57

Dann habe ich noch das heir gefunden, nachdem mir das sehr verdächtig aussah habe ich es in einer sicheren umbgebung ausführen lassen und dan wurde sie vom Kaspersky in die Quarantäne verschoben.

2009-11-13 09:12:22 ----SH---- C:\Windows\1537227879.exe

undoreal · 22.11.2009, 10:23

Wie hast du die

Zitat:

C:\Windows\1537227879.exe

gefunden?

In der "sicheren" Umgebung von Kasperksy solltest du bloß nichts starten!

Die ist nämlich nicht so sicher wie du evtl. glaubst. Nicht zu viel auf eigene Faußt machen...

Mach mal bitte folgendens:

Dienst-Details anzeigen+abspeichern: Start->ausführen-> cmd reinschreiben und Enter drücken-> sc qc Anyplace Control Security > C:\services.txt reinschreiben und Enter drücken. Der Bericht liegt in C:\services.txt vor. Poste den bitte.

spoddig · 22.11.2009, 12:23

Hallo,
guten morgen, nun ich bin dann gestern nacht eben durch die ganen dll im Windows Ordner hab zu den einträgen gegoogelt, dann habe ich die dlls gelöscht die 100 % sicher zu den Remoteprogrammen gehören. und die Yahoo Toolbar sachen noch deinsatlliert. denn CC cleaner wieder laufen lassen.
Dann habe ich noch die Proversion von dem Superantivirus gekauft.

Jetzt stehe ich vor der Frage was soll ich laufen lassen den Kaspersky oder das superantivirus, ich war früher immer sehr zufrieden mit kaspersky, aber diese Version 10 ist irgendwie nicht der grosse hit, und bremst das system ganz schön aus. Allerdings weiss ich üer das Superantivirus nicht wie gut das wirklich ist.

D
Die cmd Ausführung ergibt das

Code:

ATTFilter

SC) OpenServivce Fehler 1060 Der angegeben Dienst ist kein installierter Dienst

undoreal · 22.11.2009, 13:05

Die 10ner von Kasperksy ist wirklich nicht der Hit. Aber SUPERAntiSpyware als Wächter ist garnicht gut. Zum scannen on-demand ist OK. Aber nicht als Wächter zu gebrauchen.

Das mit dem Dienst ist seltsam denn im AVZ log sehe ich ihn nicht. Windows sagt auch es gibt ihn nicht aber HJT und RSIT zeigen ihn an.

Poste bitte ein frisches HJT log.

Und das hier:

Alle Dienste auflisten: Start => ausführen => dort reinschreiben: services.msc => OK
Es öffnet sich das "Dienste"-Fenster => Dienste (lokal) markieren => Rechtsklick => Liste exportieren
=> als dienste.txt auf Deinem Desktop speichern und hier posten.

Welche Dienste laufen:
Start -> ausführen -> cmd (reinschreiben) -> OK
Es öffnet sich ein DOS-Fenster -> sc queryex > C:\services.txt (reinschreiben)
Inhalt von C:\services.txt hier posten.

spoddig · 22.11.2009, 13:37

Hallo,
sc queryex > C:\services.txt bringt die Meldung Zugriff verweigert

Hier die Liste der Dienste

und hier das aktuelle Hijack file

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:34, on 22.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS\AASP\1.00.65\aaCenter.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\LiveZilla\LiveZilla.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Lexmark  - {D2C5E510-BE6D-42CC-9F61-E4F939078474} - C:\Program Files\Lexmark Printable Web\bho.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [LiveZilla] "C:\Program Files\LiveZilla\LiveZilla.exe" -minimize
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c9706548af950b) (gupdate1c9706548af950b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxduCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxduserv.exe
O23 - Service: lxdu_device -   - C:\Windows\system32\lxducoms.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

--
End of file - 7919 bytes

spoddig · 22.11.2009, 13:45

Hallo ich lasse gerade nochmal das gemr laufen. Kaspersky habe ich nochmal runter.
Es hat sich beim GMER einiges getan, ich kopiere das mal hier rein bevor es wieder abschmiert.

Code:

ATTFilter

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-22 13:46:42
Windows 6.0.6002 Service Pack 2
Running: q4620o8t.exe; Driver: C:\Users\Rupert\AppData\Local\Temp\pwryqpow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                                                            section is writeable [0x95C0C000, 0x241AC8, 0xE8000020]
?               C:\Users\Rupert\AppData\Local\Temp\mbr.sys                                                                                          Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!CreateWindowExW                                                    76321305 5 Bytes  JMP 6FBED67C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!DialogBoxParamW                                                    763410B0 5 Bytes  JMP 6FB15435 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!DialogBoxIndirectParamW                                            76342EF5 5 Bytes  JMP 6FCE418F C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!DialogBoxParamA                                                    76358152 5 Bytes  JMP 6FCE412C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!DialogBoxIndirectParamA                                            7635847D 5 Bytes  JMP 6FCE41F2 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!MessageBoxIndirectA                                                7636D4D9 5 Bytes  JMP 6FCE40C1 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!MessageBoxIndirectW                                                7636D5D3 5 Bytes  JMP 6FCE4056 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!MessageBoxExA                                                      7636D639 5 Bytes  JMP 6FCE3FF4 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3016] USER32.dll!MessageBoxExW                                                      7636D65D 5 Bytes  JMP 6FCE3F92 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!SetWindowsHookExW                                                  763187AD 5 Bytes  JMP 6FBE97F5 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!CallNextHookEx                                                     76318E3B 5 Bytes  JMP 6FBDCE79 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!UnhookWindowsHookEx                                                763198DB 5 Bytes  JMP 6FB5466C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!CreateWindowExW                                                    76321305 5 Bytes  JMP 6FBED67C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!DialogBoxParamW                                                    763410B0 5 Bytes  JMP 6FB15435 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!DialogBoxIndirectParamW                                            76342EF5 5 Bytes  JMP 6FCE418F C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!DialogBoxParamA                                                    76358152 5 Bytes  JMP 6FCE412C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!DialogBoxIndirectParamA                                            7635847D 5 Bytes  JMP 6FCE41F2 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!MessageBoxIndirectA                                                7636D4D9 5 Bytes  JMP 6FCE40C1 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!MessageBoxIndirectW                                                7636D5D3 5 Bytes  JMP 6FCE4056 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!MessageBoxExA                                                      7636D639 5 Bytes  JMP 6FCE3FF4 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] USER32.dll!MessageBoxExW                                                      7636D65D 5 Bytes  JMP 6FCE3F92 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] ole32.dll!OleLoadFromStream                                                   75711E12 5 Bytes  JMP 6FCE44F7 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3020] ole32.dll!CoCreateInstance                                                    75749EA6 5 Bytes  JMP 6FBED6D8 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!SetWindowsHookExW                                                  763187AD 5 Bytes  JMP 6FBE97F5 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!CallNextHookEx                                                     76318E3B 5 Bytes  JMP 6FBDCE79 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!UnhookWindowsHookEx                                                763198DB 5 Bytes  JMP 6FB5466C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!CreateWindowExW                                                    76321305 5 Bytes  JMP 6FBED67C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!DialogBoxParamW                                                    763410B0 5 Bytes  JMP 6FB15435 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!DialogBoxIndirectParamW                                            76342EF5 5 Bytes  JMP 6FCE418F C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!DialogBoxParamA                                                    76358152 5 Bytes  JMP 6FCE412C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!DialogBoxIndirectParamA                                            7635847D 5 Bytes  JMP 6FCE41F2 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!MessageBoxIndirectA                                                7636D4D9 5 Bytes  JMP 6FCE40C1 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!MessageBoxIndirectW                                                7636D5D3 5 Bytes  JMP 6FCE4056 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!MessageBoxExA                                                      7636D639 5 Bytes  JMP 6FCE3FF4 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] USER32.dll!MessageBoxExW                                                      7636D65D 5 Bytes  JMP 6FCE3F92 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] ole32.dll!OleLoadFromStream                                                   75711E12 5 Bytes  JMP 6FCE44F7 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[3444] ole32.dll!CoCreateInstance                                                    75749EA6 5 Bytes  JMP 6FBED6D8 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume8                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume9                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}                     
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}@iabfljlfjdbligbkob  0x6A 0x61 0x61 0x6B ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}@halfalgnhdknkken    0x6A 0x61 0x61 0x6B ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}@haagdjppphmfmncg    0x66 0x61 0x64 0x6B ...

spoddig · 22.11.2009, 13:52

Sorry das war wohl da ein Ie Fenster offen war

spoddig · 22.11.2009, 15:02

Rsit bringt ihn immer noch obwohl die datei gar nicht mehr existiert

S4 Anyplace Control Security;Anyplace Control Security; C:\Windows\svcadmin.exe /service []
Der ist auch gelöscht und wird trotzdem angezeigt
S3 teamviewervpn;TeamViewer VPN Adapter; C:\Windows\system32\DRIVERS\teamviewervpn.sys []
genau wie der Kandidat
S3 VERYSPLIT;VerySoft WebCamSplitter, WDM Streaming Driver; C:\Windows\system32\DRIVERS\verysplit.sys

Bin da jetzt ziemlich ratlos wo das herkommt, und noch ratloser wie ich es wegbekomme.

spoddig · 22.11.2009, 16:56

Hallo,

Also ich habe mal die reg durchsucht und da sind noch zig einträge von den remote programmen.
Wie bekomme ich denn den Mist da wieder raus, ist ja nicht zu glauben was da noch alles drinnen ist.

sonnige Inselgrüsse

rupert

undoreal · 22.11.2009, 17:51

Das wird etwas schwieriger wenn wir das alles rauspulen wollen.

Wenn du die cmd Fenster öffnest dann muss du das als Admin machen.

Also cmd reinschreiben, dann Strg + Alt + Shift drücken und dann Enter drücken. So wird cmd als Admin gestartet.

Dann sollte er die Meldungen "Zugriff verweigert" nicht mehr bringen.

Ist aber auch egal, wir killen den einfach:

cmd als Admin öffnen und eintippen:

sc stop Anyplace Control Security
sc delete Anyplace Control Security

jeweils mit enter bestätigen.

HJT zeigt ihn auch nicht mehr an. Ich hätte den sonst auch im AVZ log gesehen.

Ich will ganz ehrlich sein: Ich glaube bei dir stimmt was nicht. Gmer zeigt Einträge die mir nicht gefallen und das er abschmiert ist auch kein gutes Zeichen.
Allerdings kann das alles auch an irgendwelchen komischen Resten der Remote Tools liegen. Oder halt an einem Schädling der sich verdammt tief eingegraben hat.
Wenn du dir Abreit ersparen willst und eh mal ausmisten möchtest dann würde ich vorschlagen, dass du neuaufsetzt und so mal alles wieder frisch machst. Wenn ich noch weiter suchen soll dann poste bitte zwei frische AVZ logs und einen Rootrepeal log.

Erstellung eines RootRepeal Reports

Downloade dir RootRepeal hier: http://ad13.geekstogo.com/RootRepeal.rar
Schließe alle AntiVirus Wächter die im Hintergrund arbeiten.
Entpacke das Archiv.
Starte die RootRepeal.exe als Administrator.
Wechsel in den Reiter <Report> der sich am unteren Rand des Programmfensters befindet.
Drücke danach den "Scan" Button. -> Setze alle Haken und drücke "oK".
Wähle die Festplatte aus auf der Windows installiert ist. (Normalerweise ist das C:\)
Nachdem der Scan beendet ist (das kann recht lange dauern) öffnet sich ein Fenster welches dir den Report zeigt. Speichere den Bericht (Datei->Speichern unter) und hänge die .txt Datei an deinen nächsten Post an.

spoddig · 22.11.2009, 18:22

Hallo,
ja mit dem Gedanken des neu aufsetzen spiele ich ja auch schon, wollte eh auf windows 7 64 bit umsteigen, nur die cd ist noch nicht da, dauert immer ein paar Tage länger bis die Post hier ankommt.

Nachdem es dann eh schon mehr als egal ist werde ich mal ein paar reg cleaner laufen lassen die etwas tiefer gehen als ccleaner, vielleicht bringt das zumindest soweit abhilfe das GMER durläuft und dann vielleicht etwas genaueres zu sehen ist.

Ich sag schon mal danke und wenn sich was tut nach der Reinigung mlede ich mich.

sonnige Inselgrüße

Rupert

undoreal · 22.11.2009, 20:51

Mach das Rupert. Ist für uns beide leichter und hinterlässt auch ein besseres Gefühl. Ich poste dir noch ein paar grundsätzliche Sachen damit alles glatt läuft.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

Vista:

Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten.
Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt.

Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen.

Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt.

Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet:

- Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte
- Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups
- Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung: Kommandozeile/Eingabeaufforderung

Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter.

Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken.

XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.

Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren.
Das wird durch die Nutzung einer LiveCD verhindert.
Auf Grund der bekannten Oberfläche empfehle ich VistaPE.
Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip
Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe.
Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest.
Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD.
Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google...

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Und hier noch ein paar Sachen damit der Rechner auch sauber bleibt..

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, a-squared oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
Sehr empfehlen kann ich PrevX!
Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack2
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista und Windows 7 können einige Dienste deaktiviert werden: TechNET
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista & Windows 7_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Der Windows Autorun sollte unbedingt deaktiviert werden!
.
Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

spoddig · 23.11.2009, 02:49

Hallo,
ich denke ich bin doch noch nicht soweit das ich das system aufgebe, der Aufwand wäre riesig. Also ich habe über 2000 Einträge aus der reg gelöscht und es läuft alles. Weder Kaspersky noch irgend ein anderer Scanner findet irgend einen Schädling. Ich weiss das heißt nichts. Nur meine überlegung ist folgende.
ich mache jetzt ein Update auf Windows 7 32bit dabei werden wohl die meisten der Systemdateien überschrieben, sollte da also etwas versteckt sein, habe ich schon mal die chance das er dabei sein Ende findet.
Wenn dann alle läuft wollte ich das System per Software Hilfe auf das windows 7 64 bit portieren., dabei wird erneut fast jede Systemdatei erneuert, sollte das mistding das immer noch überleben hift es wohl nichts dann muss ich wohl in den sauren Apfel beissen und alles neu machen. Nur dadurch das das Sytem seit gestern merklich schneller läuft und heute noch schneller, bin ich einfach der Hoffnung das er durch die Massnahmen eh schon weg ist oder zumindest nicht mehr funktionstüchtig. Wenn es durch eines der Remoteprogramme verursacht wurde, dürfte er durch das löschen der dll und sys Dateien eh keine Grundlage mehr haben.

Das hoffe ich zumindest so ein schädling ist ja auch nur ein programm

sonnige Inselgrüsse rupert

undoreal · 23.11.2009, 08:42

Das was du vorhast kling nicht so als würdest du danach ein rundes syystem erhalten.

Nur mein Tip: So schlimm kann es nicht sein deine Daten zu sichern. Programme kannst du eigentlich alle wieder herunterladen.

Mach das Ding gleich komplett frisch mit 64-bit. Nur mein Tip.

Verdächtige Messenger Einträge

Plagegeister aller Art und deren Bekämpfung: Verdächtige Messenger Einträge