mbam findet C:\Program Files (x86)\DVBViewer TE2\update.exe (Spyware.Zbot)
 

Hall Forum,
ich stehe vor einem Problem, seit ein paar Tagen läuft das Sicherheitscenter unter Win7 64 Bit nicht mehr, Startversucher scheitern mit der Meldung "Zugriff verweigert"

Hab daraufhin hier den Tipp bezüglich MBAM gefunden und einen Suchlauf gestartet. Die Logdate hänge ich an :
Wie werde ich das Ding wieder los und ist das mein einziges Problem ? Den Technisat Kram habe ich vor einigen Jahren installiert.

Schonmal im Voraus Danke für Tipps und Hilfe.

gruß

Magnus

Im DVBViewer? Sieht sehr schwer nach Fehlalarm aus

Fehlalarm wäre natürlich das Beste.
Aber warum streikt der Sicherheitscenter Dienst seit ein paar Tagen ?

Hast du noch weitere Logs von Malwarebytes? Siehe http://www.trojaner-board.de/125889-...tml#post941520

Dieses hier von gestern ist wieder das gleiche Teil und wurde angeblich in Quarantäne gestellt, aber bei dem späteren Lauf wieder gefunden.





Vor ein paar Tagen hatte ich im Firefox plätzlich ein Popup nach dem Motto "Wollen sie die Seite verlassen Ja / nein " .
Normalerweise beende ich dann vorsichtshalber den Prozess im Prozessmanager, diesmal habe ich dummerweise auf das Schliessen kreutz oben rechts im Fenster geclickt.

Ich hab noch ältere Mailware logs, da wurde aber das technisat Teil nicht bemängelt.

Hab grad mal das Eventlog durchgeflöht, der Dienst läuft seit dem 17.10. nicht mehr.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo,
anbei die gewünschte Datei.

Vielen Dank übrigens bisher für Deine Mühen

Ist auch unauffällig, tiefere Scans sind imho nicht nötig.
Ich war mir schon am Anfang sicher, dass es hier ein Fehlalarm ist.

Ok, eigentlich eine gute Nachricht, stellt sich noch die Frage, wie man das Sicherheitscenter wieder zum laufen kriegt.

Wenn da noch jemand eine Idee hat . . . . .


Cosinus, mir bleibt nur, mich für die Superunterstützung und Deine Mühe zu bedanken. Ist ein klasse Forum hier.

Gruß
Magnus

Du hast die COmputerverwaltung als Admin ausgeführt?
Leg dir mal eine Verknüpfug zu services.msc auf dem Desktop, diese per Rechtsklick => als Administrator ausführen
Versuch dann den besagten Dienst nochmal zu starten
Klappt das immer noch nicht, schaust du mal nach, ob die abhängigen Dienste zum Sicherheitscenter gestartet sind.

Danke,
geht leider weder als Admin angemeldet, noch wenn Services.msc als Admin gestartet wird.

Was mir aufgefallen ist :

Die Anmeldeinformationen waren ursprünglich leer. Slao dieses Konto, aber dann war kein Kontoname hinterlegt.

Hab jetzt wieder Lokaler Service mit dem Admin Kenwort eingegeben , bin mir aber nicht sicher, ob das ADmin kennwort da rein muss oder was anderes.
Mit leerem Kennwort gleicher Fehler 5 Zugriff verweigert.
DCOM, RPC und RPC Endpunktzuordnung laufen.

Hm...

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Danke für die Unterstützung, anbei das log :

Auch unauffällig

Downloade dir bitte ESET's ServiceRepair.exe auf deinem Desktop.
Doppelklick auf die Datei und bestätige die ersten Nachricht mit Yes.

Das Tool wird einen Neustart verlangen, dies bitte zulassen.

Hat leider keine Besserung gebracht, immer noch Zugriff verweigert.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

So, da ich mir nicht sicher war, wie ich AVG korrekt abschalte, hab ich es deinstalliert und neu gestartet.
interessanterweise sagt combofix, das es trotzdem läuft.

Hier das log :

Wieso hast du zwei AVPs am laufen, das ist kontraproduktiv! :wtf:
Bitte einen der beiden umgehend deinstallieren!

AVG hatte ich schnmal entfernt, aber offensichtlich nicht vollständig.
Mit AVG remove ists zumindest nicht mehr in der Liste der installierten Programme.

Avira habe ich auch komplett deinstalliert.

Bin etwas ratlos warum beide angeblich noch laufen, in der Prozessliste kann ich sie auch nicht finden.

Probier mal den AVG Remover => AVG Tools-Download

Schon versucht.
Regedit und Suche nach AVG oder AVIRA bringt kaum Ergebnisse, bei Autoruns steht auch nichts.

Hab jetzt unter Programme die AVG Ordner gelöscht und in der Registry die gefundenen Einträge rausgelöscht, bei Avira deinstalliert und ich finde auch kaum noch was.

Aber Avira ist angeblich trotzdem aktiv.

Und weiter?! Ergebnis?

Anbei das Log mit den diversen Versuchen.

So, Update, habe inzwischen Avast installiert , da trotz der Meldungen von Combofix kein Virenscanner aktiv ist.Anbei das Ergebnis des Scans.

Bitte was?! :wtf:
Sind jetzt drei Virenscanner am werkeln?

Nein, ich hatte doch oben geschrieben, das ich Avira und AVG deinstalliert habe.
Warum Combofix der Meinung ist, das Avira noch aktiv ist - keine Ahnung.
Das einzige , was ich noch finden kann, ist das TrayIcon von Avira

Durchsuchen der Registry nach Avira oder AVG bring keinen Treffer.

Habe jetzt Avast installiert um nicht ganz ohne Scanner dazustehen.

OTL weiss auch nur von Avast :

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Anbei das Ergebnis, Combofix hat allerdings nicht nach einem neustart verlangt.

Jetzt steht aber kein Avast bei dir im Kopf vom CF-Log :D

Stimmt ;-)

Verstehen muss ich das ja nicht unbedingt, siehe Prozessliste

Läuft das Sicherheitscenter jetzt eigenlich wieder?

leider nicht, das hätte ich schon freudigt erregt kundgetan.

Downloade dir bitte Farbar's Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center / Action Center
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Das wäre dann das hier

So kann das auch nicht hinhauen!
Versuch mal den Dienst Sicherheitscenter im Kontext des lokalen Systemkontos laufen zu lassen

Doch das ist schon richtig so, habs auf einem anderen Rechner verglichen.
Wenn ich es so einstelle, wie Du sagst, kommt angehängte Meldung.

Angeblich reicht es , das Ganze als lokaler Dienst ohne Kennwort anzulegen

siehe hier :

hxxp://technet.microsoft.com/de-de/library/cc755249.aspx

Hab ich gemacht geht aber auch nicht

Hi,
noch Ideen, was ich tun könnte ?
in jedem Fall vielen Dank für die Hilfe bisher.

Gruß

Magnus

ich vermute, das Problem ist, dass du versucht hast die Anmeldeinfos zu verändern. Ich hab das mal in meiner VM durchgetestet, es ging danach nicht mehr, aber zum Glück hab ich den für diesen Dienst verantwortlichen Registrybereich exportiert und danach wieder importiert, es ging dann wieder.

Vllt klappt es bei dir ja auch. Siehe Datei im Anhang. Runterladen auf den Desktop, entpacken und die wscsvc.reg per Doppelklick in die Reg importieren!