Das Gmbr lief bis eben gerde und hat sich dann leider doch noch mit einem Bluescreen verabschiedet, aber 2 Stunden lief es ohne Probleme.
Hier das was ich noch vor dem Bluescreen kopierne konnte.



Ich hoffe Du kannst damit was anfangen ich steh da ziemlich ratlos da.
Was ich jetzt auf alle fälle erstmal machen werde istdas kaspersky runterwerfen, dann ccleaner und dann neu runterladen.

Kannst Du mir denn zu etwas raten was ich sonst noch machen könnte ???

Dann habe ich noch das heir gefunden, nachdem mir das sehr verdächtig aussah habe ich es in einer sicheren umbgebung ausführen lassen und dan wurde sie vom Kaspersky in die Quarantäne verschoben.

2009-11-13 09:12:22 ----SH---- C:\Windows\1537227879.exe

Wie hast du die gefunden?

In der "sicheren" Umgebung von Kasperksy solltest du bloß nichts starten! :balla: Die ist nämlich nicht so sicher wie du evtl. glaubst. Nicht zu viel auf eigene Faußt machen... ;)

Mach mal bitte folgendens:

Dienst-Details anzeigen+abspeichern: Start->ausführen-> cmd reinschreiben und Enter drücken-> sc qc Anyplace Control Security > C:\services.txt reinschreiben und Enter drücken. Der Bericht liegt in C:\services.txt vor. Poste den bitte.

Hallo,
guten morgen, nun ich bin dann gestern nacht eben durch die ganen dll im Windows Ordner hab zu den einträgen gegoogelt, dann habe ich die dlls gelöscht die 100 % sicher zu den Remoteprogrammen gehören. und die Yahoo Toolbar sachen noch deinsatlliert. denn CC cleaner wieder laufen lassen.
Dann habe ich noch die Proversion von dem Superantivirus gekauft.

Jetzt stehe ich vor der Frage was soll ich laufen lassen den Kaspersky oder das superantivirus, ich war früher immer sehr zufrieden mit kaspersky, aber diese Version 10 ist irgendwie nicht der grosse hit, und bremst das system ganz schön aus. Allerdings weiss ich üer das Superantivirus nicht wie gut das wirklich ist.

D
Die cmd Ausführung ergibt das

Die 10ner von Kasperksy ist wirklich nicht der Hit. Aber SuperAntiSpyware als Wächter ist garnicht gut. Zum scannen on-demand ist OK. Aber nicht als Wächter zu gebrauchen.

Das mit dem Dienst ist seltsam denn im AVZ log sehe ich ihn nicht. Windows sagt auch es gibt ihn nicht aber HJT und rsit zeigen ihn an.

Poste bitte ein frisches HJT log.

Und das hier:

Alle Dienste auflisten: Start => ausführen => dort reinschreiben: services.msc => OK
Es öffnet sich das "Dienste"-Fenster => Dienste (lokal) markieren => Rechtsklick => Liste exportieren
=> als dienste.txt auf Deinem Desktop speichern und hier posten.


Welche Dienste laufen:
Start -> ausführen -> cmd (reinschreiben) -> OK
Es öffnet sich ein DOS-Fenster -> sc queryex > C:\services.txt (reinschreiben)
Inhalt von C:\services.txt hier posten.

Hallo,
sc queryex > C:\services.txt bringt die Meldung Zugriff verweigert


Hier die Liste der Dienste


und hier das aktuelle Hijack file

Hallo ich lasse gerade nochmal das gemr laufen. Kaspersky habe ich nochmal runter.
Es hat sich beim gmer einiges getan, ich kopiere das mal hier rein bevor es wieder abschmiert.

Sorry das war wohl da ein Ie Fenster offen war

Rsit bringt ihn immer noch obwohl die datei gar nicht mehr existiert

S4 Anyplace Control Security;Anyplace Control Security; C:\Windows\svcadmin.exe /service []
Der ist auch gelöscht und wird trotzdem angezeigt
S3 teamviewervpn;TeamViewer VPN Adapter; C:\Windows\system32\DRIVERS\teamviewervpn.sys []
genau wie der Kandidat
S3 VERYSPLIT;VerySoft WebCamSplitter, WDM Streaming Driver; C:\Windows\system32\DRIVERS\verysplit.sys

Bin da jetzt ziemlich ratlos wo das herkommt, und noch ratloser wie ich es wegbekomme.

Hallo,

Also ich habe mal die reg durchsucht und da sind noch zig einträge von den remote programmen.
Wie bekomme ich denn den Mist da wieder raus, ist ja nicht zu glauben was da noch alles drinnen ist.


sonnige Inselgrüsse

rupert

Das wird etwas schwieriger wenn wir das alles rauspulen wollen.

Wenn du die cmd Fenster öffnest dann muss du das als Admin machen.

Also cmd reinschreiben, dann Strg + Alt + Shift drücken und dann Enter drücken. So wird cmd als Admin gestartet.

Dann sollte er die Meldungen "Zugriff verweigert" nicht mehr bringen.

Ist aber auch egal, wir killen den einfach:

cmd als Admin öffnen und eintippen:

sc stop Anyplace Control Security
sc delete Anyplace Control Security

jeweils mit enter bestätigen.

HJT zeigt ihn auch nicht mehr an. Ich hätte den sonst auch im AVZ log gesehen.

Ich will ganz ehrlich sein: Ich glaube bei dir stimmt was nicht. Gmer zeigt Einträge die mir nicht gefallen und das er abschmiert ist auch kein gutes Zeichen.
Allerdings kann das alles auch an irgendwelchen komischen Resten der Remote Tools liegen. Oder halt an einem Schädling der sich verdammt tief eingegraben hat.
Wenn du dir Abreit ersparen willst und eh mal ausmisten möchtest dann würde ich vorschlagen, dass du neuaufsetzt und so mal alles wieder frisch machst. Wenn ich noch weiter suchen soll dann poste bitte zwei frische AVZ logs und einen Rootrepeal log.

Erstellung eines RootRepeal Reports

• Downloade dir RootRepeal hier: http://ad13.geekstogo.com/RootRepeal.rar
• Schließe alle AntiVirus Wächter die im Hintergrund arbeiten.
• Entpacke das Archiv.
• Starte die RootRepeal.exe als Administrator.
• Wechsel in den Reiter <Report> der sich am unteren Rand des Programmfensters befindet.
• Drücke danach den "Scan" Button. -> Setze alle Haken und drücke "oK".
• Wähle die Festplatte aus auf der Windows installiert ist. (Normalerweise ist das C:\)
• Nachdem der Scan beendet ist (das kann recht lange dauern) öffnet sich ein Fenster welches dir den Report zeigt. Speichere den Bericht (Datei->Speichern unter) und hänge die .txt Datei an deinen nächsten Post an.

Hallo,
ja mit dem Gedanken des neu aufsetzen spiele ich ja auch schon, wollte eh auf windows 7 64 bit umsteigen, nur die cd ist noch nicht da, dauert immer ein paar Tage länger bis die Post hier ankommt.

Nachdem es dann eh schon mehr als egal ist werde ich mal ein paar reg cleaner laufen lassen die etwas tiefer gehen als ccleaner, vielleicht bringt das zumindest soweit abhilfe das Gmer durläuft und dann vielleicht etwas genaueres zu sehen ist.

Ich sag schon mal danke und wenn sich was tut nach der Reinigung mlede ich mich.

sonnige Inselgrüße

Rupert

Mach das Rupert. Ist für uns beide leichter und hinterlässt auch ein besseres Gefühl. Ich poste dir noch ein paar grundsätzliche Sachen damit alles glatt läuft.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

Vista:

Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten.
Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt.

Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen.

Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt.

Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet:

- Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte
- Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups
- Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung: Kommandozeile/Eingabeaufforderung

Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter.

Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken.


XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.


Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren.
Das wird durch die Nutzung einer LiveCD verhindert.
Auf Grund der bekannten Oberfläche empfehle ich VistaPE.
Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip
Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe.
Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest.
Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD.
Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google...


Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und hier noch ein paar Sachen damit der Rechner auch sauber bleibt.. ;)

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, a-squared oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
  Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
  Sehr empfehlen kann ich PrevX!
  Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack2
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista und Windows 7 können einige Dienste deaktiviert werden: TechNET
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista & Windows 7_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Der Windows Autorun sollte unbedingt deaktiviert werden!
  .
• Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

Hallo,
ich denke ich bin doch noch nicht soweit das ich das system aufgebe, der Aufwand wäre riesig. Also ich habe über 2000 Einträge aus der reg gelöscht und es läuft alles. Weder Kaspersky noch irgend ein anderer Scanner findet irgend einen Schädling. Ich weiss das heißt nichts. Nur meine überlegung ist folgende.
ich mache jetzt ein Update auf Windows 7 32bit dabei werden wohl die meisten der Systemdateien überschrieben, sollte da also etwas versteckt sein, habe ich schon mal die chance das er dabei sein Ende findet.
Wenn dann alle läuft wollte ich das System per Software Hilfe auf das windows 7 64 bit portieren., dabei wird erneut fast jede Systemdatei erneuert, sollte das mistding das immer noch überleben hift es wohl nichts dann muss ich wohl in den sauren Apfel beissen und alles neu machen. Nur dadurch das das Sytem seit gestern merklich schneller läuft und heute noch schneller, bin ich einfach der Hoffnung das er durch die Massnahmen eh schon weg ist oder zumindest nicht mehr funktionstüchtig. Wenn es durch eines der Remoteprogramme verursacht wurde, dürfte er durch das löschen der dll und sys Dateien eh keine Grundlage mehr haben.

Das hoffe ich zumindest so ein schädling ist ja auch nur ein programm:lach:


sonnige Inselgrüsse rupert

Das was du vorhast kling nicht so als würdest du danach ein rundes syystem erhalten.

Nur mein Tip: So schlimm kann es nicht sein deine Daten zu sichern. Programme kannst du eigentlich alle wieder herunterladen.

Mach das Ding gleich komplett frisch mit 64-bit. Nur mein Tip. :)