|
Verdächtige Messenger Einträge Hallo, ich habe einwenig das vertrauen in mein system verloren, nachdem ich die letzte Zeit trotz Kaspersky10 bei Kontrollscanns mit malwarbyte immer mal wieder Viren gefunden habe. Aktuell finden weder malwarbyte noch kaspesky Bedrohungen. Ich habe einen scan mit Catchme gemacht dabei habe ich zig hundert einträge aus den Messengerverzeichnis bekommen in denen ich die Verläufe speichere, ich kann das unmöglich alles hier reinkopieren ist auch immer im endefekt das gleiche nur eben mit wechselnden Adressen. Code: catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netIch habe die Emailadresen mit einigen xxx abgeändert. Mein Frage ist das ernstzunehmen oder eher harmlos. Vielen dank und sonnige Inselgrüße Rupert |
Halli hallo. Bitte deinstalliere Deamon Tools über die Systemsteuerung. Während der Deinstallation musst du den Rechner neustarten. Danach downloade dir das Tool hier: http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe Starte es durch einen Doppelklick. Im anschließenden Dialog wirst du den "Uninstall" Button finden. Betätige diesen um SPTD zu deinstallieren. Starten den Rechner danach neu. Räume mit dem cCleaner auf (Punkte 1&2). GMER - Rootkit Detection
Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Poste das log! Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop. Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig. Dann führe die mbr.bat. durch einen Doppelklick aus. Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden! Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log! |
Hallo, Wow das ging ja Fix. Den CCleaner hatte ich gestern schon gemacht. GMER - Rootkit Detection läuft seit ca 1 stunde und ist noch nicht Fertig, das dauert wohl noch ein bisserl. Sind ca. 1 terrabyte Daten drauf auf mehrern Platten. Da ich auf auch noch mein altes xp hin und wieder verwende habe ich beide Platten zum Durchsuchen angegben. Zitat:
Den Rest werde ich erledigen sobald das Gmer seine Arbeit verrichtet hat. Vielen Dank schon mal für die schnelle Reaktion sonnige Inselgrüße Rupert |
In dem gmer Einstellungen solltest du eigentlich nichts verändern... ;) Bringt eh nichts wenn gmer ein system durchleuchtet welches in dem Moment garnicht aktiv ist. |
Hallo, ok ich habe dann nochmal von vorne angefangen inkl ccleaner, soweit so gut. Allerdings bei gmr stürzte mir der Rechner nun 2 mal komplett ab mit Bluescreen. Jetzt beim 3. mal die Windows Meldung Code: es.....exe funktioniert nicht mehr.Device\Hardisk\Shadowcopy1 war die letzte datei die er untersucht hatte. Die Einstellungen hatte ich alle original so gelassen wie Sie sind. Ds mbr hatte ich trotzdem noch gemacht aber heir scheint bis dahin alles in ordnung zu sein Code: tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net |
Hallo, ok ich habe dann nochmal von vorne angefangen inkl ccleaner, soweit so gut. Allerdings bei gmr stürzte mir der Rechner nun 2 mal komplett ab mit Bluescreen. Jetzt beim 3. mal die Windows Meldung Code: es.....exe funktioniert nicht mehr.Device\Hardisk\Shadowcopy1 war die letzte datei die er untersucht hatte. Die Einstellungen hatte ich alle original so gelassen wie Sie sind. Ds mbr hatte ich trotzdem noch gemacht aber heir scheint bis dahin alles in ordnung zu sein Code: tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net |
Das er nun abschmiert ist kein gutes Zeichen. Grade der Pfad Hardisk\Shadowcopy1 gefällt mir garnicht. Erstelle bitte zwei AVZ logs. |
Hallo, hat gedauert aber er ist fertig, hat auch ein paar sachen gefunden, obwohl das meiste wohl harmlos ist,. das Klicktool was da zig mal angezigt wird ist irgendwann vor Jahren bei ebay gekauft worden und liegt da wohl in alten sicherheitskopien vom Emailprogramm. allerdings hate auch noch 2 andere sachen gefunden. Wollte eben das 2. Log als Anhang schicken, scheint aber zu groß zu sein, wo kann ich das hinschicken?. sonnige Inselgrüße Rupert Ps nach dem Durchlauf hatte ich den Rechner neu gestartet, daueret ewig Bildschirm blieb schawrz Fehlermeldung das der Explorer nicht mehr funktioniert, nach strg/alt/del und Benutzer neu anmelden ging es dann. Gefällt mir alles gar nicht. |
Da fehlt noch das syssecure.log Sag mal was für ein Betriebssytem nutzt du eigentlich? |
Hallo, sorry das hatte er wohl nicht genommen hier nochmal der 2 Versuch. Vista 32bit Ultimate AMD Phenóm 9950 QuadCore Processor 6 Gb Ram Service Pack2 Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 48,8 KB. Ihre Datei ist 51,4 KB groß. Ich kann Sie bei mir auf nen server legen zum Download aaber dann müsste ich die Url Posten ich denke das mag man hier sicher nicht. |
Poste die url ruhig. Das passt. Wir müssen das mit der Größe der Anhäge noch anpassen. |
Hallo, so das sollte normal gehen. Wie gesagt bei dem komischen klicktool mache ich mir keine grossen Sorgen, da weiß ich auch woher es kommt. Bei dem der in dem Programm von dem Hexeditor liegt habe ich keine Ahnung das Programm hatte ein Bekannter installiert der mir mal bei der Webseite was gemacht hatte, der muss dann wohl über seinen usb stick gekommen sein. Bei dem 3. habe ich gar keine ahnung wie und woher der kommt. http://www.mallorca-spezial.info/Temp/virusinfo_syscure.zip sonnige Mallorca Grüße Rupert |
Irgendwas ist das schief gelaufen. Jetzt habe ich hier zweimal das sysinfo.log vorliegen. Guck bitte nochmal ganz genau in die Anleitung und stelle mir beide logs zur Verfügung. Am besten löscht du alle logs nochmal komplett von der platte und erstellst sie neu. Bevor du die logs neuerstellst deinstalliere bitte Sun Java. Am besten geht das über die Systemsteuerung. Deinstalliere alles was mit SUN oder Java zu tun hat. Lasse danach dieses Tool laufen: http://raproducts.org/javara.html und entferne damit alle Reste. Danach befolge die AVZ Anleitung von Anfang an. |
Hallo, ich habe jetzt die infizierten Daten gelöscht und AVZ findet derzeit auch nichts, aber so ganz raue ich der Geschichte immer noch nicht. |
WAS hast du wie gelöscht???? :teufel1: :balla: Jetzt mach' keinen Schieß! EDIT: Oh man, du hast im Hauptfenster von AVZ den Start Button gedrückt oder?:balla: |
Hallo, ja nachdem ich die logs erstellt habe hatte ich das mit start gemacht, und danach nochmal das gmer probiert, was auch ein stück weiter lief, aber sich trotzdem immer wieder mit einem bluescreen verabschiedet hat mit wechselnden sys dateien oder page fehlern, habe jetzt mal einen ram baustein gewechselt und lasse gmer gerade im abgesicherten Zustand durchlaufen. Die mbr meldet user&kernel mbr ok. Tut mir leid mit dem Start ich dachte das nachdem ich die logs erstellt habe das in Ordnung geht. |
Nein das geht absolut nicht in Ordnung!! Was zum Henker hast du denn jetzt löschen lassen?? Das war sicherlich kein Schädling! Wahrscheinlich haste jetzt Kasperksy oder SuperAntiSpyware oder sonst was fragmentiert. Was war das was du hast löschen lassen? |
Hallo, nein was ich gelöscht habe waren uralte .cab Dateien meines alten Email program incredimail da waren ein par infizeirte Dateien die alle . rar gepackt waren. Ich habe jetzt alles was mit java zu tun hatte deinstaliert und auch die logs und werde jetzt nochmal genau nach anleitung vorgehen |
Ok. Mach sowas nicht nochmal! :crazy: Am besten löscht du alle logs nochmal komplett von der platte und erstellst sie neu. |
Hallo, so jetzt ist er durch, diesmal passen die zips auch von der Grösse hier rein. sonnige Inselgrüße Rupert Spoddig |
Deinstalliere bitte den Zoom Player. Deinstalliere ebenfalls TeamViewer. Deinstalliere RemotelyAnywhere / LogMeIn. Deinstalliere VNC. Hast du sonst noch was an remote Tools installiert? Alles deinstallieren. Danach lasse den cCleaner laufen. Guck bitte mal nach ob dieser Dateipfad wirklich existiert oder ob AVZ sich da irgendwie verheddert hat: Zitat:
|
Hallo, bei dem Verzeichnis hat er sich wohl verschluckt. Teamviewer und Player deinstalliert. Die anderen beiden verwundern mich auch, denn beide Programme waren nur kurze zeit installiert und wurden dann deinstaliert, es gibt Sie weder unter der Systemsteuerung noch unter Programme. Ein Rest war noch im Ordner Ultrvcn den ich gelöscht habe. Seltsam. sonnige Inselgrüße Rupert |
da ist noch einiges vom logmein und anderen Remote Programmen S2 RAInfo;RemotelyAnywhere Kernel Information Provider; \??\C:\Program Files\RemotelyAnywhere\x86\RaInfo.sys [] R3 ramirr;ramirr; C:\Windows\system32\DRIVERS\ramirr.sys [2008-09-08 10168] S3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys [2009-04-23 26176] S3 teamviewervpn;TeamViewer VPN Adapter; C:\Windows\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088] S4 RARfsClientNP;RARfsClientNP; C:\Windows\system32\drivers\RARfsClientNP.sys R2 Anyplace Control Security;Anyplace Control Security; C:\Windows\svcadmin.exe [2009-05-19 112128] Das ist das was mir so aufgefallen ist, ist das normal das das trotz deinstalltion noch da ist oder hat da jemand nachgeholfen und kann ich die dateien einfach löschn oder wie muss ich vorgehen. sonnige Mallorcagrüße Rupert |
=) sitzt du auf Malle in der Sonne? Na dann lass' es dir gut ergehen! :) Hast du die Einträge aus einem Hijackthis log? |
Hallo, ja lebe seit 10 jahren hier auf Mallorca, aber nur kein Neid hier muss man für weniger Kohle mehr arbeiten, war in Deutschland öfters in der sonne als hier. Ja das sind auszüge aus dem Hijak log soll ich es komplett hier posten ? sonnige inselgrüße Spoddig |
Jo, poste das mal ruhig. Kann nicht schaden. Da ist noch einiges an Rückständen der Remote Tools auf dem Rechner. Das macht die Suche nicht grade einfacher. :rolleyes: |
Na dann mache ich das doch mal. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hier noch die Sachen von rsit ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AsIO;AsIO; C:\Windows\system32\drivers\AsIO.sys [2007-12-17 12400] R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2009-04-11 351744] R1 kl1;kl1; C:\Windows\system32\DRIVERS\kl1.sys [2009-06-15 128016] R1 KLIF;Kaspersky Lab Driver; C:\Windows\system32\DRIVERS\klif.sys [2009-08-18 280592] R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter; C:\Windows\system32\DRIVERS\klim6.sys [2009-05-15 21008] R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [2009-11-11 9968] R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys [2009-11-11 74480] R2 RARfsDriver;RemotelyAnywhere Remote File System Driver; \??\C:\Windows\system32\drivers\RARfsDriver.sys [2008-09-08 47528] R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2009-01-14 4235776] R3 CAMBOXDRV;VISIT-X Video Splitter; C:\Windows\system32\DRIVERS\camboxdrv.sys [2009-05-06 20232] R3 HdAudAddService;Microsoft 1.1 UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\HdAudio.sys [2009-04-11 236544] R3 klmouflt;Kaspersky Lab KLMOUFLT; C:\Windows\system32\DRIVERS\klmouflt.sys [2009-05-16 19472] R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2006-10-18 7680] R3 Point32;Microsoft IntelliPoint Filter Driver; C:\Windows\system32\DRIVERS\point32k.sys [2007-08-21 24064] R3 ramirr;ramirr; C:\Windows\system32\DRIVERS\ramirr.sys [2008-09-08 10168] R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2009-09-02 176128] R3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS [2009-11-11 7408] R3 USBPNPA;USB PnP Sound Device Interface; C:\Windows\system32\drivers\CM108.sys [2007-06-28 1310720] R3 usbscan;USB Scanner Driver; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328] R3 VIAHdAudAddService;VIA High Definition Audio Driver Service; C:\Windows\system32\drivers\viahduaa.sys [2008-07-25 870400] R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264] R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328] S2 RAInfo;RemotelyAnywhere Kernel Information Provider; \??\C:\Program Files\RemotelyAnywhere\x86\RaInfo.sys [] S3 drmkaud;Microsoft Kernel DRM Audio Descrambler; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632] S3 fssfltr;FssFltr; C:\Windows\system32\DRIVERS\fssfltr.sys [2009-08-05 54632] S3 GearAspiWDM;GEAR ASPI Filter Driver; C:\Windows\System32\drivers\GEARAspiWDM.sys [] S3 GMSIPCI;GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS [] S3 grmnusb;grmnusb; C:\Windows\system32\drivers\grmnusb.sys [2007-03-08 8320] S3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys [2009-04-23 26176] S3 LVRS;Logitech RightSound Filter Driver; C:\Windows\system32\DRIVERS\lvrs.sys [] S3 LVUSBSta;Logitech USB Monitor Filter; C:\Windows\system32\drivers\LVUSBSta.sys [] S3 LVUVC;Logitech QuickCam Pro 9000(UVC); C:\Windows\system32\DRIVERS\lvuvc.sys [] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192] S3 MSPCLOCK;Microsoft Streaming Clock Proxy; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888] S3 MSPQM;Microsoft Streaming Quality Manager Proxy; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016] S3 phaudlwr;Philips Audio Filter; C:\Windows\system32\DRIVERS\phaudlwr.sys [2008-05-07 88704] S3 SPC1000;USB2.0 PC Camera (SPC1000); C:\Windows\system32\DRIVERS\spc1000.sys [2007-12-04 3033728] S3 SPC1330;USB2.0 PC Camera (SPC1330); C:\Windows\system32\DRIVERS\spc1330.sys [2008-08-28 3002112] S3 SPC620;Philips SPC620NC PC Camera; C:\Windows\system32\drivers\SPC620.sys [2007-07-01 484864] S3 SPC620m;Philips SPC620NC PC Cameram; C:\Windows\system32\drivers\SPC620m.sys [2007-07-01 7680] S3 SQTECH930B;USB 2.0 Motor Tracking Camera; C:\Windows\System32\Drivers\Capt930b.sys [2006-09-07 376374] S3 teamviewervpn;TeamViewer VPN Adapter; C:\Windows\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088] S3 usb_rndisx;USB RNDIS Adapter; C:\Windows\system32\DRIVERS\usb8023x.sys [2009-04-11 15872] S3 usbaudio;USB Audio Driver (WDM); C:\Windows\system32\drivers\usbaudio.sys [2009-04-11 73216] S3 usbvideo;USB Video Device (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016] S3 VERYSPLIT;VerySoft WebCamSplitter, WDM Streaming Driver; C:\Windows\system32\DRIVERS\verysplit.sys [2006-06-26 37120] S3 VERYSPLITPRO;VerySoft WebCamSplitter Pro, WDM Streaming Driver; C:\Windows\system32\DRIVERS\verysplitpro.sys [2006-03-07 35840] S3 vncmirror;vncmirror; C:\Windows\system32\DRIVERS\vncmirror.sys [2008-10-14 4608] S3 VSAudio;VerySoft Virtual Audio Device (WDM); C:\Windows\system32\drivers\vsaudio.sys [2006-07-17 15616] S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656] S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616] S4 RARfsClientNP;RARfsClientNP; C:\Windows\system32\drivers\RARfsClientNP.sys [] S4 sptd;sptd; C:\Windows\System32\Drivers\sptd.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Anyplace Control Security;Anyplace Control Security; C:\Windows\svcadmin.exe [2009-05-19 112128] R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2009-01-14 729088] R2 AVP;Kaspersky Internet Security; C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-07-03 303376] R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2008-01-21 21504] R2 lxdu_device;lxdu_device; C:\Windows\system32\lxducoms.exe [2009-08-19 594600] R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2008-02-18 877864] R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\Windows\system32\IoctlSvc.exe [2006-12-19 81920] R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-21 21504] R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512] R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-21 21504] R2 wlidsvc;Windows Live ID Sign-in Assistant; C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE [2009-03-30 1533808] S2 gupdate1c9706548af950b;Google Update Service (gupdate1c9706548af950b); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-01-07 133104] S2 lxduCATSCustConnectService;lxduCATSCustConnectService; C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxduserv.exe [2009-08-19 98984] S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2008-01-21 21504] S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-21 21504] S3 fsssvc;Windows Live Family Safety-Dienst; C:\Program Files\Windows Live\Family Safety\fsssvc.exe [2009-08-05 704864] S3 getPlusHelper;@C:\Program Files\NOS\bin\getPlus_Helper.dll,-101; C:\Windows\System32\svchost.exe [2008-01-21 21504] S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506; C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [2008-11-10 30192] S3 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2008-10-25 65888] S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe [2008-02-28 529704] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712] S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-21 21504] S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2009-04-11 918528] S4 AODService;AODService; C:\Program Files\AMD\OverDrive\AODAssist [] S4 lxcr_device;lxcr_device; C:\Windows\system32\lxcrcoms.exe -service [] |
Nun der IE Explorer läuft jetzt gefühlt um einiges schneller. MSN Skype etc habe ich zur zeit auf dem Rechner nicht an daher weiss ich nicht ob die Probleme noch immer da sind. Davor war es so das viele Nachrichten beim Messenger weder von mir beim Empfänger ankamen noch umgekehrt. Auch Emails sind viele Spurlos verschwunden. Was mich ja zu dem Verdacht gebracht hatte das etwas nicht stimmt das ändern der Passwörter vor ein einer Woche hat auch nichts gebracht. Links im Messenger habe ich von jeher nie angenommen von daher bin ich mir recht sicher das ich darüber nichts bekommen habe. |
Das Gmbr läuft gerade bisher ohne Bluescreen. bei kaspersky meldet es ein paar einträge mit time/date stamp mismatch der 4. Eintrag nach 3 einträgen von ntkrnlpa.exekesetevent +1D1 .text .... und bei value auch leer das mal vorab bevor er sich wieder aufhängt. |
Das Gmbr lief bis eben gerde und hat sich dann leider doch noch mit einem Bluescreen verabschiedet, aber 2 Stunden lief es ohne Probleme. Hier das was ich noch vor dem Bluescreen kopierne konnte. Code: GMER 1.0.15.15227 - http://www.gmer.netIch hoffe Du kannst damit was anfangen ich steh da ziemlich ratlos da. Was ich jetzt auf alle fälle erstmal machen werde istdas kaspersky runterwerfen, dann ccleaner und dann neu runterladen. Kannst Du mir denn zu etwas raten was ich sonst noch machen könnte ??? |
Dann habe ich noch das heir gefunden, nachdem mir das sehr verdächtig aussah habe ich es in einer sicheren umbgebung ausführen lassen und dan wurde sie vom Kaspersky in die Quarantäne verschoben. 2009-11-13 09:12:22 ----SH---- C:\Windows\1537227879.exe |
Wie hast du die Zitat:
In der "sicheren" Umgebung von Kasperksy solltest du bloß nichts starten! :balla: Die ist nämlich nicht so sicher wie du evtl. glaubst. Nicht zu viel auf eigene Faußt machen... ;) Mach mal bitte folgendens: Dienst-Details anzeigen+abspeichern: Start->ausführen-> cmd reinschreiben und Enter drücken-> sc qc Anyplace Control Security > C:\services.txt reinschreiben und Enter drücken. Der Bericht liegt in C:\services.txt vor. Poste den bitte. |
Hallo, guten morgen, nun ich bin dann gestern nacht eben durch die ganen dll im Windows Ordner hab zu den einträgen gegoogelt, dann habe ich die dlls gelöscht die 100 % sicher zu den Remoteprogrammen gehören. und die Yahoo Toolbar sachen noch deinsatlliert. denn CC cleaner wieder laufen lassen. Dann habe ich noch die Proversion von dem Superantivirus gekauft. Jetzt stehe ich vor der Frage was soll ich laufen lassen den Kaspersky oder das superantivirus, ich war früher immer sehr zufrieden mit kaspersky, aber diese Version 10 ist irgendwie nicht der grosse hit, und bremst das system ganz schön aus. Allerdings weiss ich üer das Superantivirus nicht wie gut das wirklich ist. D Die cmd Ausführung ergibt das Code: SC) OpenServivce Fehler 1060 Der angegeben Dienst ist kein installierter Dienst |
Die 10ner von Kasperksy ist wirklich nicht der Hit. Aber SuperAntiSpyware als Wächter ist garnicht gut. Zum scannen on-demand ist OK. Aber nicht als Wächter zu gebrauchen. Das mit dem Dienst ist seltsam denn im AVZ log sehe ich ihn nicht. Windows sagt auch es gibt ihn nicht aber HJT und rsit zeigen ihn an. Poste bitte ein frisches HJT log. Und das hier: Alle Dienste auflisten: Start => ausführen => dort reinschreiben: services.msc => OK Es öffnet sich das "Dienste"-Fenster => Dienste (lokal) markieren => Rechtsklick => Liste exportieren => als dienste.txt auf Deinem Desktop speichern und hier posten. Welche Dienste laufen: Start -> ausführen -> cmd (reinschreiben) -> OK Es öffnet sich ein DOS-Fenster -> sc queryex > C:\services.txt (reinschreiben) Inhalt von C:\services.txt hier posten. |
Hallo, sc queryex > C:\services.txt bringt die Meldung Zugriff verweigert Hier die Liste der Dienste und hier das aktuelle Hijack file Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo ich lasse gerade nochmal das gemr laufen. Kaspersky habe ich nochmal runter. Es hat sich beim gmer einiges getan, ich kopiere das mal hier rein bevor es wieder abschmiert. Code: GMER 1.0.15.15252 - http://www.gmer.net |
Sorry das war wohl da ein Ie Fenster offen war |
Rsit bringt ihn immer noch obwohl die datei gar nicht mehr existiert S4 Anyplace Control Security;Anyplace Control Security; C:\Windows\svcadmin.exe /service [] Der ist auch gelöscht und wird trotzdem angezeigt S3 teamviewervpn;TeamViewer VPN Adapter; C:\Windows\system32\DRIVERS\teamviewervpn.sys [] genau wie der Kandidat S3 VERYSPLIT;VerySoft WebCamSplitter, WDM Streaming Driver; C:\Windows\system32\DRIVERS\verysplit.sys Bin da jetzt ziemlich ratlos wo das herkommt, und noch ratloser wie ich es wegbekomme. |
Hallo, Also ich habe mal die reg durchsucht und da sind noch zig einträge von den remote programmen. Wie bekomme ich denn den Mist da wieder raus, ist ja nicht zu glauben was da noch alles drinnen ist. sonnige Inselgrüsse rupert |
Das wird etwas schwieriger wenn wir das alles rauspulen wollen. Wenn du die cmd Fenster öffnest dann muss du das als Admin machen. Also cmd reinschreiben, dann Strg + Alt + Shift drücken und dann Enter drücken. So wird cmd als Admin gestartet. Dann sollte er die Meldungen "Zugriff verweigert" nicht mehr bringen. Ist aber auch egal, wir killen den einfach: cmd als Admin öffnen und eintippen: sc stop Anyplace Control Security sc delete Anyplace Control Security jeweils mit enter bestätigen. HJT zeigt ihn auch nicht mehr an. Ich hätte den sonst auch im AVZ log gesehen. Ich will ganz ehrlich sein: Ich glaube bei dir stimmt was nicht. Gmer zeigt Einträge die mir nicht gefallen und das er abschmiert ist auch kein gutes Zeichen. Allerdings kann das alles auch an irgendwelchen komischen Resten der Remote Tools liegen. Oder halt an einem Schädling der sich verdammt tief eingegraben hat. Wenn du dir Abreit ersparen willst und eh mal ausmisten möchtest dann würde ich vorschlagen, dass du neuaufsetzt und so mal alles wieder frisch machst. Wenn ich noch weiter suchen soll dann poste bitte zwei frische AVZ logs und einen Rootrepeal log. Erstellung eines RootRepeal Reports
|
Hallo, ja mit dem Gedanken des neu aufsetzen spiele ich ja auch schon, wollte eh auf windows 7 64 bit umsteigen, nur die cd ist noch nicht da, dauert immer ein paar Tage länger bis die Post hier ankommt. Nachdem es dann eh schon mehr als egal ist werde ich mal ein paar reg cleaner laufen lassen die etwas tiefer gehen als ccleaner, vielleicht bringt das zumindest soweit abhilfe das Gmer durläuft und dann vielleicht etwas genaueres zu sehen ist. Ich sag schon mal danke und wenn sich was tut nach der Reinigung mlede ich mich. sonnige Inselgrüße Rupert |
Mach das Rupert. Ist für uns beide leichter und hinterlässt auch ein besseres Gefühl. Ich poste dir noch ein paar grundsätzliche Sachen damit alles glatt läuft. Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen! Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record reparieren: Vista: Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten. Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt. Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen. Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt. Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet: - Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.) - Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte - Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups - Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich) - Eingabeaufforderung: Kommandozeile/Eingabeaufforderung Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter. Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken. XP: Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus. Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt. Gegebenfalls nun das Administratorkennwort eingeben. Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole. Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen. Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein. Einen Personal Computer neuaufsetzen: Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch: Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren. Das wird durch die Nutzung einer LiveCD verhindert. Auf Grund der bekannten Oberfläche empfehle ich VistaPE. Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe. Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest. Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD. Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google... Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! Und hier noch ein paar Sachen damit der Rechner auch sauber bleibt.. ;)
Häufig gestellte Fragen: XP | Vista http://www.trojaner-board.de/71631-p...samer-tun.html Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;) |
Hallo, ich denke ich bin doch noch nicht soweit das ich das system aufgebe, der Aufwand wäre riesig. Also ich habe über 2000 Einträge aus der reg gelöscht und es läuft alles. Weder Kaspersky noch irgend ein anderer Scanner findet irgend einen Schädling. Ich weiss das heißt nichts. Nur meine überlegung ist folgende. ich mache jetzt ein Update auf Windows 7 32bit dabei werden wohl die meisten der Systemdateien überschrieben, sollte da also etwas versteckt sein, habe ich schon mal die chance das er dabei sein Ende findet. Wenn dann alle läuft wollte ich das System per Software Hilfe auf das windows 7 64 bit portieren., dabei wird erneut fast jede Systemdatei erneuert, sollte das mistding das immer noch überleben hift es wohl nichts dann muss ich wohl in den sauren Apfel beissen und alles neu machen. Nur dadurch das das Sytem seit gestern merklich schneller läuft und heute noch schneller, bin ich einfach der Hoffnung das er durch die Massnahmen eh schon weg ist oder zumindest nicht mehr funktionstüchtig. Wenn es durch eines der Remoteprogramme verursacht wurde, dürfte er durch das löschen der dll und sys Dateien eh keine Grundlage mehr haben. Das hoffe ich zumindest so ein schädling ist ja auch nur ein programm:lach: sonnige Inselgrüsse rupert |
Das was du vorhast kling nicht so als würdest du danach ein rundes syystem erhalten. Nur mein Tip: So schlimm kann es nicht sein deine Daten zu sichern. Programme kannst du eigentlich alle wieder herunterladen. Mach das Ding gleich komplett frisch mit 64-bit. Nur mein Tip. :) |
Hallo, nun mal sehen habe soeben mein Platten formartiert und werde jetzt die Daten einspielen, das Programm ennt sich umzugshilfe ist von O&O hatte alles abgewählt bei dem ich meine darauf verzichten zu können. Du hast zwar recht das da ein Risiko bleibt, aber ein Risiko hat man im endefekt im Moment wenn man ins Netz geht. Da das Windows neu ist und ich nur die Programme und Einstellungen übernehme hoffe ich das die letzten Reste auch weg sind denn im Endefekt glaube ich das er schon davor mehr oder weniger sauber war. Beim letzten Duchlauf ging sogar das gmer ohne Bluescreen. Auf alle Fälle vielen Dank für Deine Hilfe ich werde dann berichten ob der Umzug Problemlos giing sonnige Mallorca Grüße Rupert |
Hallo, da bin ich wieder, und jetzt mit windows7 64 bit. Ich denke bzw ich hoffe ich bin alles losgeworden. In der regstry sind jedenfals erstmal die Einträge der ganzen Remote Programme weg. Funktioniern tut auch alles. Nur Rsit und gmer wollen wohl mit 64 bit nicht laufen, bringen die Fehlermeldung das sie auf system32 nicht zugreifen können. Was kann oder soll ich den benutzen um den Rechner jetzt nochmal zu überprüfen um letzte Gewissheit zu haben. sonnige Inselgrüße Rupert |
Zitat:
Das passt so. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board