ControlSet002 ?
 

Hallo,
Ich habe das letztens schonmal gehabt, dass ich bein Suchlauf mit Avira Antivir diese komischen ControlSet002s gefunden hab und ich weiß nicht was das ist.
manchmal finde ich die, manchmal aber auch nicht.
Ich habe hier im Forum gelesen, dass die von irgendeinem Trojaner oder so kommen.

Hier mal das Log von AntiVir:

Hoffe ihr könnt mit helfen.

Edit : Hier auch noch die RSIT Logfiles:

[CODE]info.txtRSIT Logfile:

--- --- ---

Wo sind die Logs von Malwarebytes?

Sieht sauber aus...

Malwarebytes hat nichts gefunden? Oder ist das nur das eine Log ohne Funde?

Bei den nichtsichtbaren Schlüsseln sollte man mal die Berechtigungen prüfen.

Marc

Ne hat wirklich nichts gefunden. (Warum sollte ich das mit absicht ohne posten?)
Wie die Berechtigung prüfen?

Das war mehr ein Hinweis an cosinus als an Dich. Falls er das für sinnvoll hält wird er es mit Dir durchgehen.

Marc

Achso okey

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Und was ist mit diesen ControlSet002 Dingern?

Ich hab mir mal in der Registry die Berechtigungen angeguckt und bei HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network
sind folgende Berechtigungen eingestellt :

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, hier is das CF Log:
Aber jetzt geht mein Avira Antivir nicht mehr :(
Also im Control Center von Avira steht, dass der Guard aktiviert ist, aber in der Startleiste nicht.
Ich starte denn jetzt erstmal PC neu, um zu gucken, ob das denn wieder geht.

Edit :
Ok, jetzt gehts wieder alles :)

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hmm.. komisch : Wenn ich jetzt unter C: gehe, dann werden Ordner wie $INPLACE.~TR eingeblendet (auch wenn ich versteckte Ordner ausblenden lasse), obwohl diese eigentlich versteckt sein sollten.

Es gibt das Attibut versteckt und eins für geschützte Systemdateien. In den Ordneroptionen lassen sich auch letztere anzeigen oder ausblenden. Aber das ist jetzt ein Nebenkreigsschauplatz. Ich brauch das Log vom mbrcheck.

Das ist das zweite ;)

Oh, meinte natürlich das von OSAM :D

Aber dafür habe ich doch GMER :D

Dann hast du meinen Text nicht ganz verstanden. Ich will Logs von GMER und OSAM sehen.
Wenn GMER nicht will, lässt du das halt weg und postest nur das Log von OSAM.
Wenn GMER funktionierte trotzdem OSAM ausführen :rolleyes:

Oh achso :D

Ääähm.. wie soll ich die entpacken? Da wir nur so eine Datei mit einem weißen Symbol runtergeladen. :(

Nimm 7-ZIP oder WinRAR...

Hofe ich hab das richtig gemacht :D

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Ist SuperAntiSpyware kostenlos? Weil das steht sowas mit 19,99€

Es gibt eine Free und eine Pro-Version. Halte dich einfach an unseren Anleitungen.

Ist ein Fehlalarm. Kommt das Log von malwarebytes noch?

Ok, mach ich auch noch kurz

Keine Funde - noch Probleme oder andere Funde in der Zwischenzeit?

Du solltest MBAM doch vorher aktualisieren!

Oh ja stimmt ;)

Ne andere Funde hatte ich sinst nicht. :)
Glaube ist jetzt wieder sauber.

Boa nicht schon wieder! Jetzt sogar 31 versteckte Objekte:

Sieht ok aus, da wurden nur Cookies gefunden. Die angeblich versteckten Objekte in der Registry kannst du vernachlässigen.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Ne, sonst läuft alles ganz gut.
Wieso wurden denn da bei den versteckten Objekten auch Sachen vom Windows Update und vom Windows Media Player angezeigt?

Häää? Jetzt mache ich wieder einen Scan mit AntiVir und habe jetzt 93 versteckte Objekte gefunden.
Den Bericht poste ich nachher.

Edit:
Hab´s jetzt abgebrochen, weil ich es nicht mehr aushalten konnte...

Komsich : Jetzt wurden keine versteckten Objekte mehr gefunden.

Hier nochmal Malwarebytes :

AntiVir ist da ein wenig eigen... :balla:
Sonst soweit alles paletti mit deinem PC?

Ja, schon, aber was ist das mit den versteckten Objekten denn jetzt?

Achja, ich lese in letzter Zeit sehr viel in diesem Forum und wenn manche Leute so zip-Ordner mit Logs mitanheften, habe ich immer Angst die zu öffnen.
Sind die wirklich sicher?

Nach einem erneuten Scan mit Avira habe ich nur noch 9 vertsckte Obj. gefunden.

Ich poste in diesem Thread jetzt nur noch das Teil mit den verstekten Obj. (um Platz zu sparen ;))

Das sind systemrelevante Einträge. Die sind harmlos.

Ok, das ist schonmal gut(auch die 93 Objekte?), aber warum finde ich die erst seit kurzem?
Kann das vielleicht sein, dass ich die nur finde, weil ich seit meinem letzten Virus mein Anti-Virenprogramm auf "agressiv" gestellt habe?

Und was ist nun mit dem Zip-Archiven?

Ich weiß nicht was für 93 Objekte und ZIP Archive du meinst :balla:

1. Die 93 versteckten Objekte aus dem anderen AntiVir Log, ob die auch harmlos sind.

2. Ich meine, die Zip-Archive, die manche Leute an ihr Posts heften (zB mit Logs drin) und ich weiß nicht, ob ich die öffnen soll, weil die ja immerhin von einem infizierten PC kommen.

Ach, die! :D
Wie ich das gesehen habe sind das systemrelevante Einträge. Warum AntiVir die anzeigt kann ich nur vermuten, vllt ist es ein Bug von AntiVir.

Textdateien sind keine Überträger von Schädlingen.
Warum willst du die überhaupt öffnen?

1. Ok, das ist ja gut :)

2.Ähm.. nur so :D

Dann sind wir jetzt durch oder hast noch was?

Ne, soweit ist alles ok, dennoch sorge ich mich trotzdem um die versteckten Obj. weil sind ja immerhin 93 und wenn da mal andere dazu kommen und dann sind´s mal wieder gar keine dann wieder 10 oder so. :( Und wenn dann irgendwann mal was schlimmes dabei ist, dann merke ich es nicht. Kann man das nicht irgendwie so einstellen, dass Avira diese 93 Einträge ignoriert?

Frag doch einfach mal im Aviraforum nach, warum AntiVir überhaupt angeblich versteckte Objekte anzeigt. Dass diese überhaupt angezeigt werden ist glaub ich erst seit Version 10 so. Ich vermute hier entweder einen Bug oder vom Standard abweichende Berechtigungen dieser Registryobjekte.

Ok, werde mich denn da mal informieren.
Ich glaub wir sind in diesem Thema dann fertig :) :applaus:

Vielen Dank für Deine Hilfe! :)
:dankeschoen:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Wie? Ich hatte doch gar keine Infektion. Oder doch?

Windows Update mach ich gerade und Adobe habe ich aktualisiert.

Welches jetzt? da sind 4 zu Auswahl aber keins heißt "Java SE Runtime Environment (JRE)" oder ähnlich.
Also jetzt das erste, zweite, dritte oder vierte?

Ich poste doch nur einen Standardtext oder meinst du ich erfinde hier jedesmal das Rad neu? :D


Java SE Downloads - Sun Developer Network (SDN)

Dort auf den Button klicken http://saved.im/mty0njeznm1k/downloadjre.png

Ok, Java ist auch aktuell.