TR/Kazy.mekml.1

Yanmor · 21.04.2011, 12:27

Hallo und einen schönen guten Tag.
Seit gestern hab ich mir ebenfalls (scheine ja nicht der einzige zu sein -g-) den Virus eingefangen.. Ich hing schon die Nacht über am PC und wollte den Virus versuchen zu entfernen.. Mit Avira gings nicht.. Ich war am Verzweifeln..
Ich habe schon OTL durchrennen lassen (Die 2 Logs hänge ich an).

Gruß

markusg · 21.04.2011, 12:34

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\ProgramData\UEBeSifOsb.exe (WinTrust)
:Files
C:\ProgramData\UEBeSifOsb.exe
C:\Users\Flo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery
C:\Users\Flo
C:\Users\Flo\Desktop\Windows
C:\ProgramData\~44424968
C:\ProgramData\~44424968r
C:\ProgramData\44424968

:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, öffne E: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
das archiv nach anleitung hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html

Yanmor · 21.04.2011, 13:09

Hoi,

hab die moved files als .rar im UploadChannel hochgeladen. Kann den Text nicht einfügen, da dieser zu viele Zeichen hat.. warum auch immer.

markusg · 21.04.2011, 13:10

du hast die log datei hochgeladen in den upload channel, ich möchte den ganzen ordner moved files bitte.

Yanmor · 21.04.2011, 13:57

Hoi,

ich glaub das Hochladen klappt nicht so.. Es tut sich nichts, wenn ich auf upload klicke..
(Kann's sein, dass die Datei zu groß ist? (3,3gb))

markusg · 21.04.2011, 14:31

ja, sorry.
öffne mal _OTL dort moved files.
da ist ein ordner mit dem heutigem datum.
dort drinnen ist:
C:\Users\Flo
diesen öffnen, alles markieren und dann einen rechtsklick, ausschneiden.
öffne dann computer, navigiere zu
C:\Users\Flo
öffne diesen ordner, rechtsklick, einfügen.
evtl. meldungen zum überschreiben mit ja bestätigen.

Yanmor · 21.04.2011, 14:44

So gemacht. Muss ich nun noch was machen/beachten?

markusg · 21.04.2011, 14:50

jetzt versuch den upload noch mal.
danach ist noch was zu tun, immer geduld bitte :-)

Yanmor · 21.04.2011, 15:52

Habs mal hochgeladen, hoffe das passt so, da c:\Users sich nicht hat packen lassen, hab ich den mal weggelassen, da dieser eh leer war bis auf den Ordner AppData der sich nicht hab verschieben lassen..:/

markusg · 21.04.2011, 15:54

passt
1. unhide:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Yanmor · 21.04.2011, 17:17

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6412

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

21.04.2011 18:13:01
mbam-log-2011-04-21 (18-13-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 526808
Laufzeit: 54 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Flo\null0.24354132270611828.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Flo\AppData\Local\Temp\0.6751859407108889.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Flo\AppData\Local\Temp\adobe_flash_player.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Flo\AppData\Local\Temp\jar_cache2500732890689146245.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
d:\Firefox\null0.2909845863806352.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
e:\_OTL\movedfiles\04212011_133734\C_Users\Flo\AppData\Local\Temp\0.6751859407108889.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
e:\_OTL\movedfiles\04212011_133734\C_Users\Flo\AppData\Local\Temp\adobe_flash_player.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Flo\AppData\Local\Temp\0.7074780591399447.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Das ist der einzige Log

markusg · 21.04.2011, 17:25

reicht ja auch :-)
bitte erstelle und poste ein combofix log.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

Yanmor · 21.04.2011, 17:42

Hier der ComboFix Log
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-04-20.04 - Flo 21.04.2011  18:35:39.1.2 - x64
Microsoft® Windows Vista™ Ultimate   6.0.6001.1.1252.49.1031.18.8190.6399 [GMT 2:00]
ausgeführt von:: e:\flo\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Flo\Desktop\Windows Recovery.lnk
D:\install.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-21 bis 2011-04-21  ))))))))))))))))))))))))))))))
.
.
2011-04-21 15:03 . 2011-04-21 15:03	--------	d-----w-	c:\users\Flo\AppData\Roaming\Malwarebytes
2011-04-21 15:03 . 2010-12-20 16:09	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-04-21 15:03 . 2011-04-21 15:03	--------	d-----w-	c:\programdata\Malwarebytes
2011-04-21 15:03 . 2010-12-20 16:08	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-21 14:14 . 2011-04-21 14:14	--------	d-----w-	c:\users\Flo\Tracing
2011-04-21 14:14 . 2010-01-09 17:21	--------	d-----w-	c:\users\Flo\temp
2011-04-21 14:13 . 2011-04-21 14:14	--------	d-----w-	c:\users\Flo\Surf & E-Mail-Stick
2011-04-21 14:13 . 2011-04-21 14:13	--------	d-----w-	c:\users\Flo\PTR Installer 4.0.0.12824 deDE
2011-04-21 14:05 . 2011-04-21 14:05	--------	d-----w-	c:\users\Flo\AVM_Driver
2011-04-21 13:40 . 2011-04-21 13:40	--------	d-----w-	c:\users\Flo\AppData\Roaming\X-Chat 2
2011-04-21 13:40 . 2011-04-21 13:40	--------	d-----w-	c:\users\Flo\AppData\Roaming\vlc
2011-04-21 13:40 . 2011-04-21 13:40	--------	d-----w-	c:\users\Flo\AppData\Roaming\Ventrilo
2011-04-21 13:40 . 2011-04-21 13:40	--------	d-----w-	c:\users\Flo\AppData\Roaming\TeamViewer
2011-04-21 13:40 . 2011-04-21 13:40	--------	d-----w-	c:\users\Flo\AppData\Roaming\teamspeak2
2011-04-21 13:40 . 2011-04-21 13:40	--------	d-----w-	c:\users\Flo\AppData\Roaming\skypePM
2011-04-21 13:39 . 2011-04-21 13:40	--------	d-----w-	c:\users\Flo\AppData\Roaming\Skype
2011-04-21 13:39 . 2011-04-21 13:39	--------	d-----w-	c:\users\Flo\AppData\Roaming\NCH Software
2011-04-21 13:39 . 2011-04-21 13:39	--------	d-----w-	c:\users\Flo\AppData\Roaming\mIRC
2011-04-21 13:39 . 2006-11-02 15:06	--------	d-----w-	c:\users\Flo\AppData\Roaming\Media Center Programs
2011-04-21 13:37 . 2011-04-21 13:37	--------	d-----w-	c:\users\Flo\AppData\Local\{D53238E8-3427-491E-A57E-097FA966AAC1}
2011-04-21 13:37 . 2011-04-21 13:37	--------	d-----w-	c:\users\Flo\AppData\Local\Xenocode
2011-04-21 13:35 . 2011-04-21 13:35	--------	d-----w-	c:\users\Flo\AppData\Local\Rawr
2011-04-21 13:35 . 2011-04-21 13:35	--------	d-----w-	c:\users\Flo\AppData\Local\Microsoft Games
2011-04-21 13:35 . 2009-03-22 21:09	--------	d-----w-	c:\users\Flo\AppData\Local\Microsoft Help
2011-04-21 13:33 . 2011-04-21 13:33	--------	d-----w-	c:\users\Flo\AppData\Local\Google
2011-04-21 13:33 . 2011-04-21 13:33	--------	d-----w-	c:\users\Flo\AppData\Local\gctmp
2011-04-21 13:33 . 2011-04-21 16:16	--------	d-----w-	c:\users\Flo\AppData\Local\CurseClient
2011-04-21 13:33 . 2011-04-21 13:33	--------	d-----w-	c:\users\Flo\AppData\Local\DDMSettings
2011-04-21 13:33 . 2011-04-21 13:33	--------	d-----w-	c:\users\Flo\AppData\Local\Blizzard Entertainment
2011-04-21 13:33 . 2011-04-21 13:33	--------	d-----w-	c:\users\Flo\AppData\Local\Apple
2011-04-21 13:28 . 2011-04-21 13:28	--------	d-----w-	c:\users\Flo\AppData\Roaming\DivX
2011-04-21 13:24 . 2011-04-21 13:33	--------	d-----w-	c:\users\Flo\AppData\Local\Adobe
2011-04-21 13:13 . 2011-04-21 13:33	--------	d-----w-	c:\users\Flo\AppData\Local\Apple Computer
2011-04-21 13:13 . 2011-04-21 13:13	--------	d-----w-	c:\users\Flo\AppData\Roaming\Apple Computer
2011-04-21 12:51 . 2011-04-21 13:42	--------	d-----w-	c:\users\Flo\AppData\Roaming\TS3Client
2011-04-21 12:00 . 2011-04-21 16:39	--------	d-----w-	c:\users\Flo\AppData\Local\Temp
2011-04-21 11:52 . 2011-04-21 11:52	--------	d-----w-	c:\users\Flo\AppData\Local\Mozilla
2011-04-21 11:52 . 2011-04-21 11:52	--------	d-----w-	c:\users\Flo\AppData\Roaming\Vodafone
2011-04-21 11:52 . 2011-04-21 13:37	--------	d-----w-	c:\users\Flo\AppData\Local\VirtualStore
2011-04-03 09:57 . 2011-04-21 16:14	--------	d-----w-	c:\program files (x86)\Common Files\Akamai
2011-04-01 19:37 . 2011-04-01 19:37	--------	d-----w-	c:\program files\DivX
2011-04-01 19:37 . 2011-04-01 19:37	--------	d-----w-	c:\program files (x86)\Common Files\DivX Shared
2011-04-01 19:35 . 2011-04-01 19:38	--------	d-----w-	c:\programdata\DivX
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-22 07:58 . 2011-02-22 07:58	86016	----a-w-	c:\windows\SysWow64\frapsvid.dll
2011-02-22 07:58 . 2011-02-22 07:58	84992	----a-w-	c:\windows\system32\frapsv64.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CurseClient"="e:\curse\CurseClient.exe" [2010-12-19 3994889]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StillImageMonitor"="C:\W" [X]
"avgnt"="d:\avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="d:\adobe reader\Reader\Reader_sl.exe" [2008-06-12 34672]
"GrooveMonitor"="d:\office 2007\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"AVMWlanClient"="c:\program files (x86)\avmwlanstick\wlangui.exe" [2008-10-27 1794048]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2009-05-26 413696]
"SunJavaUpdateSched"="d:\java\bin\jusched.exe" [2009-10-11 149280]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"Malwarebytes' Anti-Malware (reboot)"="d:\malwarebytes' anti-malware\mbam.exe" [2010-12-20 963976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-18 27648]
R2 DCService.exe;DCService.exe;c:\programdata\DatacardService\DCService.exe [2010-08-19 229376]
R2 OMSCAN;OMSCAN;Sys??Q??6 [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [x]
R3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\DRIVERS\ew_hwusbdev.sys [x]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [x]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 ZSMC0305;Look 316;c:\windows\system32\Drivers\usbVM305.sys [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;d:\avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
S2 TeamViewer5;TeamViewer 5;c:\program files (x86)\TeamViewer\Version5\TeamViewer_Service.exe [2009-11-27 185640]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files (x86)\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-07-04 14336]
S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="%ProgramFiles%\Windows Defender\MSASCui.exe -hide" [X]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 16137760]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 82464]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2009-11-05 2345848]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = %SystemRoot%\system32\blank.htm
uInternet Settings,ProxyOverride = fritz.box
IE: Nach Microsoft E&xel exportieren - d:\office~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Flo\AppData\Roaming\Mozilla\Firefox\Profiles\7g0adh6p.default\
FF - prefs.js: browser.search.selectedEngine - World of Warcraft-Arsenal
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} - d:\firefox\extensions\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - d:\firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\wpa
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Manaflask Stream Status: {3b488ab2-a258-463e-8918-abe24dcabcb0} - %profile%\extensions\{3b488ab2-a258-463e-8918-abe24dcabcb0}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-WMPNSCFG - c:\program files (x86)\Windows Media Player\WMPNSCFG.exe
Wow6432Node-HKCU-Run-UEBeSifOsb - c:\programdata\UEBeSifOsb.exe
Wow6432Node-HKLM-Run-MobileConnect - %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Akamai]
"ServiceDll"="C:/Program Files (x86)/Common Files/Akamai/netsession_win_a35e6b9.dll"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Akamai]
"ServiceDll"="C:/Program Files (x86)/Common Files/Akamai/netsession_win_a35e6b9.dll"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10b.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10b.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
@Denied: (A 2) (Everyone)
@="IFlashBroker2"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2011-04-21  18:41:23
ComboFix-quarantined-files.txt  2011-04-21 16:41
.
Vor Suchlauf: 7 Verzeichnis(se), 11.690.971.136 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 11.545.636.864 Bytes frei
.
- - End Of File - - 4A63B4E74C0011917B3E29C3D5ECA2D2

--- --- ---

markusg · 21.04.2011, 18:04

lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Yanmor · 21.04.2011, 19:01

Hier die Liste (hoffe die passt so)

Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 24.03.2009 10.0.22.87 notwendig
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 07.05.2009 10.0.22.87 notwendig
Adobe Reader 9 - Deutsch Adobe Systems Incorporated 21.03.2009 232MB 9.0.0 notwendig
Akamai NetSession Interface 02.04.2011 13,6MB unbekannt
Apple Mobile Device Support Apple Inc. 08.04.2009 38,4MB 2.4.1.7 notwendig
Apple Software Update Apple Inc. 08.04.2009 2,16MB 2.1.1.116 Notwendig
Avira AntiVir Personal - Free Antivirus Avira GmbH 21.03.2009 61,4MB notwendig
AVM FRITZ!WLAN AVM Berlin 29.03.2009 unnötig
Bonjour Apple Inc. 08.04.2009 0,60MB 1.0.106 notwendig
Call of Duty(R) 2 Activision 24.09.2010 1.00.0000 notwendig
Camera Plus 31.05.2009 26,6MB unnötig
CCleaner Piriform 20.04.2011 6,97MB 3.05 notwendig
Client 25.01.2011 2,18MB unbekannt
Color Cop v5.3 Datastic.com 08.06.2009 0,23MB unnötig
Curse Client 22.10.2009 2,44MB notwendig
Debut Video Capture Software NCH Software 13.03.2011 3,73MB unnötig
DivX-Setup DivX, LLC 31.03.2011 3,03MB 2.4.1.4 unnötig
EVEREST Ultimate Edition v4.00 Lavalys, Inc. 21.03.2009 13,0MB 4.00 notwendig
Fraps (remove only) 20.03.2011 unnötig
Free Audio CD Burner version 1.2 DVDVideoSoft Limited. 15.12.2009 2,58MB unnötig
Free YouTube to MP3 Converter version 3.2 DVDVideoSoft Limited. 15.12.2009 2,73MB unnötig
iTunes Apple Inc. 08.04.2009 109,4MB 8.1.1.10 notwendig
Java(TM) 6 Update 17 Sun Microsystems, Inc. 21.03.2009 94,5MB 6.0.170 notwendig
Malwarebytes' Anti-Malware Malwarebytes Corporation 20.04.2011 4,82MB notwendig
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 15.08.2009 32,4MB notwendig
Microsoft IntelliType Pro 7.1 Microsoft 05.12.2010 32,9MB 7.10.344.0 notwendig
Microsoft Office Enterprise 2007 Microsoft Corporation 19.10.2009 615MB 12.0.6425.1000 notwendig
Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148 Microsoft Corporation 12.11.2009 0,21MB 9.0.30729.4148 notwendig
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 02.08.2009 0,19MB 9.0.30729.4148 notwendig
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 Microsoft Corporation 11.11.2009 0,76MB 9.0.30729 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 26.09.2009 1,41MB 9.0.21022 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 21.03.2009 0,58MB 9.0.30729 notwendig
mIRC mIRC Co. Ltd. 26.01.2011 3,75MB 7.15 unnötig
Mobile Partner Huawei Technologies Co.,Ltd 23.02.2011 39,0MB 11.302.09.04.528 unnötig
Mozilla Firefox (3.0.15) Mozilla 27.10.2009 25,0MB 3.0.15 (de) notwendig
Mozilla Firefox (3.5.18) Mozilla 23.03.2011 27,8MB 3.5.18 (de) notwendig
NVIDIA Drivers NVIDIA Corporation 21.03.2008 3.128MB 1.3 notwendig
NVIDIA PhysX NVIDIA Corporation 21.03.2008 119,9MB 9.09.0203 notwendig
QuickTime Apple Inc. 15.08.2009 74,6MB 7.62.14.0 unnötig
Skype™ 4.2 Skype Technologies S.A. 31.03.2010 31,1MB 4.2.155 unnötig
Surf & E-Mail-Stick Huawei Technologies Co.,Ltd 28.09.2010 43,2MB 11.301.08.00.35 unnötig
TeamSpeak 2 RC2 Dominating Bytes Design 20.12.2009 2.0.32.60 unnötig
TeamSpeak 3 Client TeamSpeak Systems GmbH 08.01.2010 30,9MB notwendig
TeamViewer 5 TeamViewer GmbH 02.12.2009 16,7MB 5.0.7418 unnötig
Uninstall 1.0.0.1 15.12.2009 20,5MB unbekannt
Ventrilo Client Flagship Industries, Inc. 22.07.2010 4,43MB 3.0.5 notwendig
Vodafone Mobile Connect Lite Vodafone 26.10.2009 23,7MB 9.3.3.10523 unnötig
Windows Live Anmelde-Assistent Microsoft Corporation 25.08.2009 1,93MB 5.000.818.5 notwendig
Windows Live Essentials Microsoft Corporation 20.02.2011 44,0MB 14.0.8117.0416 notwendig
Windows Live OneCare safety scanner Microsoft Corporation 07.12.2009 38,4MB notwendig
Windows Live-Uploadtool Microsoft Corporation 21.03.2009 0,22MB 14.0.8014.1029 notwendig
WinRAR 21.03.2009 3,66MB notwendig
World of Warcraft Blizzard Entertainment 16.04.2011 33.710MB 4.1.0.13875 notwendig
World of Warcraft Public Test Blizzard Entertainment 12.03.2011 21.659MB 0.0.0.0 notwendig
XChat 2 (remove only) 26.01.2011 1,59MB unnötig

21.04.2011, 14:31	#6
markusg /// Malware-holic	TR/Kazy.mekml.1 ja, sorry. öffne mal _OTL dort moved files. da ist ein ordner mit dem heutigem datum. dort drinnen ist: C:\Users\Flo diesen öffnen, alles markieren und dann einen rechtsklick, ausschneiden. öffne dann computer, navigiere zu C:\Users\Flo öffne diesen ordner, rechtsklick, einfügen. evtl. meldungen zum überschreiben mit ja bestätigen. __________________ --> TR/Kazy.mekml.1

21.04.2011, 14:50	#8
markusg /// Malware-holic	TR/Kazy.mekml.1 jetzt versuch den upload noch mal. danach ist noch was zu tun, immer geduld bitte :-) __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

TR/Kazy.mekml.1

Log-Analyse und Auswertung: TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

TR/Kazy.mekml.1

Ähnliche Themen: TR/Kazy.mekml.1

21.04.2011, 12:27	#1
Yanmor	TR/Kazy.mekml.1 Hallo und einen schönen guten Tag. Seit gestern hab ich mir ebenfalls (scheine ja nicht der einzige zu sein -g-) den Virus eingefangen.. Ich hing schon die Nacht über am PC und wollte den Virus versuchen zu entfernen.. Mit Avira gings nicht.. Ich war am Verzweifeln.. Ich habe schon OTL durchrennen lassen (Die 2 Logs hänge ich an). Gruß

21.04.2011, 13:09	#3
Yanmor	TR/Kazy.mekml.1 Hoi, hab die moved files als .rar im UploadChannel hochgeladen. Kann den Text nicht einfügen, da dieser zu viele Zeichen hat.. warum auch immer. __________________

21.04.2011, 13:57	#5
Yanmor	TR/Kazy.mekml.1 Hoi, ich glaub das Hochladen klappt nicht so.. Es tut sich nichts, wenn ich auf upload klicke.. (Kann's sein, dass die Datei zu groß ist? (3,3gb))

21.04.2011, 14:44	#7
Yanmor	TR/Kazy.mekml.1 So gemacht. Muss ich nun noch was machen/beachten?

21.04.2011, 15:52	#9
Yanmor	TR/Kazy.mekml.1 Habs mal hochgeladen, hoffe das passt so, da c:\Users sich nicht hat packen lassen, hab ich den mal weggelassen, da dieser eh leer war bis auf den Ordner AppData der sich nicht hab verschieben lassen..:/