Hallo Avira hat gemeldet, dass auf meinem RechnerTR/Kazey.melkml.1 gefunden wurden.

Folgende Probleme sind aufgetreten:
- Eigene Dateien sind verschwunden
- Hintergrundfarbe ist jetzt Schwarz
- Avira hat im Ordner unter E/Dokumente und Einstellungen die Datei 18407220.exe gefunden
- Bierwerbung für Becks und eine Rede von Obama wird eingeblendet
- Ein kritischer Fehler der Festplatte wird gemeldet
- Das System hat ein Problem mit einem oder mehreren installierten DIE/SATA - Festplatten erkannt. Es wird empfohlen das System neu zu starten. Rechner fährt nach ca. 20 Minuten von alleine herunter.

OTL Scan ist beigefügt - Kann hier jemand helfen.

Hallo ich schreibe eine Antwort an mich selbst, da ich mit der Lösung des Problems einen Schritt weiter gekommen bin. Über den Scan von Avira habe ich das Verzeichnis feststellen können, in dem sich der Virus eingenistet hat. Über Linux/Ubuntu habe ich die beiden .exe Dateien löschen können. Anschließend habe ich mit OTL einen scan durchgeführt. Die beiden Files sind jetzt wieder beigefügt. Meine versteckten Dateien habe ich über die Ordnerverwaltung wieder sichtbar gemacht und auch den schwarzen Windows Hintergrund habe ich wieder auf Standard XP eintellen können.

Nach einem neuen Start des Rechners ohne Verbindung zum Internet, hat sich offensichtlich nichts verändert.

Meine Frage: Sind jetzt alle Probleme behoben. Ich habe in anderen Foren gelesen das evtl. noch Registereinträge betroffen sind. Ich würde mich über Infos und Hilfe sehr freuen. Viele Grüße und Vorab Danke.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,

schon mal im voraus Vielen Dank für deinen support. Ich habe die aktuellen Logdateien von Malewarbytes beigefügt. Ich habe zuerst einen kurzen scan gemacht und dann den kompletten.

Gruß

Ich habe noch den OTL scan beigefügt.

Gruß

Zitat:

"ProxyOverride" = *.da.doehler.com;193.100.175.*;portal.doehler.com;*.local

"ProxyServer" = 192.168.176.3:80

Soll das so sein?

Hallo Arne,

ich denke das kommt daher, dass der Rechner einmal in ein Netzwerk eingebunden war. Das ist aber nicht mehr der Fall. Ich hoffe das Entfernen hat keinen Einfluss auf die Anbindung eines lokalen Wlans.

Was mir gestern noch nach dem Scanen und Entfernen der infizierten Objekte aufgefallen ist: Nach dem Öffnen des Internetexplorers sind im Verlauf Seiten aufgeführt, die bisher noch nicht besucht wurden.

Gruß

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKU\S-1-5-21-1935655697-1202660629-1060284298-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1935655697-1202660629-1060284298-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.da.doehler.com;193.100.175.*;portal.doehler.com;*.local
IE - HKU\S-1-5-21-1935655697-1202660629-1060284298-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.176.3:80
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{3dc8bb23-2a55-11de-a2ef-fe35d5a0ab7d}\Shell - "" = AutoRun
O33 - MountPoints2\{3dc8bb23-2a55-11de-a2ef-fe35d5a0ab7d}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3dc8bb23-2a55-11de-a2ef-fe35d5a0ab7d}\Shell\AutoRun\command - "" = F:\NokiaPCIA_Autorun.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

habe alles so wie beschrieben durchgeführt und die log-Datei beigefügt. Was mich noch etwas wundert sind die Dateien, die im Verlauf des Internetbrowsers auftauchen, aber die ich nicht besucht hatte.

Ist da vielleicht noch etwas faul.

Gruß und einen schönen 1ten Mai

Hallo Arne,

ich habe den Fix so ausgeführt und die LOG-Datei beigefügt. Wenn ich den Internetexplorer öffne sind im Verlauf wieder Seiten zu finden, die ich nicht besucht habe. Ist hier vielleicht noch etwas faul.

Vielen Dank, Gruß und einen schönen 1ten Mai

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne,
ich habe wie von dir empfohlen, dass Kaspersky tool ausgeführt. Anbei der Report TDSSKiller.2.5.0.0_05.05.2011_20.00.28_log.txt.

Habe auch Malewarbyte noch einmal gestartet und den von dir empfohlenen OTL-Fix auch noch einmal wiederholt.

Anbei die mbam-log-2011-05-05 (19-59-00).txt und der OTL.txt.

Meinst du ich bin die Plagegeister jetzt los.

Vielen Dank und noch einen schönen Abend

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

ich habe das Programm gemäß der Empfehlung gestartet. Im Anhang die ComboFix.txt Datei.

Gruß SchumM

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

Folder::
e:\dokumente und einstellungen\M xxx\Anwendungsdaten\Atlxml
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

das Combifix Scripten ist durchgeführt und die Log-Datei im Anhang.

Vielen Dank und Gruß