Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hab mir auch den TR/Kazy.mekml.1 eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.04.2011, 15:19   #1
staco
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



Hallo liebes TB,

Ich habe mir genauso wie andere Vorposter hier den TR/Kazy.mekml.1 eingefangen.
Alle Dateien werden immer wieder als versteckt angezeigt (auch die Ordneroptionen setzen sich immer wieder so zurück, dass ich die Dateien nicht sehen kann).
Des weiteren kommt immer wieder die Meldung, dass die installierten IDE/SATA-Festplatten beschädigt seien, ich solle das System neu starten.
Außerdem kam die Meldung, dass das Speichern des System32/496A8300 nicht möglich ist.

Neben dem TR/Kazy.mekml.1 wurden außerdem die Trojaner:
TR/ATRAPS.Gen2
TR/Dldr.Peltpox.A
TR/Alureon.CD.17
angezeigt.

Dazu kam gerade noch eine Meldung, dass Avira den "TR/Patched.Gen" in der Datei "C:\WINDOWS\system32\drivers\vplsnap.sys" gefunden hat.
Außerdem wurde eben noch der "TR/Crypt.XPACK.Gen" in 'C:\WINDOWS\Temp\cptq\setup.exe' gefunden.

Dazu lässt sich der Taksmanager nicht mehr aufrufen, da dies vom Administrator verweigert wird.


Habe nun einen Systemscan mit OTL so wie hier beschrieben ausgeführt:
http://www.trojaner-board.de/97918-t...mekml-1-a.html


Die OTL Datei war zu groß zum Hochladen und ich habe sie deshalb in 2 Teile:
OTL1 und OTL2 getrennt.

Hab jetzt auch mal Malwarebytes drüber laufen lassen und folgendes kam raus:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
 
Datenbank Version: 5409
 
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
 
26.04.2011 18:31:35
mbam-log-2011-04-26 (18-31-35).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 309363
Laufzeit: 1 Stunde(n), 19 Minute(n), 28 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 
Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.
 
Infizierte Dateien:
c:\WINDOWS\system32\acroiehelpe.dll (Trojan.Banker) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\christopher\lokale einstellungen\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
         

Alt 26.04.2011, 19:56   #2
markusg
/// Malware-holic
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



machst du onlinebanking /einkäufe oder sonst was wichtiges mit diesem system?
__________________

__________________

Alt 26.04.2011, 21:32   #3
staco
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



Nicht haeufig.
Das letzte mal online banking ist ueber 3 wochen her.

Nachdem mein PC vorhin wieder von selbst neu gestartet hat, funktioniert er jetzt garnichtmehr richtig.
Es oeffnen sich zwar einige Messenger und das vom virus erstellte "windows recovery program", aber der desktop und die windowsleiste erscheinen garnichtmehr.
Der taskmanager laesst sich aber wieder oeffnen.
__________________

Alt 26.04.2011, 21:39   #4
markusg
/// Malware-holic
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



starte mal im abgesicherten modus
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
wir werden aber neu machen müssen, wir machen ihn so weit flott das du daten sichern kannst
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 26.04.2011, 22:09   #5
staco
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



Der abgesicherte modus laesst sich zwar starten, aber ich kann combofix nicht herunterladen, da ich keine internetverbindung bekomme.
soll ich das programm ueber cd installieren oder wie war das gemeint?


Alt 27.04.2011, 12:45   #6
markusg
/// Malware-holic
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



oder mit nem stick kopieren.
__________________
--> Hab mir auch den TR/Kazy.mekml.1 eingefangen

Alt 27.04.2011, 14:29   #7
staco
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



Also brauch ich mir keine sorgen machen, dass sich der virus ueber den stick verbreitet?
und muss ich mir sorgen machen, dass mir bankdaten etc. geklaut worden sind?

hab combofix auf dem pc, aber wenn ich es im abgesichertem modus starten will kommt die meldung:
32788R22FWJFW\iexplore.exe
auf das geraet, bzw. den pfad oder die datei kann nicht zugegriffen werden
evtl. verfuegen sie nicht ueber ausreichendeberechtigung, um auf das element zuzugreifen

wenn ichs mit ok bestaetige oder die meldung schliesse wiederholt sie sich, bis irgendwann eine meldung von windows kommt, die sagt:
die datei nircmd.cfxxe kann nicht geoeffnet werden

Geändert von staco (27.04.2011 um 15:20 Uhr)

Alt 27.04.2011, 16:32   #8
markusg
/// Malware-holic
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



kannst du im abgesicherten modus arbeiten?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 27.04.2011, 16:48   #9
staco
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



ja, ich kann halt nur nicht ins internet

Alt 27.04.2011, 16:51   #10
markusg
/// Malware-holic
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



das ist ja nicht so wild, sichere deine daten und dann machen wir uns ans neu aufsetzen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 27.04.2011, 23:26   #11
staco
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



hab meine wichtigen daten jetzt im abgesichertem modus auf nem stick gesichert

kann also weitergehen

Alt 28.04.2011, 12:40   #12
markusg
/// Malware-holic
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



nutzt du eine recovery partition, recovery cd oder windows cd?
weist du wie das mit dem formatieren abläuft oder soll ich das mit beschreiben
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.04.2011, 13:09   #13
staco
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



ich hab eine medion product recovery cd-rom
windows xp home edition sp2

ich hab meinen pc noch nie formatiert, also waere es gut, wenn du mir sagst, was ich machen muss

Alt 28.04.2011, 13:43   #14
markusg
/// Malware-holic
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



das ist kein problem. deswegen frag ich ja :-)
lege die cd ein starte den pc neu. entweder du kommst gleich auf die cd, mit drücken von beliebiger taste, oder du musst das bootmenü aufrufen, direkt bei pc start mit f9 f11 f12 oder anderer f-taste, dort mit den pfeiltasten das cd/dvd laufwerk wählen.
folge dann den anweisungen auf dem bildschirm.
zuerst formatieren, dann windows neu instalieren.
falls daten verschoben werden sollen nach windows.old ist das formatieren schief gelaufen.

falls du treiber cds hast, nutze diese danach, falls nicht sollte internet etc funktionieren.
http://www.trojaner-board.de/96344-a...-rechners.html
hier bitte den abschnitt xp aufsuchen, und diesen von punkt 1 bis zum schluss, der rehihe nach, durcharbeiten!!
anmerkungen:
als browser würde ich opera nutzen, dieser ist mit am schnellsten und sichersten.
avira konfigurations anleitung:
avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.

um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.


anstelle des browser symbols klickst du in zukunft immer auf sandboxed web browser.
bei fragen, problemen, melde dich! dies ist ein gesammt konzept und sollte daher komplett umgesetzt werden, auch bei erfolg melden
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.04.2011, 15:40   #15
staco
 
Hab mir auch den TR/Kazy.mekml.1 eingefangen - Standard

Hab mir auch den TR/Kazy.mekml.1 eingefangen



da steht jetzt etwas von partitionen, auf denen ich xp installieren und die ich loeschen kann

partition loeschen = formatieren?
und muss ich dann nur laufwerk C loeschen?

Antwort

Themen zu Hab mir auch den TR/Kazy.mekml.1 eingefangen
acroiehelpe.dll, administrator, andere, angezeigt, aufrufe, aufrufen, ausgeführt, avira, beschädigt, c:\windows, dateien, disabletaskmgr, eingefangen, gen, hijack.zones, installierte, kommt immer wieder, meldung, neu, nicht mehr, nicht möglich, platte, platten, setzen, speicher, speichern, starte, system, system neu, tr/crypt.xpack.ge, trojan.renos, trojaner, verweigert, windows, xmldm



Ähnliche Themen: Hab mir auch den TR/Kazy.mekml.1 eingefangen


  1. TR/Kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 23.05.2011 (35)
  2. TR/kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 19.05.2011 (18)
  3. TR/Kazy.mekml.1 hat mich auch erwischt!
    Log-Analyse und Auswertung - 15.05.2011 (41)
  4. kazy.mekml.1 auch bei mir :(
    Plagegeister aller Art und deren Bekämpfung - 12.05.2011 (69)
  5. tr/kazy.mekml.1 leider auch bei mir
    Log-Analyse und Auswertung - 07.05.2011 (16)
  6. TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2011 (1)
  7. TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (9)
  8. Auch bei mir TR/Kazy.mekml.1
    Log-Analyse und Auswertung - 02.05.2011 (34)
  9. Trojaner TR/Kazy.mekml.1 und auch bei mir...
    Log-Analyse und Auswertung - 01.05.2011 (9)
  10. Kazy.mekml.1 eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (15)
  11. TR/Kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 30.04.2011 (18)
  12. TR/Kazy.mekml.1 eingefangen! Und nun...?
    Log-Analyse und Auswertung - 29.04.2011 (6)
  13. kazy.mekml.1 auch bei mir , ich bin auch dabei
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (13)
  14. Kazy.mekml.1 mich hat er auch
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (14)
  15. Hab auch den TR/Kazy.mekml.1 eingeholt
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (11)
  16. TR/Kazy.mekml.1 jetzt auch bei mir!
    Plagegeister aller Art und deren Bekämpfung - 25.04.2011 (1)
  17. KaZy.Mekml.1 , auch ich ...
    Plagegeister aller Art und deren Bekämpfung - 23.04.2011 (9)

Zum Thema Hab mir auch den TR/Kazy.mekml.1 eingefangen - Hallo liebes TB, Ich habe mir genauso wie andere Vorposter hier den TR/Kazy.mekml.1 eingefangen. Alle Dateien werden immer wieder als versteckt angezeigt (auch die Ordneroptionen setzen sich immer wieder so - Hab mir auch den TR/Kazy.mekml.1 eingefangen...
Archiv
Du betrachtest: Hab mir auch den TR/Kazy.mekml.1 eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.