Ein weiterer TR/kazy.mekml.1
 

Hallo Community,

wie anscheinend einige Andere ist mein PC vom Trojaner TR/kazy.mekml.1 (laut AntiVir) befallen worden.
Mein Desktop ist leer, auf meine Festplatte kann ich nicht zugreifen und sie hat wie mir Windows Vista 32bit mitteilt einen kritischen Fehler.
Gerade habe ich schon einen OTL-Durchlauf gemacht mit den Benutzerdefinierten Scans wie bei den anderen Betroffenen.

schonmal im vorraus vielen Dank fürs anschauen!

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo,

gestern nach dem post habe ich Malwarebites laufen lassen (aber nur Quickscan). Dort wurden glaub ich 6 Dateien identifiziert und gelöscht.
Heute morgen habe ich keine Fehlermeldung von Windows beim Start bekommen, jedoch sind meine Desktopicons und meine C:-Partition immer noch unsichtbar. Ich habe unter Systemsteuerung/Ordner "unsichtbare anzeigen" angemacht, jetzt ist zwar alles wieder zu sehen, aber hellgrau.
Jetzt habe ich wie verlangt nochmal Malwarebites mit Voll-Scan benutzt.
Beide Berichte sind angehängt.

Viele Grüße
Antoine

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

hab das gemacht, hier der report:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bat not found.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{500750ca-9ce4-11dd-9cd6-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{500750ca-9ce4-11dd-9cd6-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{500750ca-9ce4-11dd-9cd6-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{500750ca-9ce4-11dd-9cd6-806e6f6e6963}\ not found.
File move failed. E:\Install.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c67dc3f-de57-11dd-9f08-001377ac4eed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c67dc3f-de57-11dd-9f08-001377ac4eed}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c67dc3f-de57-11dd-9f08-001377ac4eed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c67dc3f-de57-11dd-9f08-001377ac4eed}\ not found.
File G:\autorun.exe not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Michael
->Temp folder emptied: 31832 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7935723 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 43476 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 8,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04182011_222639

Files\Folders moved on Reboot...
File move failed. E:\autorun.inf scheduled to be moved on reboot.
File move failed. E:\Install.exe scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

als erstes habe ich das unhide gemacht und hat super funktioniert.
das kaspersky tool lässt sich bei mir nicht öffnen, wenn ich traufklicke passiert garnichts, hab alles geschlossen....

Du sollst auch nicht einfach draufklicken, sondern per Rechtsklick als Admin ausführen

habe ich gemacht. ich habs nochmal runtergeladen, hab mein pc neugestartet, hab alle programme geschlossen, aber es war nicht zum laufen zu bringen.
wenn ichs als admin starte, arbeitet mein pc kurz aber nichts passiert (ca. 15min gewartet!)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hier der log:
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

hab alles gemacht, hier der log:

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

hier die logs:

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hat ein bisschen gedauert, nun kommen die logs:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/22/2011 at 03:55 AM

Application Version : 4.51.1000

Core Rules Database Version : 6888
Trace Rules Database Version: 4700

Scan type : Complete Scan
Total Scan Time : 03:02:13

Memory items scanned : 753
Memory threats detected : 0
Registry items scanned : 8844
Registry threats detected : 0
File items scanned : 234593
File threats detected : 16

Trojan.Agent/Gen-FakeAV
C:\PROGRAM FILES\WINRAR\DEFAULT.SFX

Adware.Tracking Cookie
ad.de.doubleclick.net [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
adserver.new-directions.de [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
atdmt.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
banner.mindshare.de [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
files.youporn.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
m.de.2mdn.net [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
macromedia.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
media.mtvnservices.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
media01.kyte.tv [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
pornotube.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
static.youporn.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
www.pornotube.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
www.porntube.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
youporn.videobox.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]
zedo.com [ D:\Alt\Dokumente und Einstellungen\ASUS\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\E2RVUQ5R ]

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

stimmt, hatte ich vergessen.
jetzt neu:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6421

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

22.04.2011 22:00:32
mbam-log-2011-04-22 (22-00-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 366588
Laufzeit: 1 Stunde(n), 31 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ok. Keine Funde, SASW hat nur Cookies gefunden.
Noch Probleme?

jetzt ist alles paletti!
Vielen Dank fürs helfen, ich werd auf jeden fall was spenden und euch mit besten Gewissen weiterempfehlen.

Viele Grüße
Antoine

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.