tr/kazy.mekml.1 leider auch bei mir
 

Hallo,

habe mir wahrscheinlich auch den tr/kazy.mekml.1 eingefangen.

Antivir spuckt diese Meldung aus, schwarzer Bildschirm, kein Zugriff auf eigene Dateien und ständige Fehlermeldungen meine Festplatte sei defekt! Leider kenn ich mich mit so etwas überhaupt nicht aus. Hab jetzt aber schon einiges hier darüber gelesen und Malwarebytes drüber laufen lassen. Im Anhang befindet sich auch der OTL log. Leider weiß ich jetzt nicht mehr weiter. Ich hoffe ihr könnt mir helfen. Vielen Dank im Vorraus.
Gruß Andi

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6417

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

22.04.2011 10:40:27
mbam-log-2011-04-22 (10-40-27).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 162061
Laufzeit: 4 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\programdata\gownktobbtfmqrq.exe (Trojan.FakeAlert) -> 3668 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GoWNKtoBbTfMqRQ (Trojan.FakeAlert) -> Value: GoWNKtoBbTfMqRQ -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> Value: WINID -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\gownktobbtfmqrq.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Andi\AppData\Local\Temp\tmp46B0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Andi\AppData\Local\Temp\tmp499D.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo, vielen Dank für die schnelle Hilfe. Habe jetzt einen Vollscan durchgeführt. Im Anhang sind die Ergebnisse dieses Scans und der vohergegangenen. Auch die versteckten Icons hab ich mit unhide wieder herstellen können. Es verhält sich im Moment alles normal. Aber der Trojaner ist wahrscheinlich noch auf dem PC oder? MfG Andi

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo, habe den OTL Fix gemacht.

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4ffe039-627e-11df-b376-0015af920e78}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d4ffe039-627e-11df-b376-0015af920e78}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4ffe039-627e-11df-b376-0015af920e78}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d4ffe039-627e-11df-b376-0015af920e78}\ not found.
File I:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ded91db9-8ae7-11dd-a065-0015af920e78}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ded91db9-8ae7-11dd-a065-0015af920e78}\ not found.
File E:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.
File E:\autorun.exe not found.
ADS C:\Users\Andi\Desktop\Willkommen bei PlayStation(R)Network.eml:OECustomProperty deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Andi
->Temp folder emptied: 3018172 bytes
->Temporary Internet Files folder emptied: 18289220 bytes
->Java cache emptied: 6856645 bytes
->FireFox cache emptied: 59922360 bytes
->Flash cache emptied: 2537 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3932409 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 88,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04242011_101142

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\JET8268.tmp not found!
C:\Windows\temp\JETA6C9.tmp moved successfully.

Registry entries deleted on Reboot...

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Sorry für die späte Antwort, war die ganze Woche arbeiten....
Habe mir dieses Tool von Kaspersky auf den Desktop geladen, als Administrator ausgeführt. Wenn ich zustimme, das Programm fortzusetzen, passiert leider nichts...

Dann bitte jetzt CF ausführen, danach probierst du den tdsskiller nochmal.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok, habe alles so ausgeführt, es hat auch alles funktioniert...die logs befinden sich im Anhang. Gruß Andi

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo, also Gmer hat nicht funktioniert. Das Log von MBRcheck befindet sich im Anhang. Grüße


OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo, habe die Scans durchgeführt, hier die Ergebnisse:
MfG Andi

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/04/2011 at 07:21 PM

Application Version : 4.51.1000

Core Rules Database Version : 6985
Trace Rules Database Version: 4797

Scan type : Complete Scan
Total Scan Time : 02:17:32

Memory items scanned : 890
Memory threats detected : 0
Registry items scanned : 11742
Registry threats detected : 0
File items scanned : 173707
File threats detected : 1

Trojan.Agent/Gen-Bancos
C:\PROGRAM FILES\SCENEO\ABSOLUTTV\BDSUPDATE.DLL


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6504

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

04.05.2011 16:37:38
mbam-log-2011-05-04 (16-37-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 326978
Laufzeit: 1 Stunde(n), 14 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\Recycle.Bin\recycle.bin.exe.vir (Trojan.FakeMS.MGen) -> Quarantined and deleted successfully.

Nur ein Fehlalarm und ein isolierter Schädling im Q-Ordner von CF, der macht da keinen Schaden.

Noch Probleme oder wieder alles ok?

Hallo, erstmal Danke für die Hilfe...
Es ist eigentlich alles ok soweit...Der Trojaner ist dann weg?
Lohnt es sich ein kostenpflichtiges Antivirenprogramm zu nutzen? Wenn ja, welches würdest du empfehlen? Ich benutzte das kostenlose Antivir...war eigentlich bis jetzt zufrieden...aber so einen ärger will ich eigentlich nicht mehr haben...
Mfg Andi