|
TR/Kazy.mekml.1 eingefangen Hallo Zusammen, ich habe mir alle Regeln durchgelesen und hoffe, dass ich alles richtig gemacht habe!? Ich habe mir auch den Trojaner TR/Kazy.mekml.1 mit allen auch in anderen Threads geschilderten Problemen eingefangen: -Schwere/Kritische Fehlermeldungen -RAM-Speicher hoch -Festplatten(treiber) nicht gefunden -Eigene Daeien und Desktopsymbole/-verknüpfungen versteckt -System fährt ständig runter -etc. Habe schon ein bischen die Threads dazu durchstöbert und hoffentlich ein wenig sinnvolle Vorarbeit geleistet: 1. Unhide in den Ordneroptionen, sehe also alles (Eigene Dateien, etc.) wieder aber sind alle noch leicht transparent haben noch das Attribut "versteckt"?), werden aber zwischendurch immer mal wieder versteckt 2. Habe OTL rutergeladen und einen Scan nach Anleitung aus einem anderen Thread gemacht Ich hänge sie gleich mal an, sollte ich andere Scan-Befehle nutzen müssen oder der Scan für euch nicht hilfreich sein, mach ich schnell einen neuen nach eurer Anleitung. Der Trojaner sitzt bei mir unter der Dateiadresse: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\16047924.exe Schon mal vielen Dank vorab für eure Unterstützung!!! |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKU\S-1-5-21-1644491937-1563985344-1957994488-1004..\Run: [FpoJEykxWu] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FpoJEykxWu.exe (BitSprx) :Files C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FpoJEykxWu.exe C:\Dokumente und Einstellungen\MC-CARSTYLING\Startmenü\Programme\Windows Recovery C:\Dokumente und Einstellungen\All Users C:\Dokumente und Einstellungen\MC-CARSTYLING\Desktop\Windows Recovery.lnk :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. lade unhide: http://filepony.de/download-unhide/ doppelklicken, dateien werden sichtbar öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
Hallo Markus, danke für deine schnelle Antwort. Habe deinen Fix-Code imn OTL eingetragen und gestartet. Es kamen einige Fehlermeldungen mit dem ungefähren Wortlaut: Eigene Dateien ist ein Systemordner, der nicht kopiert werden kann (..) Das ganze war auch noch mit All Users und WINDOWS. Die Systemordner halt. Konnte die Meldung nur mit OK bestätigen oder schließen...nun "hängt" OTL...habe ich was falsch gemacht oder ist es irrelevant und ich muss warten? Oder muss ich im agesicherten Modus arbeiten? |
brich das mal ab. hab hier nen fehler drinn. öffne mal c: _OTL dort ist ein ordner mit dem heutigem datum. dort könnte ein verzechniss drinnen sein C:\Dokumente und Einstellungen\All Users falls dem so ist öffne dieses, markiere alles was drinn ist und navigiere dann zu C:\Dokumente und Einstellungen\All Users öffne dieses und dann rechtsklick und einfügen. |
Da ist ein logfile und der Ordner c_dokumente und Einstellungen drin, er enthält die Ordner All Users und MC-Carstyling, was davon soll ich wohin kopieren? |
du öffnest All Users markierst alles und wählst ausschneiden. dann schließt du das und navigierst zu C:\Dokumente und Einstellungen öffne all users und rechtsklick, einfügen. |
ich nehme an, die gleichnamigen,vorhandenen dateien am Zielort müssen erstezt werden?! |
ja bitte :-) |
Habs jetzt gemacht, bekomme aber meldung, dass avguard nicht verschoben werden kann-->automtischer Abbruch. Habe die versteckten Dateien eingeblendet, bevor ich kopiert habe..muss ich die ausblenden? |
nein. ok läuft avira denn noch? war dies das einzige was probleme beim verschieben gemacht hatt? falls ja weiter hiermit bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Avira hab ich deaktiviert und noch mal getestet. Es erfolgt immernoch ein Kopierabbruch und ich hab keinen Plan welche Daten bereits kopiert wurden und welche nicht. Die einzige Fehlermeldung bekomme ich beim avguard...danach Kopierabbruch. Ich habe ja aber verschoben, was nach meiner Kenntnis bedeutet, dass die Ordner am ursprungsort verschwunden sein müssten...und das sind sie nicht. Hilft dir das combofixlog bei diesem Prob? Ich versuche jetzt mal die ordner einzeln zu verschieben... |
das einzelne verschieben hat geklappt, nur der avira ordner zickt aber das ist ja egal... ich erstelle jetzt mal ein combofix log |
so hier die logdatei von combofix. Die "Macken" sind jetzt weg und die Dateien auch alle wieder da und haben auch das "Versteckt" Attribut nicht mehr. Was kannst du anhand der logdatei sehen? |
etwas unschönes sehe ich hier! machst du onlinebanking einkäufe oder sonst was wichtiges mit diesem pc? |
Jo, das volle Programm...Spann mich nicht so auf die Folter, was siehst du? ;o) |
1. sofort! das onlinebanking sperren. notfallnummer: 116 116 du hast auf dem pc das rootkit.tdss dieses gibt dem angreifeer umfassenden zugriff auf den pc. da wir deswegen nicht für ein sauberes system garantieren können: - daten sichern. - formatieren und neu aufsetzen. - pc absichern. wenn du magst gebe ich dir tipps, wie das abläuft. - vom sauberen pc aus alle passwörter endern. |
Das hört sich nicht so gut an. Also: Onlinebanking hab ich jetzt gesichert. Werde das System auch platt machen. Sicher ist sicher. Hat das rootkit.tdss was mit dem TR/Kazy-Trojaner zu tun? Sprich hat er es nachgeladen? Kannst du sagen, wie lange das Rootkit schon auf dem Rechner sitzt und wo? Will natürlich, bevor ich das System neu mache gerne die eigenen Dateien sichern. Waren wir im Fortschrit der Bekämpfung des TR/Kazy schon soweit, dass ich die Daten sichern und problemlos auf das neue, saubere System Überspielen kann ohne eine Reinfektion mit TR/Kazy und/oder Rootkit zu riskieren? |
dieser eintrag: Infizierte Kopie von c:\windows\system32\drivers\volsnap.sys wurde gefunden und desinfiziert ist bestandteil des rootkits. wer da nun was geladen hatt, kann ich dir nicht sagen, ich gehe aber davon aus, dass das tdss rootkit zuerst auf dem pc war. wie lange kann ich dir nicht sagen, aber es kann schon länger aktiev gewesen sein. das sichern der daten ist kein problem. wir sichern das neue system ab und du kannst die daten dann prüfen befor du sie zurück kopierst. |
Prima...bin schon an der Datensicherung...werde dann mehrere Partitionen anlegen und nichts mehr unter eigene Dateien sichern...auf meinem anderen System mache ich das schon seit Ewigkeiten so. Bin mal gespannt auf die Tips der Absicherung! Melde mich dann. Vorab aber schon mal virelen Dank für schnelle und kompetente Hilfe!!!:abklatsch: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board