|
TR/kazy.mekml.1 wird gemeldet Hallo zusammen, der PC meiner Schwester ist mit einem Virus befallen. Avira meldet den "TR/kazy.mekml.1". Zusätzlich kommt immer wieder die Fehlermeldung "Fehler der Festplatte - RAM-Speicher Nutzung kritisch hoch". Alle Dateien sind nur noch als versteckte Dateien vorhanden. Habe die Logfiles als ZIP-Datei angehängt. Wie bekommen ich den PC wieder sauber? Grüße HITEMHART P.S. Umsetzung der Vorschläge kann immer ein wenig dauern, da ich nicht die ganze Zeit am PC bin. |
hi, 1. werde ich dir helfen den pc so weit flott zu machen, dass die daten gesichert werden können, der infekt auf diesem pc ist so schwerwiegend, dass man ihn nicht mehr 100 %ig sauber bekommt. hier sind spyeye trojaner banker etc drauf. 2. macht deine schwester onlinebanking /einkäufe? 3. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
hallo, danke für die schnelle antwort und hilfe... 1. hört sich nicht gut an... 2. nein kein online-banking - sie hatte vor einem jahr schon einmal malware auf dem rechner und probleme beim online-banking, eventuel sind das die überreste? 3. habe combofix durchgeführt. das erste log-file ist bevor ich die wiederherstellungskonsole manuell installieren konnte... das zweite ist dann von nach der installation... |
hi, öffne arbeitsplatz öffne h: rechtsklick qoobox mit winrar oder zip packen und hochladen: http://www.trojaner-board.de/54791-a...ner-board.html falls avira probleme macht, rechtsklick auf den schirm, deaktivieren. der pc muss neu aufgesetzt werden, mehr details nach dem upload. |
Datei wie beschrieben hochgeladen... |
also, hier ist nen rootkit, und trojan.spyeye drauf und noch rogue. schon das rootkit allein würde mich zu der aussage bringen, das dieses system neu aufgesetzt gehört. - sichere alle daten, nichts aus illegalen quellen! - formatierung, nicht die schnelle formatierung, windows neu aufsetzen. - wenn du willst, können wir das system absichern, man kann noch einiges mehr tun als nur ein av zu instalieren! |
Daten sind, nachdem ich sie mit UNHIDE wieder sichtbar gemacht habe so weit gesichert. Die Partitionen D / E und F zu formatieren war kein Problem. Aber wie formatiere ich am besten die Partition C? |
Nachtrag: Das Formatieren der Partitionen D/E und F wurde doch zum Problem, da als Fehlermeldung immer kam, dass ein anderes Programm die Festplatte nutzt und deshalb kein Formatieren möglich sein... Also Daten gesichert - beim Formatieren gescheitert.... |
nutzt du eine windows cd recovery cd oder recovery laufwerk? |
Ich habe versucht die Partitionen D/E/F über Arbeitsplatz zu formatieren. Dann kam immer die Fehlermeldung. C hätte ich dann bei der Neuinstallation von Windows (mit Windows-CD) formatiert. Die Frage für mich ist, ob nicht alle Partitionen gelöscht sein sollten, damit das Rootkit, die Trojaner und die Viren sich nicht irgendwo verstecken können. Auf deine Frage "windows cd recovery cd oder recovery laufwerk" lautet die Antwort wohl nein, da ich ein windows-cd zum installieren habe... |
na du kannst doch über die windows cd neu partitionieren auch die partitionen löschen :-) hast du schon mal mit der windows cd neu instaliert ja oder nein? |
Habe schon über die Windows XP CD neu installiert. Aber noch nie partitioniert. Dies habe ich immer nachträglich mit Partition Magic oder ähnlichem gemacht... Wenn du sagst, dass ich mit der XP-CD auch partitionieren kann, dann werde ich das heute abend ausprobieren... |
du weist doch sicher, dass es einen schritt gibt, wo du die windows partition auswählen kannst. da steht dann c: d: etc dort kannst du formatieren und auch löschen. und neue erstellen. |
Ok habe alles geschafft. Partitionen gelöscht und Windows XP Home Edition neu installiert. Ich würde heute abend dann die Windows Updates machen, den Virenscanner installieren und dann die Festplatte partitionieren. Anschließend die Daten zurückkopieren und die restlichen Programme installieren... Meine Fragen dazu: 1. Windows Update - übers Internet oder den Servicepack 3 auf anderen Rechner runterladen und istallieren? 2. Virenscanner - Bis jetzt Avira und Spybot, ausreichend oder gibt es bessere Lösungen? 3. Festplatte - Partition Magic nutzen oder gibt es Alternative? 4. Daten - Kann beim zurückkopieren sich der Virus wieder neu ausbreiten? Bis zum jetzigen Zeitpunkt schon mal vielen Dank für die kompetente Hilfe... |
hi, spybot ist nicht nötig. erst wird der pc abgesichert, dann werden die daten gescant, dann zurück kopiert :-) http://www.trojaner-board.de/96344-a...-rechners.html hier alle!! tipps für xp / abarbeiten. zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten. anmerkungen meiner seits: unter windows update so konfigurieren das updates automatisch geladen und instaliert werden. avira genauestens nach anleitung instalieren: http://www.trojaner-board.de/54192-a...tellungen.html achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig. unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren. als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken. eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus. kenne keine malware, die das im moment kann. dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden. hier greifen nämlich mehrere maßnamen. - updates von windows. durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann. - updates mit secunia und file hippo. diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken. die updates sollten immer sofort instaliert werden. hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen. natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken. deswegen: eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen. hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen. uac: die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken. dep und sehop tun dies ebenfalls. - sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin. - avira: auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen. es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher. es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist. das backup: dieses kannst du nutzen, wenn: - malware auf dem system ist - es andere probleme mit dem pc gibt. mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du online banking betreibst, lese den passenden abschnitt wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. jetzt, wo du die absicherung gemacht hast, schließe die platte mit den daten an, die du gesichert hast. öffne avira, klicke update. öffne avira, lokaler schutz, lokale laufwerke. jetzt wird der gesammte pc geprüft poste das log. |
Ok werde die ganzen Punkte abarbeiten und mich dann noch mal melden. Kann aber dauern, da ich nicht so viel Zeit habe... |
ok, aber nicht mit dem pc online gehen befor er richtig abgesichert ist, wollen ja nicht ne neu infektion riskieren. |
So die erste Runde installieren geschafft... ServicePack3, IE8 und Avira sind installiert. Rechner war noch nicht online. Muss noch die anderen Sicherungsmaßnahmen machen, habe aber schon mal das avira log angehängt. |
1. hast du avira so konfiguriert wie beschrieben? 2. auch die aufrräge genauso eingestellt, prüfauftrag über lokale laufwerke, sonst werden die einstellungen nicht gültig! deswegen musst du den scan später auch noch mal über lokale laufwerke laufen lassen. |
So habe jetzt auch alle anderen absicherungsmaßnahmen durchgeführt... zu 1. ja habe ich zu 2. ja habe ich - die einstellungen sind gültig... habe noch einmal einen avira scan über alle lokalen laufwerke (c: lokale hd / f: und g: usb-festplatte mit gesicherten dateien) durchgeführt und report angehängt Kann ich jetzt online gehen? Und kann ich die Dateien auf f: und g: wieder zurückspielen? |
hast du auch Maßnahmen für ALLE Windows-Versionen abarbeiten. abgearbeitet, ich sehe kein file hippo aktiev, backup programm nicht vergessen etc. wenn du wirklich alles hast, absofort nur im eingeschrenktem konto arbeiten und dort in sandboxie surfen. deine daten kannst zurück kopieren. hoffe dein pc bleibt dann jetzt clean :d |
Maßnahmen sind fast komplett abgearbeitet. FileHippo ist installiert, aber noch nicht aktiv, da ich bis jetzt noch nicht mit Internet verbunden war. Back-up ist auch noch offen, aber einfacher mit Internet... Werde dann mal heute online gehen, die Daten zurück kopieren und die restlichen Programme installieren. Vielen Danke für die wirklich kompetente Hilfe! Grüße HITEMHART |
ok, instalieren ist immer im admin konto, ist klar denke ich, arbeiten im eingeschrenktem. kein problem, wir helfen hier gern. denke wir sehen uns so schnell nicht mehr hier mit nem neuen malware problem :d so lange du alles einhältst. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board