|
Und noch ein TR/kazy.mekml.1 Hallo, ich arbeite unter Windows XP-SP3. Gestern Abend: 1. AntiVir meldet Malware found: TR/Kazy.mekml.1 was found in "C:\Dokumente und Einstellungen\..\17227556.exe". Access to the file was denied. Die "Remove" Action bringt kein Ergebnis. 2. Pop-Up: Profile could not be found. 3. Pop-Up: Das System hat ein Problem mit einem oder mehreren installierten IDE/SATA Festplatten erkannt. Es wird empfohlen das System neu zu starten. 4. Pop-Up aus Menuleiste: Kritischer Fehler - Beschädigte Festplattencluster gefunden. Private Dateien sind in Gefahr. 5. Ich habe 2 Partitionen (C/D). C-Partition scheint nur betroffen: schwarzer Bildschirm, kein Profil, keine Programme im Startmenü. Jedoch lassen sich manche Programme (z.B. Firefox & Thunderbird) über "Start-Ausführen" starten. D-Partition scheinbar unbeschädigt. Ordner und Inhalte sichtbar. Habe die Nacht mit Backup verbracht ... 6. Heute nun frisch gestärkt: Load.exe gestartet und TFC.exe durchgeführt, automatischer Neustart. 7. Mit erunt-setup.exe ein regestry backup erstellt 8. OTL.exe quick scan durchgeführt. Die beiden logs sind im Anhang. Danke schonmal Gunnar |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKCU..\Run: [YvYKyGbjbi] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YvYKyGbjbi.exe (QNP) :Files C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YvYKyGbjbi.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17227556.exe :Commands [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. lade unhide: http://filepony.de/download-unhide/ doppelklicken, dateien werden sichtbar öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
Hallo, habe die Arbeitsschritte ausgeführt. Nach "unhide" sind die Dateien auch wieder sichtbar (sowohl im Explorer als auch im Startmenü). Wenn ich im Startmenü auf "Programme" gehe und nun ein Programm auswähle, dann ist der Unterordner "leer". Habt ihr einen Tipp wie ich diesen Link ins Startmenü auch wieder herstellen kann? Grüße Gunnar Hier die Log-Datei nach dem OTL-Durchlauf: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\YvYKyGbjbi deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YvYKyGbjbi.exe moved successfully. ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YvYKyGbjbi.exe not found. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17227556.exe moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User ->Flash cache emptied: 0 bytes User: Gunter ->Flash cache emptied: 729 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Gunter ->Temp folder emptied: 3990806 bytes ->Temporary Internet Files folder emptied: 175234 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 37972751 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 2133992 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 1063608 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1133224 bytes RecycleBin emptied: 25017 bytes Total Files Cleaned = 44,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05132011_210356 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\Gunter\Lokale Einstellungen\Temp\Consultants for Review of Critical Impediments to not found! File\Folder C:\WINDOWS\temp\IswTmp\Logs\ISWSHEX.swl not found! Registry entries deleted on Reboot... |
wenn du alle schritte ausgeführt hast, wo ist dann der upload um den ich gebeten hatte? der sollte im upload channel zu finden sein, ist er aber nicht :-) |
den upload hatte ich hochgeladen mit link zu diesem Posting hier, username gunnar_p. Ich mach nochmal... Ist er jetzt da? |
ich sehe ihn jetzt, sorry. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
sorry für meine ungeduld, aber wie lange läuft etwa combofix? habe es vor zwei stunden gestartet und seit der Zustimmung beim Ablehnungshinweis tut sich zumindest sichtbar gar nichts. Mein Rechner hat sich zwischenzeitich in standby verabschiedet wegen inaktivitaet. muss ich mich weiterhin gedulden oder combofix irgendwie neu starten? ausser dem blauen cmd Fenster und einem blinkenden cursor sehe ich nichts. was ich noch vergessen habe. Unhide hat zwar meine Dateien sichtbar gemacht. Nach einem Neustart bekomme ich aber immer noch die Meldung "Profile not found" und der Desktop bleibt schwarz. Danke! |
Hallo, der Zustand von ComboFix hat sich auch über Nacht nicht geändert. Also immer noch blaue Konsole mit blinkendem Cursor, sonst nichts. Kann man die Konsole "abschiessen" und nochmal neu starten? Unter C hat Combofix aber einen Ordner angelegt, der wohl ein Spiegel meines Arbeitsplatzes ist C:/D:/ usw. Es gibt aber keine Logdatei. gunnar |
ja, schließe combofix. starte dann mal im abgesicherten modus ohne netzwer, bei pc start meist mit f8 und dann führe dort combofix aus. die andern probleme hab ich nicht vergessen, zuerst kommt aber das wichtige, der desktop hintergrund ist erst mal nebensächlich, die trojaner sind das hauptproblem. |
Gut, im abgesicherten Modus hat's geklappt. Hier die Log-Datei: Code: Combofix Logfile: |
download malwarebytes: Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten. |
so hier kommt das log von malwarebytes: Code: Malwarebytes' Anti-Malware 1.50.1.1100 |
desktop sieht auch wieder gut aus. Das profil wird nach dem Neustart aber noch nicht gefunden. |
bitte endere mal den desktop hintergrund manuell, starte neu und prüfe ob er bleibt wie eingestellt |
ja desktop bleibt erhalten wenn ich ihn manuell ändere. nach dem neustart läuft nun aber im hintergrund (ohne dass irgendein programm gestartet wurde) irgendein englisches Internetradio. habe nun noch zweimal desktop geändert und neu gestartet, jetzt bleibt das radio aus! |
lade den tdss killer: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? führe ihn aus, poste das log. |
nach entpacken und start des tdsskillers passiert nichts, also keine gui oder so, man sieht im taskmanager auch keinen entsprechenden prozess. |
starte mal im abgesicherten modus ohne netzwerk bei pc start mit f8. klappts da? |
nee, abgesichert klappt's auch nicht. |
ok, downloade mbrcheck: http://ad13.geekstogo.com/MBRCheck.exe doppelklicken. im selben verzeichniss wird ein log erstellt, dessen inhalt posten. |
mbrcheck lief durch. hier das log. hier poppt jetzt gerade eine Warnung von meinem Avira auf: TR/Kryptik.ET.1 found and put into quarantine. Code: MBRCheck, version 1.2.3 |
wie lautet die komplette meldung? |
dies ist der Avira report: Code: |
rechtsklick arbeitsplatz eigenschaften systemwiederherstellung, auf allen laufwerken deaktivieren, meldung bestätigen. 5 minuten warten, wieder einschalten. wie läuft das system jetzt? |
hier der erneute Avira scan. Warum mein Avira auf englisch ist? Ich lebe im Ausland. Wenn ich mich recht erinnere, dann konnte ich damals nur eine englische und keine deutsche Version runterladen. Kann es sein dass die einen IP Check machen? Code: Avira AntiVir Personal |
hast du die systemwiederherstellung de und reaktiviert? |
ja, ich habe sie deaktiviert. Rechner runtergefahren und nach 5 Minuten neugestartet. Nach Neustart sieht alles "normal" aus, keine Meldungen. Einzige Ausnahme immer noch, dass das Profil nicht gefunden wird. Muss ich jetzt wieder in den Arbeitsplatz und die Systemwiederhestellung aktivieren? |
aja, sorry. deinstaliere mal avira, gehe auf deren homepage und hohl dir avira neu, instaliere es dann, und die meldung sollte nicht mehr auftauchen. |
allright. also die systemwiederherstellung habe ich reaktiviert und auch Avira neu installiert. Die "Profil" Meldung taucht tatsächlich nicht mehr auf. |
ok, wenn nichts mehr ist, können wir das system noch absichern. |
Gut, gerne. Noch eine Frage: im Starmenü (Start-Programme) bekomme ich zwar eine Liste mit meinen installierten Programmen angezeigt, wenn ich dann aber auf einen Ordner klicke, dann kommt <Leer>. Gibt es einen Weg diese Shortcuts wieder herzustellen? |
ja, wir haben ja jetzt die temp dateien schon geleert wo das zeug hin verschoben wird, das einzige was du machen kannst ist die verknüpfungen ans startmenü anzuhängen, über rechtsklick senden an. versuch mal. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board