Trojaner-Board - TR/kazy.mekml.1 befallene Dateien gelöscht, dennoch nicht alles beim Alten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/kazy.mekml.1 befallene Dateien gelöscht, dennoch nicht alles beim Alten (https://www.trojaner-board.de/99010-tr-kazy-mekml-1-befallene-dateien-geloescht-dennoch-alles-beim-alten.html)

TR/kazy.mekml.1 befallene Dateien gelöscht, dennoch nicht alles beim Alten

Hallo Trojaner-Board Team,

ich hatte mir am Sonntag (08.05.2011) den virus beim Surfen eingefangen.
Ich hatte auch die Typischen symptome (Schwarzer Bildschirm, alle Dateien Versteckt, Festplatte kaputt, was er halt so sagt...)

System Scan mit Avira hat befallene Dateien gefunden, aber konnte diese nicht Löschen.
Linux (Ubuntu) start CD rein und über Linux die befallenen Dateien gelöscht. Danach keine Meldungen von Avira mehr, auch System scan war ohne Meldung.
Attribut "Versteckt" bei allen Dateien wiederhergestellt. Task-Manager manuell wieder aktiviert. System läuft seitdem stabil.

Aber: Startmenü noch immer LEER und Desktop lässt sich nicht mit rechts anklicken. Außerdem kommt beim Systemstart immer die Meldung das die Verbindung zum Internet nicht gefunzt hat, aber ich komm ohne Probleme ins Netz...

hab dann eure Anweisungen befolgt:

TFC ausgeführt, Neustart durchgeführt - keine Probleme

Defogger.exe geladen, allerdings Virusmeldung (W32/Murofet.A) danach gelöscht! keine neue Virenmeldung.

Malwarebytes Anti-Maleware 1.50.1 gedownloaded (über den Link auf eurer Seite), ebenfalls Virenmeldung mit W32/Murofet.A, auch gelöscht! ebenfalls keine weitere Virenmeldung.

Erunt ausgeführt, Sicherung erfolgreich erstellt!

OTL gestartet, auch hier ohne Probleme durchgelaufen.

.txt hab ich mal alle mitangefügt die ihr beim ersten schreiben wolltet.

Würd mich freuen wenn ihr mal drüber schaut ob ich noch Viren hab und mir auch noch sagen könntet wie ich mein Startmenü und so wieder auf die richtige Bahn bringe.

vielen Dank schonmal im Vorraus!

mfg eugene

hi,
ersetze in meinem script *** durch nutzernamen, sonst klappts nicht.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [{EDBCAAFF-130C-164E-D559-BF5D067041F3}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Orolfo\fyobz.exe (QNP)
O4 - HKCU..\Run: [ckvacGUXRMcAmh] File not found
O4 - HKCU..\Run: [Pbojihutafuza] C:\WINDOWS\apduic.dll (Progressive Networks)

:Files
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Orolfo
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

hallo,

OTL ist mit deinem Skript durchgelaufen, während dessen allerdings Virusmeldung (C\WINDOWS\apduic.dll befallen mit TR/Hiloti.D.2965)
--> Zugriff verweigert, keine neue Virenmeldung.

System neustart; Nach Anmeldung kommt Warnung, dass "apduic.dll" nicht geladen werden konnte. Auf OK geklickt, System verhält sich dennoch normal. Bis jetzt keine weiteren Vorkommnisse.

Virenscan wegen neuem Trojaner noch nicht durchgeführt!

im Anhang wieder der Bericht von OTL.

vielen Dank,

mfg eugene

PS: Startmenü noch immer leer und Desktop nicht anklickbar (falls das Problem mit dem ebend durchgeführten Schritt behoben werden sollte) :)

hi, ich warte auf den upload :-)
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

Hi,

einkaufen ab und zu...

was heißt wichtig? Ich brauch ihn halt fürs studium und so. aber nix weltbewegendes was man nicht sichern oder irgendwo anders neu her bekommen kann...

mfg

PS: auf welchen upload wartest du?

ich poste nochmal den Bericht von OTL...

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{EDBCAAFF-130C-164E-D559-BF5D067041F3} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EDBCAAFF-130C-164E-D559-BF5D067041F3}\ not found.

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Orolfo\fyobz.exe moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ckvacGUXRMcAmh deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Pbojihutafuza deleted successfully.

C:\WINDOWS\apduic.dll moved successfully.

========== FILES ==========

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Orolfo folder moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default User

 

User: Gast

 

User: LocalService

 

User: ***

->Flash cache emptied: 1938 bytes

 

User: NetworkService

 

User: test

 

Total Flash Files Cleaned = 0,00 mb

 

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Gast

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 65984 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: ***

->Temp folder emptied: 615333 bytes

->Temporary Internet Files folder emptied: 205106 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 160567970 bytes

->Flash cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: test

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 483 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 154,00 mb

 

 

OTL by OldTimer - Version 3.2.22.3 log created on 05132011_142018
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

was steht denn unter dem otl script. startet mit
wähle zu moved files.rar oder zip hinzufügen.

oh sorry, wer lesen kann ist klar im Vorteil... :pfeiff:

beim hinzufügen wieder Virusmeldung das die WinRAR datei auf diesen Virus zugreifen wollte oder den mit eingepackt hat. (der von Vorhin: C\WINDOWS\apduic.dll befallen mit TR/Hiloti.D.2965)

die datei ist um 5 kb zu groß... was nu?:confused:

schonmal danke! :)

du sollst die nicht hier anhängen sondern im upload channel, lies doch bitte mal alles genauer.

So hab ich jetzt auch gemacht...

sry, bin nich so forumserprobt, da entgeht mir manchmal was...

:heilig: :rofl:

thx

hi, dein trojaner ist mit einem passwort stealer und einen zbot trojaner befallen.
da du online einkaufst ist das risiko zu groß diesen pc zu bereinigen, wenn du nicht mit der möglichkeit leben willst, das wir etwas übersehen, was sich im system versteckt und das dir dann einen finanziellen schaden verursacht.
deswegen:
- daten sichern.
nur bilder dokumente (persönliches) nichts aus file sharing, keine keygens cracks etc, diese bringen so gut wie alle was mit was man nicht will.
- pc formatieren windows neu aufsetzen.
- danach können wir, wenn du willst, das system für die zukunft absichern.
- alle passwörter endern.

ok, klingt häßlich aber ich werd das dann so machen.

Leider kann ich den Rechner erst ab übernächste Woche neu machen, hab meine Windows CD nicht da...:stirn:
Bis dahin muss ich mit den Risiken leben denk ich.

Hab da noch drei Fragen:

1. Was ist file sharing?
2. Ich hatte meinen USB-Stick und meine Externe Festplatte zwischen durch mal am Rechner, kann der Virus auch da drauf sein? Wenn ja, was dann?
3. Welche Passwörter muss ich ändern, alle die ich irgendwo aufm Rechn er oder im Internet besitze oder nur die aufm PC?
4. Ich hab noch nen Fingerabdrucksensor, den benutz ich um mich am system anzumelden. Was ist damit? (werden die Fingerabdrücke von dem Trojaner auch erkannt und irgendwie benutzt?
Vielen Dank an dich!!! :daumenhoc

mfg eugene

1. Was ist file sharing?
so etwas wie emule, torrent etc.
wenn du das nicht nutzt, ist das ok. es war nur ne anmerkung.
2. Ich hatte meinen USB-Stick und meine Externe Festplatte zwischen durch mal am Rechner, kann der Virus auch da drauf sein? Wenn ja, was dann?
glaube ich eher nicht, aber wir können sie prüfen sobald das system neu aufgesetzt und abgesichert ist.
3. Welche Passwörter muss ich ändern, alle die ich irgendwo aufm Rechn er oder im Internet besitze oder nur die aufm PC?
alle die du an diesem pc jemals genutzt hast.
wenn du 2 mal das selbe irgendwo verwendest, dann überall.
4. Ich hab noch nen Fingerabdrucksensor, den benutz ich um mich am system anzumelden. Was ist damit? (werden die Fingerabdrücke von dem Trojaner auch erkannt
und irgendwie benutzt?
glaub ich eher nicht.

Ok, Vielen dank schonmal! :daumenhoc

Ich meld mich dann nächste woche oder so nochmal wenn ich alles wieder neu gemacht hab.

bis dahin, mfg eugene.

ok, falls ichs übersehe, private nachicht.

Hi markusg,

hab den Rechner grad neu aufgesetzt. Du, bzw. wir, wollten jetzt noch das System Absichern. Bin jetzt wieder aufnahme fähig. :)

Was soll ich also tun?

mfg