TR/Kazy.24828 [trojan] in file 'C:\Recycle.Bin\Recycle.Bin.exe. gefunden.
 

Hallo zusammen und erstmals danke für die kompetente Hilfe die Ihr hier anbietet.

Wie im Titel zu sehen wurde ein Trojaner namens Kazy gefunden, im Google finde ich aber zu dieser Versionsnummer noch nichts.

Ich habe sofort Malwarebytes im Offlinemodus mit allen Programmen geschlossen drüberlaufen lassen und 4 Infizierungen wurden so entdeckt. Hier der LOG:

Hiernach habe ich die befallen Elemente per Malwarebytes entfernt.
Seitdem bekomme ich weder neue Warnungen von Antivir und auch Malewarebytes findet nichts mehr.

Meine Frage nun.... ist der Rechner nun sauber oder sollte ich hier besonders vorsichtig ans werk gehen.

PS: Mein System ist Vista 64 bit und als Browser verwende ich Mozilla Firefox mit Noscript als Addon.

Lg und vielen Dank

Stefan

Anbei die OTL Logs:

Hm, was willst du mit diesen komischen Toolbars auf dem Rechner? Am besten alles entfernen wo Toolbar steht, was in der Systemsteuerung unter Software bzw. Programme und Funktionen zu sehen ist und bei zukünftigen Programminstallation immer die benutzerdefinierte Methode anklicken, damit man bei der Installation mögliche Toolbars abwählen kann.
Deinstalliere bei der Gelegenheit auch alle anderen unnötigen Programme über die Systemsteuerung.

Hallo Arne.
Danke das du dich so schnell meldest.

Aye! Bin gerade dabei da auszumisten. :daumenhoc

OK. Mach danach bitte ein neue OTL-Custom-Log.

Hier der neue Log:

OTL Logfile:
--- --- ---


Hab die von Dir angesprochenen Toolbars in der Systemsteuerung deinstalliert und sonst noch diversen Schund gleich mit dazu.

Weiters hier, was ich früher total vergessen habe, der Defogger Log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:47 on 16/06/2011 (Stefan)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-


Gruss Stefan

EDIT:

Habe mittlerweilen zwei weitere Malwarebytes Scans gemacht und beide waren sauber.
Ein kompletter Systemscan von Antivir hat mir dies jedoch zu Tage gefördert:

The file 'C:\Users\Stefan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\37db3fe2-5dfba285'
contained a virus or unwanted program 'JAVA/Dldr.Scuds.A' [virus]
Action(s) taken:
The file was moved to '4e5cf90d.qua'!

The file 'C:\Users\Stefan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\42cc9baf-3f34983d'
contained a virus or unwanted program 'JAVA/Fester.B.1' [virus]
Action(s) taken:
The file was moved to '4e5bf908.qua'!

Überleg dir gut, ob du in Zukunft weiterhin bei AntiVir bleiben willst. Die haben eine sehr fragwürdige Entscheidung getroffen, was nicht gerade seriös wirkt => http://www.trojaner-board.de/100374-...e-und-ask.html


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

done.

Hier der Log:

PS: Cosinus aka Winkelfunktion hat aber nichts mit dem Computergenie-Comic aus dem alten Happy Computer oder dem 64er Magazin zu tun? Wäre nur passend wenn doch. XD

PPS: Danke für den Link Arne, Kaspersky liegt eh schon bereit. :)

Bitte zum POsten der Logs keine PHP-Tags verwenden!! Nimm CODE-Tags! Hab das mal für dich ausgebügelt.


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png



Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst oder Verküpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista- und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Sorry wegen den PhP...

Hier nun der TDSS Report:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier der Cofi Log:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

So....auch erledigt:

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Vista installiert?
Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 64-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

Also das kann jetzt etwas dauern da ich keine Rohlinge mehr zuhause habe.

Aber ich habe die Recovery CD vom hersteller welche Alienware Respawn heisst.... dies ist aber eine komplette Systemrecovery.... weiss nicht ob das als backup reicht oder brauche ich hier explizit die Vista Recovery?