Trojaner-Board - Trojaner TR/Kazy.48990 ; Virenscan nicht durchführbar

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/Kazy.48990 ; Virenscan nicht durchführbar (https://www.trojaner-board.de/106808-trojaner-tr-kazy-48990-virenscan-durchfuehrbar.html)

Trojaner TR/Kazy.48990 ; Virenscan nicht durchführbar

Hallo Trojaner-Board-User.
Seit etwa einer Woche meldet Avira mir das auftauchen von Trojanischen Pferden und da ich mich nur sehr oberflächlich mit einem PC auskenne und mir auch spontan kein Bekannter einfiel, der mir helfen konnte, suche ich jetzt hier nach Hilfe. Den Namen des Virus hab ich schon per Google gesucht, ihn aber nicht gefunden.
Ich habe natürlich zuerst alles gemacht, was hier stand: http://www.trojaner-board.de/69886-a...-beachten.html
leider kann ich den dritten SChritt dort für 32bit-Systeme nicht durchführen, da der Computer mit Bluescreen abstürzt, wenn ich das Scanporgramm verwende.
DIe logs aus den anderen beiden Programmen hänge ich in den Beitrag an.
Wie schon in der Überschrift erwähnt heißt der Virus "TR/Kazy/48990", es wird aber auch "TR/Kazy/48938.1" gefunden. Als ich zum ersten Mal die Meldung bekam, befand sich der Virus unter "C/Dokumente und Einstellungen/XYZ/Anwendungsdateien/..." und unter "C/Dokumente und Einstellungen/XYZ/Lokale Einstellungen/...". Es gab mehrfach Funde in Unterordnern dieser beiden Pfade. Heute gab es allerdings Funde in dem Pfad "C/System Volume Information/...", den ich nichtmal finden kann, wenn ich ihn im Arbeitsplatz suche.
Da ich zuvor nie mit Voren konfrontiert worden war, hab ich erstmal einen kompletten Scan mit Avira gestartet. Dieser beendet sich jedoch scheinbar völlig wilkürlich irgendwann. Ich habe bisher keinen vollständigen Suchlauf machen können, weil er immer vorzeitig und ohne Meldungen abbricht. Zu diesem Problem gab es im Netz einige Lösungen, aber bisher hat nichts davon geklappt.
Zu guter Letzt will ich noch erwähnen, dass der Virus scheinbar Einfluss auf Mozilla Firefox hat. Es gab einen Fund bei ".../Anwendungsdateien/firefox.exe". Ich habe mich in letzter Zeit oft über seltsame Umleitungen auf falsche Webseiten gewundert. Ich gebe die Adresse oben ein oder klicke bei google auf den Link und lande auf einer völlig anderen Seite. Meist muss ich mehrmals abbrechen und den Link nochmal aufrufen, damit ich dahin komme, wo ich hinwill. Ich weiß nicht, ob es da Zusammenhänge gibt, ich dachte nur ich erwähne es mal.

Ich wäre wirklich sehr dankbar über Antworten bzw jegliche Hilfe. Im Anhang nun die logdateien. Ich musste die log vom Defogger umbenennen, sonst funktioniert der Upload irgendwie nicht.

Gruß Nreyab

hi,

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

hallo markusg
Erstmal danke, dass du mir hilfst :D
Bevor ich jetzt irgendwas falsch mache: Wie schalte ich Avira aus?
Edit: Ich seh grad, dass in der Anleitung, die du verlinkt hast auch dazu was steht, ich gucks mir selbst an.

rechtsklick auf den schirm, guard deaktivieren, wenn combofix trotzdem meldung anzeigt, mit ok überspringen

Eine Frage hab ich noch bevor ich das ausführe: Da steht, dass ich es als Admin ausführen muss. Ich habe es seit ich weiß, dass ich Viren auf dem Rechner habe, vermieden das Adminpasswort einzugeben aus Angst dem Virus damit irgendwie in die Karten zu spielen. Ist es unbedenklich, ComboFix unter diesen Umständen als Admin auszuführen?

naja, ich denke wenn passwörter geklaut wurden ist das admin passwort deines pcs die geringste sorge die du haben solltest.
aber um näheres zu sagen muss ich mir erst mal n überblick verschaffen.

Ich hab ComboFix benutzt, alle Anweisungen befolgt und bin dann einige Zeit vom Rechner weggeblieben. Grade eben hab ich gucken wollen, ob der Scan beendet ist, mache den Bildschirm wieder an und sehe den Bluescreen, den ich im Startpost schon erwähnt habe. Ich hab ihn mal abfotografiert und in den Anhang gestellt. Das beunruhigt mich jetzt doch irgendwie :/

Schöne Feiertage wünsche ich übrigens!

Edit: Das Bild ist zu groß für den Anhang. Also hab ichs hier hochgeladen: hxxp://www.pic-upload.de/view-12394673/DSCN1201.jpg.html

nutzt du den pc für wichtiges, wie onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges? zb berufliches.

Nein, eigentlich nur für Belangloses.

ok starte mal neu drücke f8, wähle abgesicherter modus mit netzwerk und versuche combofix erneut

sry, dass ich mich jetzt erst wieder melde, ich kam gar nicht an den Rechner^^
Wie kann ich im abgesicherten Modus Avira ausschalten? In der Taskleiste sind dann keine symbole mehr zu sehen und auch im taskmanager konnte ich keinen entsprechenden Prozess finden

dann lass es so, wenn combofix nen fehler anzeigt, auf ok klicken und weiter scannen

Hab den Scan jetzt fertiggestellt und mich nach dem Neustart wieder als eingeschränkter User angemeldet. Jetzt tauchen ununterbrochen Fenster auf und schließen sich wieder, Das geht jetzt schon 10 Minuten so. Ich hab das ganze mal abgefilmt. Leider ist das Video auch wenn es gepackt ist zu groß für den Anhang hier. Ich habs jetzt hier hochgeladen: hxxp://speedy.sh/f5ExP/Video.zip
Wenn du es wo anders hochgeladen haben möchtest, sag mir bescheid!
So wie in dem Video gezeigt, gehts das die ganze zeit weiter.
Ich schreibe von einem anderen Rechner aus, weil ich nicht weiß was da bei dem anderen passiert :/
Edit: Stand jetzt hat sich nix getan es geht so weiter wie in dem video

meld dich als admin an, cf lief auch als admin?

Ja ich hatte das als Amdin durchgeführt. Also nochmal runtergefahren, als Admin eingeloggt und dann tauchte ein Fenster von CF auf, in dem stand ich solle warten, weil ein logfile erstellt wird. Hab ich gemacht, Bildschirm aus, erstmal was anderes gemacht, nach zehn Minuten wiedergekommen und: Der wohlbekannte Bluescreen ist wieder da -.-.
Vlt hätte ich mich im Abgesicherten Modus wieder anmelden sollen? Jedenfalls ist kein logfile zu finden ...

hmm vllt sollten wir das system mal komplett neu machen, vorher kannst du natürlich daten sichern.
dann erkläre ich dir, wie du formatierst, windows neu instalierst und absicherst

ComboFix hat schon einiges gelöscht (unter anderem eine Verknüpfung zu meiner externen Festplatte :O ). Vlt ist ja der Virus schon gelöscht? Naja ich suche erstmal die Windows CD, ohne die wirds schließlich schwer

also versuch cf noch mal als admin und dann wenn ein neustart verlangt wird wieder im abgesicherten modus anmelden, also beide male im abgesicherten modus.

Diesmal hat alles Einwandfrei funktioniert. Ich hänge die log an. Das Ergebnis des Versuchs davor dürfte jetzt aber wohl nicht mehr drinstehen. Naja du hast die Ahnung, ich kann nur vermuten^^

start programme zubehör editor reinkopieren:
falls du nutzernamen unkenntlich gemacht hast, anpassen.

Killall::
rootkit::
c:\dokumente und einstellungen\XYZ\tmpdel.bat
Folder::
c:\dokumente und einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\d5d70f33
c:\dokumente und einstellungen\XYZ\Anwendungsdaten\A0AFD
c:\dokumente und einstellungen\XYZ\Anwendungsdaten\4CEA0

datei speichern unter, ort dort wo sich combofix befindet, typ alle dateien, name:
cfscript.txt
ziehe cfscript aufs combofix symbol programm startet log posten

soll ichs am besten gleich im abgesicherten modus machen?

So, erstmal Entschuldigung, dass ich so lange nichts geantwortet habe, wo es doch mein Problem ist und du freiwillig deine Zeit dafür opferst.
Ich habe es nach mehreren Versuchen immer noch nicht hingekriegt, dass das Script, dass du mir angegeben hast durchläuft. Allerdings ist mit der neuen Version von Avira der Suchlauf wieder möglich und dieser hat nichts neues mehr gefunden. Danach hab ich nochmal Combofix benutzt, diesmal zwar wieder mit Absturz inklusive Bluescreen aber die log wurde immerhin erstellt. Soll ich jetzt noch einen weiteres Mal Combofix mit deinem Script versuchen? Die log, die diesmal erstellt wurde hab ich angehängt, in der Hoffnung, du könntest vielleicht sehen, ob Avira jetzt wirklich alles entfernt hat.
Nochmal Sorry, dass ich nicht geantwortet habe!

also irgendwie gefällt mir das nicht sonderlich das dein pc dauernd bluescreens hatt, manchmal macht malware den pc instabiel, auch nach entfernung, ich würde wirklich zu einem neu anfang raten und dann gleich vernünftig konfigurieren.

Ok, dann bedanke ich mich erstmal für deine Hilfe bis jetzt. Ich finde es echt toll, dass ihr hier freiwillig eure Freizeit opfert, um anderen zu helfen :daumenhoc
Beim erneuten Konfigurieren muss ich deine Hilfe aber nicht weiter beansprochen, denn ich hab einen Bekannten aufgetrieben, der Informatiker ist. Der kann mir sicher helfen alles richtig zu machen.
Also nochmal vielen Dank! :dankeschoen:

ok, sorry das das ergebniss nicht besser ausgefallen ist, aber ich denke lieber nen schnitt machen, als noch lange zu probieren und dann am ende evtl. die arbeit mit dem neu aufsetzen trotzdem machen zu müssen.
guten rutsch trotzdem!