Trojaner-Board - Festplatte durch Virus geclustert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Festplatte durch Virus geclustert? (https://www.trojaner-board.de/98094-festplatte-virus-geclustert.html)

Festplatte durch Virus geclustert?

Hallo,

mir wurde beim Surfen letztens angezeigt, dass ein Virus?? meine Festplatte geclustert hat und danach kam eine Anzeige, dass kaum noch RAM zur Verfügung steht. Genauere angaben anhand von screenshots konnte ich in der leider auftretenden Panik nicht machen, der Bildschirm war beim nächsten Hochfahren schwarz, die Desktopverbindungen aber noch drauf.

Ich habe daraufhin einen neuen Systemwiederherstellungszeitpunkt gewählt, das funktionierte auch, aber jetzt erscheinen keine Favoriten mehr in der Symbolleiste und die nachgeordneten Ordner im Windows-Explorer sind nicht mehr sichtbar, in der rechten Bildhälfte aber dennoch vorhanden und lassen sich auch öffnen. Anbei ein screenshot. Avira habe ich in der aktuellsten form laufen lassen, nix gefunden.

Um Hilfe wäre ich sehr dankbar.

Gruß

Hallo nochmal,

der kazy.mekml.1 scheint ja richtig sein Unwesen zu treiben. So ähnlich sind ja meine Symptome auch!!!

Gibt es hier eine Anleitung, wie man den wieder los wird???

Gruß

hier der screenshot (windows.jpg), den ich vorhin vergessen habe zu meiner Ansicht des windows-explorers. Einige Ordnernamen habe ich unkenntlich gemacht.

Mittlerweile habe ich Malwarebytes Antimalware laufen lassen. Vier dateien wurden entfernt. Hier die log-datei:

Einen Ordner (pokiojkjnkj.jpg) habe ich noch im Windows-Explorer gefunden, mit ich garnichts anfangen kann. Hier noch ein Bild:

Ich hoffe, die Erfahrenen unter euch können mir helfen.

Gruß

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo cosinus,

danke, dass du bereit bist zu helfen.:daumenhoc

Ich habe etliche log-Dateien im Ordner von Malwarebytes, da ich das öfter laufen lasse, aber die sind ja veraltet.

Ich habe heute Nacht nochmal Avira laufen lassen, der hat noch mal was gefunden. Das poste ich mal.

Was mich wundert, ist dass der Trojaner bei mir scheinbar nicht so große Schäden angerichtet hat, wie bei anderen. Aber vielleicht war es ja auch nicht der kazy.mekml.1.

Die versteckten Dateien sind nun alle wieder da, indem ich den Haken bei Eigenschaften-Versteckte Dateien entfernt habe.

Was mache ich mit dem Ordner pokiojkjnkj, den ich definitiv nicht erstellt habe? Bild der Datei ist anbei.

Vielen Dank nochmal für die Unterstützung.

Ich glaube ich lasse noch mal alles drüber scannen, avira, malwarebytes, anti-spyware, bevor ich mich mit irgendwelchen passwörtern wieder irgendwo einlogge oder????

Habe noch den scan vom 21.04.11 beigefügt, da ist das Unglück passiert und da hat avira tatsächlich kazy.mekml.1 gefunden.

Gruß

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo cosinus,

werde otl laufen lassen, werde vorab meine Dateien sichern, melde mich wieder mit dem Log.

Danke und Gruß

Hallo Cosinus,

habe jetzt OTL laufen lassen, die Haken bei Lop Prüfung und Purity Prüfung habe ich entfernt, da er sonst keine txt erstellt hat!?

Hoffe war sonst richtig.

Freue mich auf Antwort!:daumenhoc

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)

IE - HKCU\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"

FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q="

FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"

FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com"

FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="

FF - prefs.js..network.proxy.http: "127.0.0.1"

FF - prefs.js..network.proxy.http_port: 54586

FF - prefs.js..network.proxy.type: 1

O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)

O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll (Google Inc.)

O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)

O2 - BHO: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)

O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.

O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)

O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O4 - HKCU..\Run: [Symantec NetDriver Warning]  File not found

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

die Internetverbindung dazu kappen?

Nein ist nicht nötig.

Glück gehabt, das lief suboptimal oder ich war zu ungeduldig. Habe alles kopiert und beim fix hat er sofort Probleme mit Mozilla gehabt. Sah nicht so aus, als wenn sich da noch was tut oder dauert der fix sehr lange????

Habe dann nach 30 min. den Rechner neu gestartet durch Kaltstart, bin froh, dass noch alles da ist!!

Wie machen wir weiter? Bin ja für deine Hilfe dankbar, aber hab auch ein wenig Angst, dass alles weg ist.

Gruß

cosinus...?

Vergiss mich nicht!!??

Gruß

Vergiss du das Log nicht :pfeiff:
Schau nach in C:\_OTL

Hallo,
die beiden txt-dateien nach dem otl-Lauf habe ich am 02.05. angehängt.

Nach dem Fix hat er sich doch aufgehängt, soll ich das nochmal machen? Wie lange dauert denn das Fix?

Unter C:\_OTL ist sonst nix, siehe screenshot.

Gruß

Dann wiederhol den Fix mit OTL bitte.

OK hab ich wiederholt mit demselben Fehler, nach 1 Sek. zeigt er an:

Cannot create file C:\Dokumente und Einstellungen/admin/Anwendungsdaten/Mozilla/Firefox/Profiles/abl25lnu.default\prefs.js

dann passiert nix mehr.

Und jetzt? Mozilla deinstallieren?
Gruß