Trojaner-Board - Festplatte durch Virus geclustert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Festplatte durch Virus geclustert? (https://www.trojaner-board.de/98094-festplatte-virus-geclustert.html)

Festplatte durch Virus geclustert?

Hallo,

mir wurde beim Surfen letztens angezeigt, dass ein Virus?? meine Festplatte geclustert hat und danach kam eine Anzeige, dass kaum noch RAM zur Verfügung steht. Genauere angaben anhand von screenshots konnte ich in der leider auftretenden Panik nicht machen, der Bildschirm war beim nächsten Hochfahren schwarz, die Desktopverbindungen aber noch drauf.

Ich habe daraufhin einen neuen Systemwiederherstellungszeitpunkt gewählt, das funktionierte auch, aber jetzt erscheinen keine Favoriten mehr in der Symbolleiste und die nachgeordneten Ordner im Windows-Explorer sind nicht mehr sichtbar, in der rechten Bildhälfte aber dennoch vorhanden und lassen sich auch öffnen. Anbei ein screenshot. Avira habe ich in der aktuellsten form laufen lassen, nix gefunden.

Um Hilfe wäre ich sehr dankbar.

Gruß

Hallo nochmal,

der kazy.mekml.1 scheint ja richtig sein Unwesen zu treiben. So ähnlich sind ja meine Symptome auch!!!

Gibt es hier eine Anleitung, wie man den wieder los wird???

Gruß

hier der screenshot (windows.jpg), den ich vorhin vergessen habe zu meiner Ansicht des windows-explorers. Einige Ordnernamen habe ich unkenntlich gemacht.

Mittlerweile habe ich Malwarebytes Antimalware laufen lassen. Vier dateien wurden entfernt. Hier die log-datei:

Einen Ordner (pokiojkjnkj.jpg) habe ich noch im Windows-Explorer gefunden, mit ich garnichts anfangen kann. Hier noch ein Bild:

Ich hoffe, die Erfahrenen unter euch können mir helfen.

Gruß

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo cosinus,

danke, dass du bereit bist zu helfen.:daumenhoc

Ich habe etliche log-Dateien im Ordner von Malwarebytes, da ich das öfter laufen lasse, aber die sind ja veraltet.

Ich habe heute Nacht nochmal Avira laufen lassen, der hat noch mal was gefunden. Das poste ich mal.

Was mich wundert, ist dass der Trojaner bei mir scheinbar nicht so große Schäden angerichtet hat, wie bei anderen. Aber vielleicht war es ja auch nicht der kazy.mekml.1.

Die versteckten Dateien sind nun alle wieder da, indem ich den Haken bei Eigenschaften-Versteckte Dateien entfernt habe.

Was mache ich mit dem Ordner pokiojkjnkj, den ich definitiv nicht erstellt habe? Bild der Datei ist anbei.

Vielen Dank nochmal für die Unterstützung.

Ich glaube ich lasse noch mal alles drüber scannen, avira, malwarebytes, anti-spyware, bevor ich mich mit irgendwelchen passwörtern wieder irgendwo einlogge oder????

Habe noch den scan vom 21.04.11 beigefügt, da ist das Unglück passiert und da hat avira tatsächlich kazy.mekml.1 gefunden.

Gruß

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo cosinus,

werde otl laufen lassen, werde vorab meine Dateien sichern, melde mich wieder mit dem Log.

Danke und Gruß

Hallo Cosinus,

habe jetzt OTL laufen lassen, die Haken bei Lop Prüfung und Purity Prüfung habe ich entfernt, da er sonst keine txt erstellt hat!?

Hoffe war sonst richtig.

Freue mich auf Antwort!:daumenhoc

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)

IE - HKCU\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"

FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q="

FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"

FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com"

FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="

FF - prefs.js..network.proxy.http: "127.0.0.1"

FF - prefs.js..network.proxy.http_port: 54586

FF - prefs.js..network.proxy.type: 1

O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)

O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll (Google Inc.)

O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)

O2 - BHO: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)

O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.

O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)

O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)

O4 - HKCU..\Run: [Symantec NetDriver Warning]  File not found

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

die Internetverbindung dazu kappen?

Nein ist nicht nötig.

Glück gehabt, das lief suboptimal oder ich war zu ungeduldig. Habe alles kopiert und beim fix hat er sofort Probleme mit Mozilla gehabt. Sah nicht so aus, als wenn sich da noch was tut oder dauert der fix sehr lange????

Habe dann nach 30 min. den Rechner neu gestartet durch Kaltstart, bin froh, dass noch alles da ist!!

Wie machen wir weiter? Bin ja für deine Hilfe dankbar, aber hab auch ein wenig Angst, dass alles weg ist.

Gruß

cosinus...?

Vergiss mich nicht!!??

Gruß

Vergiss du das Log nicht :pfeiff:
Schau nach in C:\_OTL

Hallo,
die beiden txt-dateien nach dem otl-Lauf habe ich am 02.05. angehängt.

Nach dem Fix hat er sich doch aufgehängt, soll ich das nochmal machen? Wie lange dauert denn das Fix?

Unter C:\_OTL ist sonst nix, siehe screenshot.

Gruß

Dann wiederhol den Fix mit OTL bitte.

OK hab ich wiederholt mit demselben Fehler, nach 1 Sek. zeigt er an:

Cannot create file C:\Dokumente und Einstellungen/admin/Anwendungsdaten/Mozilla/Firefox/Profiles/abl25lnu.default\prefs.js

dann passiert nix mehr.

Und jetzt? Mozilla deinstallieren?
Gruß

Wiederhol den Fix mit diesem leicht veränderten Script:

Zitat:

:OTL
IE - HKCU\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 54586
FF - prefs.js..network.proxy.type: 1
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll (Google Inc.)
O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Programme\DVDVideoSoft\tbDVD2.dll (Conduit Ltd.)
O4 - HKCU..\Run: [Symantec NetDriver Warning] File not found
:Commands
[purity]
[resethosts]
[emptytemp]

Hallo,

mache ich heute abend gerne. Es kann aber nicht passieren, dass dann alles weg, nicht dass ich nen Schreikrampf kriege...:eek::eek:

Hallo,

ging leider wieder nicht, habe den Fehler angehängt.

Gruß und wie weiter?

Mach den OTL-Fix mit dem ersten Script bitte mal im abgesicherten Modus von Windows.

Hallo Arne,

leider bootet der Rechner nicht im abgesicherten Modus, Screenshots sind anbei. Vielleicht hängt das damit zusammen, das eigentlich XP home drauf ist, ich aber nachträglich Professionell draufgespielt habe?

Soll ich Firefox deinstallieren? Vielleicht gehts dann mit dem Script?

Gruß

Willst du dann bei diesem wackligen System dann überhaupt noch weitermachen oder gleich lieber plätten und alles neu installiert?

Das ist es ja, der Rechner läuft stabil, Viren o. ä. sind so nicht erkennbar!
Habe ich Recht mit dem booten im abgesicherten Modus, dass er wg. Professionel dies nicht tut?

Lasse nochmal alles an Virensoftware drüber laufen, Malware etc. , aber demnächst sollte ich ihn auch neu installieren. Gibts dazu hier auch Hilfe?

Gruß

Naja, probieren wir erstmal noch CF aus, wenn wir dann nicht weiterkommen wär format c: angebracht

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Schätze mal, damit ist die Chance auch groß, den Rechner ganz zu zerschießen oder?

Wenn du dich an die Anleitung hälst nicht.
Wäre aber trotzdem ratsam alles wichtige, was noch nicht gesichert ist, JETZT zu sichern.

Hallo,

da mein System zur Zeit stabil läuft und ich damit noch einige Sachen dringend machen muß, werde ich noch etwas warten, für ein neues Systemaufsetzen und die Anwendungen wieder downloaden ist derzeit überhaupt keine Zeit, würde mich aber wenn Zeit ist gerne wieder bei dir hier im Thread melden.

Vielen Dank erstmal für deine Hilfe, toll das es so einen support gibt!!:dankeschoen:

Gruß
Krille96