|
TR/Kazy.mekml.1 Ich habe ein riesen Problem, wie ich schon gelesen habe bin ich nicht der einzige. Leider ist vieles von dem was hier geschrieben wird für mich wie eine andere sprache, deshalb bräuchte ich hilfe für einen absoluten neuling in diesem bereich. Zu meinem Problem: Ich habe mir ebend beim surfen den TR/Kazy.mekml.1 eingefangen, ein löschen über Antivir brachte nichts und nach kurzem kam die meldung das der Rechner Probleme hat und neu gestartet werden sollte. 1. Dies habe ich getan und haben jetzt den absoluten supergau, der bildschirm Hintergrund ist schwarz, und alle verknüpfungen sind weg, nach kurzer Zeit startet das "Windows Recovery" (da ich gelesen habe das der trojaner fremdsoftware zum kauf anbietet und ich keine ahnung habe ob das jetzt ne echte datei von windows ist, habe ich sie noch nicht ausgeführt), es läuft selbstständig durch und zeigt 11 fehler an. Soll ich die behebung dann durchführen lassen? 2. Wenige Sekunden später meldet sich Antivir wieder mit dem TR/Kazy.mekml.1 , auch in diesem fall hilft das Löschen nicht. 3. Nach weiteren Sekunden bekomme ich die meldung das die IDE/SATA Festplatten beschädigt sind und es besser ist den rechner neu zu starten. Fazit: Mein Problem ist jetzt eigentlich das ich mit dem rechner nichts machen kann, ich komme ja auch nicht mehr an meinen internet browser ran. Und nach der dritten Fehlermeldung startet er sich alleine neu. Ich bin ziemlich verzweifelt und vermute das ich wohl den rechner neu aufsetzen muß, was wenn es geht unbedingt zu vermeiden ist. Deshalb bitte ich hier um hilfe und hoffe das mir überhaupt noch zu helfen ist, im voraus schonmal vielen dank. |
Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten, evtl. im abgesicherten modus ausführen, bei pc start mit f8 zu erreichen bei den meisten geräten |
Schonmal vielen dank das sich jemand mir angenommen hat. So ich habe aber schon ein grundlegendes problem, nach dem pc start kommt dieses Windows Recovery (was wie ich gelesen habe zu der fremdsoftware gehört) diese kann ich auch nicht weg klicken. Da meine verknüpfungen alle weg sind habe ich das problem wie ich deine oben genannten anweisungen ausführen soll da ich garnicht an meinen i net browser ran komme. mfg |
du sollst es im abgesicherten modus ausführen. dann kopiere halt otl von einem saubern pc mit usb auf den infizierten. |
Hier die angeforderten OTL Reporte, wie gehts nun weiter? |
evtl noch zur ergänzung die verknüpfungen auf dem laptop sind im abgesicherten modus wieder sichtbar |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
so hier nun das gewünschte log |
öffne arbeitsplatz c: rechtsklick qoobox, packen mit winrar oder zip, hochladen. http://www.trojaner-board.de/54791-a...ner-board.html |
ich habe das eben über den link hochgeladen, kann man es sehen, denn mir wird es net angezeigt? |
kann man, wie läuft das system? |
also der desktop ist immernoch schwarz, dort ist keine verknüpfung zu sehen und ich kann auch keine verknüpfung zum desktop herstellen. Außerdem kann ich keine datei oder sonst was über ordner auf den desktop ziehen da kommt dann bei der maus ein durchgestrichener kreis. aber sonst inet und so klappt alles |
hmm kannst du combofix noch mal löschen neu laden und neues log posten? |
jo hier ist es, desktophintergrund ist noch schwarz aber verknüpfungen sind da edit: Also es war kein hintergrundbild mehr ausgewählt, hab jetzt mal eins rein gemacht und wird jetzt auch angezeigt. bin ich jetzt frei von viren? |
kannst du jetzt auch wieder was auf den desktop ziehen? |
jo das geht aber ich habe eben nochmal adaware durchlafen lassen und dabei ploppt antivir auf, mit der meldung auf, das der trojaner immernoch auf dem laptop ist. soll ich nun alles nochmal machen? |
ne, hab ich dir nicht schon gesagt das ich die meldungen brauche, komplett? woher soll ich sonst wissen was wo gefunden wurde? sitze ich etwa vor dem pc oder du. |
na welche denn die die ich hatte habe ich gepostet |
wo hast du die meldung gepostet, hier ist keine avira öffnen ereignisse meldung abkopieren und hier einfügen |
meinst du das mehr steht bei mir net In der Datei 'C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\18014004.exe.vir' wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.mekml.1' [trojan] gefunden. In der Datei 'C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\RSxWcWRakP.exe.vir' wurde ein Virus oder unerwünschtes Programm 'TR/FakeDefrag.A' [trojan] gefunden. In der Datei 'C:\System Volume Information\_restore{7043153D-3316-4B3B-8155-62974FC92609}\RP268\A0066673.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.mekml.1' [trojan] gefunden. In der Datei 'C:\System Volume Information\_restore{7043153D-3316-4B3B-8155-62974FC92609}\RP268\A0066674.exe' wurde ein Virus oder unerwünschtes Programm 'TR/FakeDefrag.A' [trojan] gefunden. Die Datei 'C:\Qoobox.rar' enthielt einen Virus oder unerwünschtes Programm 'TR/FakeDefrag.A' [trojan]. |
öffne otl klicke bereinigung, dann wird der pc neu gestartet und die qoobox quarantäne + andere remover gelöscht. hier wurde avira fündig, ist also kein problem. rechtsklick arbeitsplatz eigenschaften, systemwiederherstellung, auf allen laufwerken aktivieren. übernehmen ok 5 min warten, wieder einschalten. lade den ccleaner slim: Piriform - Builds falls der ccleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
so hier die liste: |
Ad-Aware schau auf die avira homepage, beide zusammen können probleme verursachen. Adobe AIR adobe reader neue version: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken. unter update, auf instalieren stellen. klicke übernehmen /ok deinstaliere. Bonjour wird von apple ungefragt mit instaliert und ist bei 99 % aller user unnötig J2SE und java deinstalieren. Java SE Downloads klicke download jre. Mozilla Firefox öffnen hilfe update, version 4 aufspielen Samsung alle Spybot VideoLAN bereinige mit dem ccleaner. |
Java SE Downloads klicke download jre da stehen mehrere downloads zur verfügung welches soll ich nehmen? Linux x86 - RPM Installer 20.06 MB jre-6u25-linux-i586-rpm.bin Linux x86 - Self Extracting Installer 20.58 MB jre-6u25-linux-i586.bin Linux Intel Itanium - RPM Installer 20.06 MB jre-6u25-linux-ia64-rpm.bin Linux Intel Itanium - Self Extracting Installer 20.58 MB jre-6u25-linux-ia64.bin Linux x64 - RPM Installer 19.62 MB jre-6u25-linux-x64-rpm.bin Linux x64 - Self Extracting Installer 20.20 MB jre-6u25-linux-x64.bin Solaris x86 - Self Extracting Binary 20.22 MB jre-6u25-solaris-i586.sh Solaris SPARC - Self Extracting Binary 25.05 MB jre-6u25-solaris-sparc.sh Solaris SPARC 64-bit - Self Extracting Binary 11.19 MB jre-6u25-solaris-sparcv9.sh Solaris x64 - Self Extracting Binary 7.48 MB jre-6u25-solaris-x64.sh Windows x86 Online 0.85 MB jre-6u25-windows-i586-iftw.exe Windows x86 Offline 15.77 MB jre-6u25-windows-i586.exe Windows Intel Itanium 16.09 MB jre-6u25-windows-ia64.exe Windows x64 16.09 MB jre-6u25-windows-x64.exe |
das für dein betriebssystem |
hab windows xp, ka was ich da nehmen soll |
tut mir voll leid das ich dich damit so abnerve aber da mein freund auf arbeit ist muss ich das alles machen |
Windows x86 Offline 15.77 MB jre-6u25-windows-i586.exe |
ok hab ich alles gemacht |
avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig. den update auftrag auf 1x pro tag einstellen. und "nachhohlen falls zeit überschritten" auswählen klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
ok alles gemacht avira ist durch, gab aber keine funde, zum glück. ich danke dir für deine hilfe, hoffe das das so bleibt und ich mir nicht noch was einfange |
wo ist der bericht, avira, reports. |
hier der log, bin ich jetzt clean? Code: |
nö. 1. überprüfe die konfiguration. 2. update. 3. scanne diesmal über lokaler schutz lokale laufwerke, wie beschrieben. |
Code: |
wenn alles läuft wie es soll, können wir den pc noch absichern. |
ja gerne, was muß ich dafür tun |
hier alle tipps für xp abarbeiten: http://www.trojaner-board.de/96344-a...-rechners.html außer: - eingeschrenktes konto. - sp3 - antivirus. für den firefox nutze noscript und adblock+ um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. dazu anstelle des browser symbols immer auf sandboxed web browser klicken. du wirst kaum unterschiede beim surfen bemerken, höchstens 1 2 kleinere beim dateien speichern, ein fenster wird aufpopen ob du die datei außerhalb der sandbox speichern willst, und du musst die sandbox regelmäßig leeren. sie bietet aber den vorteil, dass sie isoliert vom system programme startet, die hätte die infektion verhindern können. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board