Habe mir u. A. TR/Kazy.mekml.1 eingefangen
 

Hallo ihr Lieben,

habe mir irgendwie mehrereTrojaner mit den Namen TR/Kazy.mekml.1, TR/Spy.SpyEyes.hjq und TR/Hiloti.D.3129 eingefangen :(

zuerst wurde der Bildschirm schwarz, dann verschwanden alle Desktop-Icons und es öffnete sich nach einigen suspekten Meldungen (Festplatte defekt, schwere Fehler im System) "Windows Recovery". Dies konnte ich dann durch rkill.com erfolgreich entfernen, jedoch ist der Desktop immer noch schwarz, ich kann keine Programme mehr sehen geschweige denn installieren. Beim Surfen (welches noch funktioniert) öffnen sich nach einer Google-Suche ständig Pornoseiten.

Malwarebytes lässt sich nicht öffnen, es erscheint die Meldung:

"PROGRAM_ERROR_MISSING_FILE (2, 0, mbamcore.dll, das System kann die angegebene Datei nicht finden") vorher funktionierte es einwandfrei...

Habe mit OTL einen Scan gestartet und hoffe ihr könnt mir helfen.. Stehe kurz vor meiner Abschlussprüfung und brache den PC daher sehr dringend, auch die Dateien auf meinem Rechner.

Vielen Dank im Voraus für Eure Mühe und viele liebe Grüße,

Saraliii

PS: Ein Log ist im Anhang aufgeführt, das andere ist zu groß zum hochladen, also kommt es jetzt hier....

OTL.txt:OTL Logfile:
--- --- ---

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

1.
- zwei gleichzeitig installierte und aktivierte Antivirenprogramme: AntiVir PersonalEdition Classic & AVG
- Beide Scanner haben nämlich nur ein Ziel, dein System sinnvoll gegen Schädlingen zu prüfen/schützen.
Da aber laufen beide parallel, sie behindern sich gegenseitig und auch eine eine gewaltige Belastung für dein System! Die Folge kann ein Crash sein, oder im schlechtesten fall, kannst Du über eine komplette Neuinstallation freuen! Mehr AV Programme bedeutet nicht mehr Sicherheit!
Deinstalliere also eines der AV-Programme und lass nur noch eins auf deinem PC laufen!!
Je nachdem, wie Du Dich entscheidest
► Entweder Avira deinstallieren:
unter Software, oder und noch das Tool Download Avira RegistryCleaner verwenden


► Das Tool verwenden AVG zu deinstallieren:
AV Deinstallations Hinweise

2.
Stelle bitte den TeaTimer ab:
C:\Programme\Spybot
Modus--> Erweiterte Modus--> Ja-->Werkzeuge--> Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.
(Tea Timer versucht positive änderungen auch zu blockieren) - soll für immer deaktiviert bleiben!

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

3.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

gruß
Coverflow

Hallo,

zuallererst einmal Danke für die schnelle Antwort und dass Du dich meiner annimmst.


Habe nach Deiner Anleitung AVG deinstalliert, TeaTimer abgestellt und OTL gestartet.

Problem 1:
in OTL das Scipt eingefügt, alle Programme beendet, auf Fix geklickt... und sofort startet er neu ohne dass ich einen Neustart zulassen muss und ohne ein Textdokument zu erstellen.

2. und nächstes Problem:
Da ich wie gesagt Malwarebytes nicht starten kann wegen der Meldung
"PROGRAM_ERROR_MISSING_FILE (2, 0, mbamcore.dll, das System kann die angegebene Datei nicht finden")

Bei dem Versuch es neu zu instalieren bekomme ich die Meldung kurz vor Ende der Installation "Zugriff verweigert"

Habe mein altes Malwarebytes noch nicht deinstalliert, aus Angst gar nicht mehr darauf zugreifen zu können. Soll ich dies zuerst tun und das Setup dann neu starten?

Liebe Grüße und Danke

hast Du nachgeschaut, kein Logfiles wurden erstellt?
wenn nicht, dann versuche die OTL.exe in OTL.com umbenennen und so erneut ausführen

Habe es umbenannt und erneut versucht, kein Logfile zu finden :( nicht auf dem Desktop und auch nicht unter eigene Dateien. Sobald ich auf Fix klicke steht untern im OTL "killing process, do not interrupt" und dann startet er neu.

1.
- Gehe in den abgesicherten Modus
- Drücke beim Hochfahren des rechners [F8] solange, bis du eine auswahlmöglichkeit hast:
- wähle hier: "Abgesicherter Modus "

arbeite dort zunächst Punkt 3.ab

2.
wenn`s dir gelingt das Malwarebytes im abgesicherten Modus laufen lassen, starte den Rechner im normalen Modus auf und lass Malwarebytes dort das System auch prüfen! - Anleitung beachten!
beide Protokolle posten

3.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe bzw OTL.com
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Soweit hat alles funktioniert, hier die Logs von OTL:

OTL Extras.Txt

OTL.txt:

Malwarebytes Vollscan im abgesicherten Modus:

Malwarebytes Vollscan im normalen Modus:


Habe wie Du es mir gesagt hast bei den letzten beiden Funden nichts unternommen aufgrund des Sitzes des Virus.

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

4.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Fixen mt OTL klappt wieder nicht, kein Textdokument zu finden. Die gleiche Meldung wie beim 1. Versuch, sofortiger Neustart.

Soll ich trotzdem mit dem nächsten Punkt weitermachen?

LG

Ja, zwar:
2.,3., und 5.,

Hat alles geklappt, hier die Logs:

Und die Liste meiner installierten Programme:

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

2.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Avenger.txt:

OTL.txt:

Extras.txt:

OTL.txt - nicht vollständig gepostet, versuche es nochmal!