Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.04.2011, 16:07   #1
wolveheart
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



Hallo zusammen,

gestern Abend sind die bekannten und hier in den Forembeiträgen bereits mehrfach beschriebenen Symptome bei meinem Rechner aufgetreten, also:
  1. Andauernde Virenfunde des Trojaners TR/kazy.mekml.1 (ich nutze AntiVir)
  2. schwarzer Bildschirmhintergrund
  3. "versteckte" Userdateien
  4. ominöse Fehlermeldungen bzgl. Festplatten oder RAM-Fehlern des "Windows SecurityAlert"
  5. "Windows Restore" scannt und bietet Reparatur an
Die Sache mit Restore kam mir gleich verdächtig vor, so dass ich erstmal den Stecker gezogen habe. Mit Bootvorgängen oder Internet hatte ich bisher keine Probleme.

Was bei mir aber auch von den anderen Beschreibungen abweicht, die ich gelesen habe: All diese Symptome tauchen nur in EINEM Nutzerkonto (Name: Papa) auf! Dieses Konto hat KEINE Admin-Rechte. Anfänglich hat AntiVir in anderen Konten nichteinmal den Trojaner gefunden, erst bei einem Totalscan im Adminkonto, während auch das betroffene Nutzerkonto aktiv war! Entfernversuche waren zunächst nicht erfolgreich.

Ich habe bisher die Schritte durchgeführt, die unter
http://www.trojaner-board.de/97186-w...entfernen.html
beschrieben sind, also
rkill mehrfach ausgeführt - auch hier ist zu bemerken, dass die zuvor gemeldete Datei nur gefunden wurde, als das betroffene Nutzerkonto abenfalls aktiv war!
Mit Anti-Malware einen Vollständigen Scan durchgeführt und alle gefundenen Dinge entfernen lassen
sowie mit unhide die versteckten Dateien zurück ans Licht geholt.

Hier das Log von Anti-Malware:
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6440

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.04.2011 16:06:07
mbam-log-2011-04-25 (16-06-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 478628
Laufzeit: 1 Stunde(n), 34 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\Papa\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\18603828.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\ynnafliceexu.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\lokale einstellungen\Temp\-213E8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\lokale einstellungen\Temp\tmp45.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
d:\Thorsten\Spass\Witzig\alkomat.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
Habe auch wie gefordert nach dem ganzen Prozess und nach unhide nochmal nen Quickscan gemacht - dabei kam folgendes heraus
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6440

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.04.2011 16:55:51
mbam-log-2011-04-25 (16-55-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 232582
Laufzeit: 11 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Da ihr ja so schön schreibt, man könne trotzdem nicht sicher sein, ob alles sauber sei, habe ich mich registriert und euch diesen Roman verfasst ;-) .
Ich hoffe ihr könnt damit etwas anfangen, und mir sagen ob ggf. noch etwas zu tun ist.

Schonmal Danke! Super Forum hier!!!

Alt 26.04.2011, 18:27   #2
markusg
/// Malware-holic
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________

__________________

Alt 27.04.2011, 12:29   #3
wolveheart
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



Soderle....im Anhang gewünschtes Log.

Was mir gerade einfällt: Sollte man die windowseigene Firewall vor dem Scan auch deaktivieren? Fehlermeldungen gab es nicht...
Habe das ganze dann nochmals mit inaktiver WinFirewall gemacht -> das zugehörige log ist COMBOlog2

Bin gespannt, was man da rauslesen kann
__________________

Alt 05.05.2011, 18:01   #4
wolveheart
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



Sag mal: Kann es sein, dass das Autorun des DVD-Laufwerks durch eines der genutzten Programme abgestellt wurde? Es geht seitdem nichtmehr.
Habe auch die Registry gecheckt - dort steht aber der richtige Wert (1 sowie Hexadezimal).

Mir wäre es ja nicht so wichtig - aber die älteren User dieses PCs sind so schwer umzugewöhnen

Alt 05.05.2011, 19:41   #5
markusg
/// Malware-holic
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



sorry hab dich übersehen.
autorun sollte sowieso besser aus sein.
mach doch ne verknüpfung auf den desktop.
kannst du mal Malwarebytes updaten und nen frischen vollständigen scan posten?

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 06.05.2011, 13:26   #6
wolveheart
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



Ja, das mit der Verknüpfung hatte ich mir auch schon überlegt. Danke aber trotzdem.

Hier das Log von Malwarebytes (vollständiger Scan, Firewall aus, AntiVir aus, alle Programme aus, Internet physikalisch getrennt):

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6518

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.05.2011 13:40:28
mbam-log-2011-05-06 (13-40-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 436132
Laufzeit: 1 Stunde(n), 12 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Un nu?

Alt 06.05.2011, 14:22   #7
markusg
/// Malware-holic
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



sieht gut aus.

lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 10.05.2011, 08:48   #8
wolveheart
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



Hallo,
wollte dir nur mal bescheid geben, dass die Liste in Arbeit ist.
Musste noch nen Kollegen fragen, der VPN u.ä. für einen Fernzugriff auf einen Server (und Programme dort) installiert hat - nicht dass wir da irgendwas löschen, was dazu gebraucht wird. Leider hab ich die Liste von ihm noch nicht zurück.
Poste sie sobald ich sie hab.

Ein "Zwischen-Danke" bis dahin!

Alt 10.05.2011, 09:13   #9
markusg
/// Malware-holic
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



kein problem :-)
kann gut sein das ihr vpn benötigt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.05.2011, 18:49   #10
wolveheart
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



Soderle,
folgendes:
Mein Kollege (Informatiker und Systemadmin von Beruf) war hier und hat den Rechner über eine bootfähige Linux-Desinfektions-DVD quasi "von außen" durchgesucht. Es wurden keinerlei Infektionen o.ä. mehr angezeigt.
Wir haben also gut gearbeitet
Natürlich hab ich ihn nicht nach der Liste gefragt (war ja klar)
Sollen wir das noch weiterverfolgen?

Alt 14.05.2011, 18:51   #11
markusg
/// Malware-holic
 
TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Standard

TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?



naja, wir können den pc zumindest noch absichern, die liste kannst du auch später durcharbeiten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?
fehlermeldungen, nicht sicher, rojaner gefunden, super, tr/katzy.mekml.1, trojan.agent, trojan.fakealert, trojan.fakeav, trojaner gefunden, unhide, windows restore




Ähnliche Themen: TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?


  1. Windows Vista: Kazy.mekml.1 , Festplattenschaden, Dateien weg
    Log-Analyse und Auswertung - 01.12.2013 (25)
  2. TR/Kazy.mekml.1 (Windows System alert + schwarzer Desktop)
    Log-Analyse und Auswertung - 23.05.2011 (1)
  3. Habe/Hatte Problem mit Virus Kazy.mekml, Windows NEU aufspielen?
    Log-Analyse und Auswertung - 17.05.2011 (7)
  4. TR/Kazy.mekml.1 ; 'TR/FakeSysdef.A.621 ; 'TR/Kazy.22847'..
    Log-Analyse und Auswertung - 15.05.2011 (33)
  5. TR/Kazy.mekml.1 --> ist wirklich alles wieder in ordnung?
    Log-Analyse und Auswertung - 05.05.2011 (16)
  6. Kazy.mekml.1 auf Windows XP!
    Plagegeister aller Art und deren Bekämpfung - 04.05.2011 (8)
  7. TR/Kazy.mekml.1 ... SOS
    Plagegeister aller Art und deren Bekämpfung - 30.04.2011 (34)
  8. Windows Recovery? TR/Kazy.mekml.1 eingefangen laut AntiVir!
    Log-Analyse und Auswertung - 30.04.2011 (6)
  9. Tr/Kazy.mekml.1 Windows-Recovery
    Log-Analyse und Auswertung - 29.04.2011 (20)
  10. Windows Securtiy Alert. Virus. Festplatte beschädigt. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (8)
  11. TR/kazy.mekml.1...was nun?
    Log-Analyse und Auswertung - 28.04.2011 (10)
  12. TR/kazmy.mekml.1 und ich bin wirklich mit meinem Latein am Ende
    Plagegeister aller Art und deren Bekämpfung - 27.04.2011 (1)
  13. Trojanisches Pferd Kazy mekml 1 ( Windows 7 schon neu aufgesetzt) Berechtigungen ?
    Log-Analyse und Auswertung - 27.04.2011 (6)
  14. Trojaner: Kazy.mekml.1. Windows Vista Basic
    Log-Analyse und Auswertung - 25.04.2011 (1)
  15. Osterei: TR/Kazy.mekml.1 und TR/Kazy.20364
    Log-Analyse und Auswertung - 25.04.2011 (1)
  16. tr/kazy.mekml.1 wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 23.04.2011 (11)
  17. TR/kazy.mekml.1 <-- mein Problem hab kein windows 7 oder vista wie andere
    Log-Analyse und Auswertung - 22.04.2011 (4)

Zum Thema TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? - Hallo zusammen, gestern Abend sind die bekannten und hier in den Forembeiträgen bereits mehrfach beschriebenen Symptome bei meinem Rechner aufgetreten, also: Andauernde Virenfunde des Trojaners TR/kazy.mekml.1 (ich nutze AntiVir) schwarzer - TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg?...
Archiv
Du betrachtest: TR/kazy.mekml.1 und Windows Restore: ist es wirklich weg? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.