Hallo Trojaner-Board-User.
Seit etwa einer Woche meldet Avira mir das auftauchen von Trojanischen Pferden und da ich mich nur sehr oberflächlich mit einem PC auskenne und mir auch spontan kein Bekannter einfiel, der mir helfen konnte, suche ich jetzt hier nach Hilfe. Den Namen des Virus hab ich schon per Google gesucht, ihn aber nicht gefunden.
Ich habe natürlich zuerst alles gemacht, was hier stand: http://www.trojaner-board.de/69886-a...-beachten.html
leider kann ich den dritten SChritt dort für 32bit-Systeme nicht durchführen, da der Computer mit Bluescreen abstürzt, wenn ich das Scanporgramm verwende.
DIe logs aus den anderen beiden Programmen hänge ich in den Beitrag an.
Wie schon in der Überschrift erwähnt heißt der Virus "TR/Kazy/48990", es wird aber auch "TR/Kazy/48938.1" gefunden. Als ich zum ersten Mal die Meldung bekam, befand sich der Virus unter "C/Dokumente und Einstellungen/XYZ/Anwendungsdateien/..." und unter "C/Dokumente und Einstellungen/XYZ/Lokale Einstellungen/...". Es gab mehrfach Funde in Unterordnern dieser beiden Pfade. Heute gab es allerdings Funde in dem Pfad "C/System Volume Information/...", den ich nichtmal finden kann, wenn ich ihn im Arbeitsplatz suche.
Da ich zuvor nie mit Voren konfrontiert worden war, hab ich erstmal einen kompletten Scan mit Avira gestartet. Dieser beendet sich jedoch scheinbar völlig wilkürlich irgendwann. Ich habe bisher keinen vollständigen Suchlauf machen können, weil er immer vorzeitig und ohne Meldungen abbricht. Zu diesem Problem gab es im Netz einige Lösungen, aber bisher hat nichts davon geklappt.
Zu guter Letzt will ich noch erwähnen, dass der Virus scheinbar Einfluss auf Mozilla Firefox hat. Es gab einen Fund bei ".../Anwendungsdateien/firefox.exe". Ich habe mich in letzter Zeit oft über seltsame Umleitungen auf falsche Webseiten gewundert. Ich gebe die Adresse oben ein oder klicke bei google auf den Link und lande auf einer völlig anderen Seite. Meist muss ich mehrmals abbrechen und den Link nochmal aufrufen, damit ich dahin komme, wo ich hinwill. Ich weiß nicht, ob es da Zusammenhänge gibt, ich dachte nur ich erwähne es mal.

Ich wäre wirklich sehr dankbar über Antworten bzw jegliche Hilfe. Im Anhang nun die logdateien. Ich musste die log vom Defogger umbenennen, sonst funktioniert der Upload irgendwie nicht.

Gruß Nreyab

hi,

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

hallo markusg
Erstmal danke, dass du mir hilfst
Bevor ich jetzt irgendwas falsch mache: Wie schalte ich Avira aus?
Edit: Ich seh grad, dass in der Anleitung, die du verlinkt hast auch dazu was steht, ich gucks mir selbst an.

rechtsklick auf den schirm, guard deaktivieren, wenn combofix trotzdem meldung anzeigt, mit ok überspringen

Eine Frage hab ich noch bevor ich das ausführe: Da steht, dass ich es als Admin ausführen muss. Ich habe es seit ich weiß, dass ich Viren auf dem Rechner habe, vermieden das Adminpasswort einzugeben aus Angst dem Virus damit irgendwie in die Karten zu spielen. Ist es unbedenklich, ComboFix unter diesen Umständen als Admin auszuführen?

naja, ich denke wenn passwörter geklaut wurden ist das admin passwort deines pcs die geringste sorge die du haben solltest.
aber um näheres zu sagen muss ich mir erst mal n überblick verschaffen.

Ich hab ComboFix benutzt, alle Anweisungen befolgt und bin dann einige Zeit vom Rechner weggeblieben. Grade eben hab ich gucken wollen, ob der Scan beendet ist, mache den Bildschirm wieder an und sehe den Bluescreen, den ich im Startpost schon erwähnt habe. Ich hab ihn mal abfotografiert und in den Anhang gestellt. Das beunruhigt mich jetzt doch irgendwie :/

Schöne Feiertage wünsche ich übrigens!

Edit: Das Bild ist zu groß für den Anhang. Also hab ichs hier hochgeladen: hxxp://www.pic-upload.de/view-12394673/DSCN1201.jpg.html

nutzt du den pc für wichtiges, wie onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges? zb berufliches.

Nein, eigentlich nur für Belangloses.

ok starte mal neu drücke f8, wähle abgesicherter modus mit netzwerk und versuche combofix erneut

sry, dass ich mich jetzt erst wieder melde, ich kam gar nicht an den Rechner^^
Wie kann ich im abgesicherten Modus Avira ausschalten? In der Taskleiste sind dann keine symbole mehr zu sehen und auch im taskmanager konnte ich keinen entsprechenden Prozess finden

dann lass es so, wenn combofix nen fehler anzeigt, auf ok klicken und weiter scannen

Hab den Scan jetzt fertiggestellt und mich nach dem Neustart wieder als eingeschränkter User angemeldet. Jetzt tauchen ununterbrochen Fenster auf und schließen sich wieder, Das geht jetzt schon 10 Minuten so. Ich hab das ganze mal abgefilmt. Leider ist das Video auch wenn es gepackt ist zu groß für den Anhang hier. Ich habs jetzt hier hochgeladen: hxxp://speedy.sh/f5ExP/Video.zip
Wenn du es wo anders hochgeladen haben möchtest, sag mir bescheid!
So wie in dem Video gezeigt, gehts das die ganze zeit weiter.
Ich schreibe von einem anderen Rechner aus, weil ich nicht weiß was da bei dem anderen passiert :/
Edit: Stand jetzt hat sich nix getan es geht so weiter wie in dem video

meld dich als admin an, cf lief auch als admin?

Ja ich hatte das als Amdin durchgeführt. Also nochmal runtergefahren, als Admin eingeloggt und dann tauchte ein Fenster von CF auf, in dem stand ich solle warten, weil ein logfile erstellt wird. Hab ich gemacht, Bildschirm aus, erstmal was anderes gemacht, nach zehn Minuten wiedergekommen und: Der wohlbekannte Bluescreen ist wieder da -.-.
Vlt hätte ich mich im Abgesicherten Modus wieder anmelden sollen? Jedenfalls ist kein logfile zu finden ...