Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner? TR/Kazy.okd? Fehlalarm?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 24.02.2012, 20:09   #1
alexlux
 
Trojaner? TR/Kazy.okd? Fehlalarm? - Standard

Trojaner? TR/Kazy.okd? Fehlalarm?



Hallo,

folgendes Problem:

All meine online-Banking Zugänge bei verschiedenen Kreditinstituten wurden gesperrt wegen des Verdachts auf einen Trojaner-Befall. Angeblich wurden KontoNr. und BankingNr. unverschlüsselt im Internet gefunden.
Auffälligkeiten hatte der PC lediglich folgende:
vor ca. einem Monat wurde von Avira in einer Email der Virus TR/Kazy.okd gefunden. Der Benutzer hat nach dem Avira Log den Zugriff einmal erlaubt, in derselben Sekunde (unklar, wie das möglich ist) den Zugriff verboten.
Das System startete (in der msconfig sichtbar) eine mir verdächtige Datei namens "mixerymemm.exe". Die Datei lag auf dem Pfad: "c:\users\AppData\Roaming\

Die Datei ließ sich nach Deaktivieren des Autostarteintrags und Neustart des Systems problemlos löschen.

Zugleich gab es in der msconfig/Systemstart noch die Anweisung, die Datei "montq.exe" in demselben Verzeichnis zu starten. Diese Datei fehlte jedoch.
Die Registry-Einträge hierzu (Run) habe ich gelöscht.
Scans mit Avira, Malwarebyte, Spybot S & D, Trojan-Remover und Trojan-Hunter waren negativ.

Wäre sehr dankbar, wenn jemand überprüfen könnte, ob das System tatsächlich sauber ist. Gegen einen Fehlalarm bei den Banken spricht, dass 3 Institute die Konten gesperrt haben. Der Rechner ist in einem Netzwerk, die Konten werden aber nur von diesem Rechner abgefragt.

Jetzt die Logs:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_31
Run by user at 19:24:07 on 2012-02-24
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.3325.1982 [GMT 1:00]
.
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
C:\Windows\system32\taskhost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~1\micros~1\office14\URLREDIR.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No File
uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
mRun: [RTHDVCPL] c:\program files\realtek\audio\hda\RtHDVCpl.exe -s
mRun: [NUSB3MON] "c:\program files\renesas electronics\usb 3.0 host controller driver\application\nusb3mon.exe"
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [TrojanScanner] c:\program files\trojan remover\Trjscan.exe /boot
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
IE: An OneNote s&enden - c:\progra~1\micros~1\office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\micros~1\office14\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\program files\microsoft office\office14\ONBttnIE.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\program files\microsoft office\office14\ONBttnIELinkedNotes.dll
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~1\spybot~1\SDHelper.dll
LSP: c:\program files\avira\antivir desktop\avsda.dll
Trusted Zone: hp.com\h20000.www2
Trusted Zone: hp.com\www
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} - hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
TCP: Interfaces\{280EA942-A53D-46B7-9DB1-3FFCDF1CD5E3} : NameServer = 192.168.0.1
TCP: Interfaces\{3782C2A4-5238-4152-B552-5D2BCEA694BB} : DhcpNameServer = 192.168.0.1
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\common files\microsoft shared\office14\MSOXMLMF.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\user\appdata\roaming\mozilla\firefox\profiles\un2nd1xy.default\
FF - plugin: c:\progra~1\micros~1\office14\NPAUTHZ.DLL
FF - plugin: c:\progra~1\micros~1\office14\NPSPWRAP.DLL
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npjp2.dll
.
============= SERVICES / DRIVERS ===============
.
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-7-15 172032]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\avira\antivir desktop\avmailc.exe [2011-7-20 340136]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\avira\antivir desktop\sched.exe [2011-7-20 136360]
R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2011-7-20 269480]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\avira\antivir desktop\avwebgrd.exe [2011-7-20 428200]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-7-20 66616]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\spybot - search & destroy\SDWinSec.exe [2012-2-21 1153368]
R3 amdkmdag;amdkmdag;c:\windows\system32\drivers\atikmdag.sys [2011-7-15 5430272]
R3 amdkmdap;amdkmdap;c:\windows\system32\drivers\atikmpag.sys [2011-7-15 157184]
R3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [2010-11-19 62208]
R3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [2010-11-19 141568]
R3 osppsvc;Office Software Protection Platform;c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000]
R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [2011-7-15 30392]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 athur;Atheros AR9271 Wireless Network Adapter Service;c:\windows\system32\drivers\athur.sys [2010-1-5 1500160]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 62464]
S3 Olympus DVR Service;Olympus DVR Service;c:\program files\common files\olympus shared\devicemanager\olydvrsv.exe [2010-2-26 176128]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2011-7-15 393320]
S3 StorSvc;Speicherdienst;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2010-11-20 52224]
S3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
.
=============== Created Last 30 ================
.
2012-02-24 17:52:22 -------- d-----w- c:\program files\ESET
2012-02-23 14:06:25 -------- d-----w- c:\users\user\appdata\local\Xenocode
2012-02-23 08:40:23 -------- d-----w- c:\users\user\appdata\roaming\Malwarebytes
2012-02-23 08:40:18 -------- d-----w- c:\programdata\Malwarebytes
2012-02-23 08:40:17 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-23 08:40:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-02-22 18:27:33 -------- d-sh--w- C:\$RECYCLE.BIN
2012-02-22 18:27:30 -------- d-----w- c:\users\user\appdata\local\temp
2012-02-22 17:59:55 98816 ----a-w- c:\windows\sed.exe
2012-02-22 17:59:55 518144 ----a-w- c:\windows\SWREG.exe
2012-02-22 17:59:55 256000 ----a-w- c:\windows\PEV.exe
2012-02-22 17:59:55 208896 ----a-w- c:\windows\MBR.exe
2012-02-22 08:38:57 -------- d--h--w- c:\windows\PIF
2012-02-22 08:32:20 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2012-02-22 08:32:20 75264 ----a-w- c:\windows\system32\unacev2.dll
2012-02-22 08:32:20 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2012-02-22 08:32:20 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2012-02-22 08:32:20 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2012-02-22 08:32:18 -------- d-----w- c:\users\user\appdata\roaming\Simply Super Software
2012-02-22 08:32:18 -------- d-----w- c:\programdata\Simply Super Software
2012-02-22 08:32:18 -------- d-----w- c:\program files\Trojan Remover
2012-02-21 13:26:29 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2012-02-21 13:26:29 -------- d-----w- c:\program files\Spybot - Search & Destroy
2012-02-16 12:20:37 690688 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-16 12:20:37 478720 ----a-w- c:\windows\system32\timedate.cpl
2012-02-16 12:20:31 442880 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-16 12:20:30 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-02-09 12:52:25 49152 ------w- c:\windows\Interop.IWshRuntimeLibrary.dll
.
==================== Find3M ====================
.
2012-02-22 19:09:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-22 18:50:32 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-18 12:39:08 662840 ----a-w- c:\windows\rmx.uninstall.exe
2012-01-18 10:04:28 306488 ------w- c:\windows\rmx.deinstallation.exe
2011-12-14 03:04:54 1798656 ----a-w- c:\windows\system32\jscript9.dll
2011-12-14 02:57:18 1127424 ----a-w- c:\windows\system32\wininet.dll
2011-12-14 02:56:58 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-14 02:50:04 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2011-07-20 09:55:40 0 ----a-w- c:\program files\TSRD2AA.tmp
.
============= FINISH: 19:24:44,22 ===============



.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 15.07.2011 12:26:23
System Uptime: 24.02.2012 09:44:20 (10 hours ago)
.
Motherboard: Gigabyte Technology Co., Ltd. | | GA-880GMA-UD2H
Processor: AMD Athlon(tm) II X2 260 Processor | Socket M2 | 3200/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 100 GiB total, 63,165 GiB free.
D: is FIXED (NTFS) - 366 GiB total, 349,013 GiB free.
E: is CDROM ()
Z: is FIXED (NTFS) - 298 GiB total, 5,718 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Realtek PCIe GBE Family Controller
Device ID: PCI\VEN_10EC&DEV_8168&SUBSYS_E0001458&REV_06\4&7F0761B&0&0050
Manufacturer: Realtek
Name: Realtek PCIe GBE Family Controller
PNP Device ID: PCI\VEN_10EC&DEV_8168&SUBSYS_E0001458&REV_06\4&7F0761B&0&0050
Service: RTL8167
.
==== System Restore Points ===================
.
RP73: 22.02.2012 19:00:01 - ComboFix created restore point
RP74: 22.02.2012 19:54:43 - Windows Update
RP75: 22.02.2012 20:09:03 - Installed Java(TM) 6 Update 31
.
==== Installed Programs ======================
.
32 Bit HP CIO Components Installer
7-Zip 9.20
Adobe AIR
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.2) - Deutsch
AMD Drag and Drop Transcoding
AMD USB Filter Driver
Avira AntiVir Premium
Bulk Rename Utility 2.7.1.2
CanoScan Toolbox Ver4.1
Catalyst Control Center - Branding
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
Catalyst Control Center Graphics Previews Vista
Catalyst Control Center HydraVision Full
ccc-core-static
ccc-utility
CCC Help English
D3DX10
DDBAC
Definition update for Microsoft Office 2010 (KB982726)
DictaNet - Philips Pocket Memo
ESET Online Scanner v3
Java Auto Updater
Java(TM) 6 Update 31
Junk Mail filter update
klickTel Telefon- und Branchenbuch Frühjahr 2010
KONICA MINOLTA PageScope Box Operator 3.2.01000
Malwarebytes Anti-Malware Version 1.60.1.1000
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Extended
Microsoft Application Error Reporting
Microsoft Office 2010 Primary Interop Assemblies
Microsoft Office Access MUI (German) 2010
Microsoft Office Excel MUI (German) 2010
Microsoft Office Home and Business 2010
Microsoft Office OneNote MUI (German) 2010
Microsoft Office Outlook Connector
Microsoft Office Outlook MUI (German) 2010
Microsoft Office PowerPoint MUI (German) 2010
Microsoft Office Proof (English) 2010
Microsoft Office Proof (French) 2010
Microsoft Office Proof (German) 2010
Microsoft Office Proof (Italian) 2010
Microsoft Office Proofing (German) 2010
Microsoft Office Publisher MUI (German) 2010
Microsoft Office Shared MUI (German) 2010
Microsoft Office Single Image 2010
Microsoft Office Word MUI (German) 2010
Microsoft Outlook Social Connector Provider for Windows Live Messenger 32-bit
Microsoft Surface Toolkit Runtime for Windows Touch Beta
Microsoft Sync Framework 2.0 Core Components (x86) DEU
Microsoft Sync Framework 2.0 Provider Services (x86) DEU
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Mozilla Firefox 10.0.2 (x86 de)
MSVCRT
PDF-XChange 4
Realtek Ethernet Controller Driver
Realtek HDMI Audio Driver for ATI
Realtek High Definition Audio Driver
Renesas Electronics USB 3.0 Host Controller Driver
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Extended (KB2416472)
Security Update for Microsoft .NET Framework 4 Extended (KB2487367)
Security Update for Microsoft .NET Framework 4 Extended (KB2656351)
Security Update for Microsoft Excel 2010 (KB2523021)
Security Update for Microsoft Office 2010 (KB2289078)
Security Update for Microsoft Office 2010 (KB2289161)
Security Update for Microsoft PowerPoint 2010 (KB2519975)
Security Update for Microsoft Publisher 2010 (KB2409055)
Security Update for Microsoft Word 2010 (KB2345000)
Spybot - Search & Destroy
TextControl 14.0 SP4
Trojan Remover 6.8.2
Update für Microsoft Outlook Social Connector (KB2441641)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2473228)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft .NET Framework 4 Extended (KB2468871)
Update for Microsoft .NET Framework 4 Extended (KB2533523)
Update for Microsoft .NET Framework 4 Extended (KB2600217)
Update for Microsoft Office 2010 (KB2202188)
Update for Microsoft Office 2010 (KB2413186)
Update for Microsoft Office 2010 (KB2494150)
Update for Microsoft Office 2010 (KB2523113)
Update for Microsoft OneNote 2010 (KB2493983)
Update for Microsoft Outlook Social Connector (KB2441641)
Windows Live Communications Platform
Windows Live Essentials
Windows Live ID Sign-in Assistant
Windows Live Installer
Windows Live Mail
Windows Live MIME IFilter
Windows Live Photo Common
Windows Live PIMT Platform
Windows Live SOXE
Windows Live SOXE Definitions
Windows Live UX Platform
Windows Live UX Platform Language Pack
Windows Live Writer
Windows Live Writer Resources
.
==== End Of File ===========================

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-24 19:58:34
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\00000057 WDC_WD50 rev.01.0
Running: l5yxbzlw.exe; Driver: C:\Users\user\AppData\Local\Temp\pfroapog.sys


---- System - GMER 1.0.15 ----

SSDT            91497326                                                                                           ZwCreateSection
SSDT            91497303                                                                                           ZwLoadDriver
SSDT            9149732B                                                                                           ZwSetContextThread
SSDT            91497308                                                                                           ZwSetSystemInformation
SSDT            914972C7                                                                                           ZwTerminateProcess
SSDT            914972C2                                                                                           ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKey + 13D1                                                                      83053369 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                             8308CD52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11F7                                                                83093EAC 4 Bytes  [26, 73, 49, 91]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1313                                                                83093FC8 4 Bytes  [03, 73, 49, 91] {ADD ESI, [EBX+0x49]; XCHG ECX, EAX}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1597                                                                8309424C 4 Bytes  [2B, 73, 49, 91] {SUB ESI, [EBX+0x49]; XCHG ECX, EAX}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 161F                                                                830942D4 4 Bytes  [08, 73, 49, 91] {OR [EBX+0x49], DH; XCHG ECX, EAX}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 166F                                                                83094324 4 Bytes  [C7, 72, 49, 91]
.text           ...                                                                                                
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                           section is writeable [0x91627000, 0x2F786C, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004b                                                                  halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex\Crawls\781@DoneAddingCrawlSeeds  0

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Alt 25.02.2012, 12:27   #2
markusg
/// Malware-holic
 
Trojaner? TR/Kazy.okd? Fehlalarm? - Standard

Trojaner? TR/Kazy.okd? Fehlalarm?



hi,
du siehst ja selbst, wie knapp das war, deswegen folgendes:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________

__________________

Alt 25.02.2012, 13:04   #3
alexlux
 
Trojaner? TR/Kazy.okd? Fehlalarm? - Standard

Trojaner? TR/Kazy.okd? Fehlalarm?



Handwerklich ist eine Neuinstallation kein Problem. Sie ist jedoch mit erheblichen Aufwand verbunden.
Ich tue mir halt schwer damit, wenn - abgesehen von den Meldungen der Banken - aus meiner Sicht (bin kein Laie) kein Befall festzustellen ist.

Was sagen denn Deiner Meinung nach die Logs? Deswegen habe ich ja hier gepostet.
__________________

Alt 25.02.2012, 13:12   #4
markusg
/// Malware-holic
 
Trojaner? TR/Kazy.okd? Fehlalarm? - Standard

Trojaner? TR/Kazy.okd? Fehlalarm?



was heißt abgesehen, muss erst jemand geld von deinem konto abbuchen befor bedarf zum handeln besteht?
überleg mal, wenn mehrere banken dir was gemeldet haben, wie sehr das hätte ins auge gehen können, da ist es besser einmal zeit zu investieren und dann nen vernünftig gesichertes system zu haben + backups.
ich werde dir bei allem natürlich schritt für schritt helfen.
edit:
ums noch mal zu verdeutlichen, jemand hat deine bank informationen gestohlen und evtl. auch weitere daten.
du hattest nur glück, das deine bank(en) aufmerksam waren, sonst hättest du leicht mit geplünderten konten da stehen können.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 25.02.2012, 14:25   #5
alexlux
 
Trojaner? TR/Kazy.okd? Fehlalarm? - Standard

Trojaner? TR/Kazy.okd? Fehlalarm?



Dass eine Neuinstallation das Sicherste wäre, ist mir klar. Des Risikos, das ansonsten existiert, bin ich mir bewusst. Das ist mein Problem.

Ich möchte einfach nur wissen, ob hier noch ein Befall feststellbar ist.


Alt 25.02.2012, 16:08   #6
markusg
/// Malware-holic
 
Trojaner? TR/Kazy.okd? Fehlalarm? - Standard

Trojaner? TR/Kazy.okd? Fehlalarm?



naja, da müsste man halt weiter suchen, aber selbst wenn nicht, bestünde immer noch die möglichkeit das wir etwas nicht finden.
__________________
--> Trojaner? TR/Kazy.okd? Fehlalarm?

Antwort

Themen zu Trojaner? TR/Kazy.okd? Fehlalarm?
4d36e972-e325-11ce-bfc1-08002be10318, acrobat update, antivir, antivir guard, avira, combofix, desktop, document, e-banking, email, error, fehlalarm, firefox, flash player, helper, home, internet, locker, mozilla, netzwerk, olympus, plug-in, problem, realtek, security, super, surface, svchost.exe, system, trojaner, trojaner?, usb, usb 3.0, virus, windows




Ähnliche Themen: Trojaner? TR/Kazy.okd? Fehlalarm?


  1. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2015 (3)
  2. Avira Scan, Trojaner TR/Crypt.ZPACK.50636 gefunden, Fehlalarm oder echter Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 04.12.2014 (17)
  3. Win32/Qhost Trojaner in hosts - ESET Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 25.05.2014 (9)
  4. Trojaner entdeckt TR/ATRAPS.Gen - Fehlalarm Avira Scaner?
    Plagegeister aller Art und deren Bekämpfung - 08.09.2013 (10)
  5. Trojaner TR/ATRAPS.Gen entdeckt // Fehlalarm?
    Log-Analyse und Auswertung - 17.06.2013 (7)
  6. BKA-Trojaner oder nur Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (0)
  7. Java Update -> Trojaner (Fehlalarm?)
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (11)
  8. Avira Virusmeldung - nur ein Fehlalarm? Oder tatsächlich ein Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2011 (58)
  9. Fehlalarm beim angeblichen Samsung-Trojaner
    Nachrichten - 31.03.2011 (0)
  10. Trojaner E-Mail oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 27.03.2011 (5)
  11. Frage Fehlalarm AVG: Trojaner BackDoor.Generic13.Y u.ä. ?
    Diskussionsforum - 11.01.2011 (3)
  12. Antivir meldet Trojaner TR/PSW.LdPi.anqk.75 - Fehlalarm?
    Log-Analyse und Auswertung - 12.07.2010 (4)
  13. virtumonde.dll Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 09.10.2009 (9)
  14. Trojaner oder Fehlalarm? :O
    Log-Analyse und Auswertung - 11.02.2009 (2)
  15. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2008 (1)
  16. Jap Trojaner? Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 23.07.2007 (3)
  17. Trojaner, oder Fehlalarm ?
    Plagegeister aller Art und deren Bekämpfung - 31.05.2005 (4)

Zum Thema Trojaner? TR/Kazy.okd? Fehlalarm? - Hallo, folgendes Problem: All meine online-Banking Zugänge bei verschiedenen Kreditinstituten wurden gesperrt wegen des Verdachts auf einen Trojaner-Befall. Angeblich wurden KontoNr. und BankingNr. unverschlüsselt im Internet gefunden. Auffälligkeiten hatte der - Trojaner? TR/Kazy.okd? Fehlalarm?...
Archiv
Du betrachtest: Trojaner? TR/Kazy.okd? Fehlalarm? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.