Guten Abend Trojaner-Boardies,

habe mir den "TR/Kazy.mekml.1" eingefangen, welcher auch von AntiVir erkannt wurde.
Habe ihn damit schon des öfteren in die Quarantäne verschoben oder gelöscht. Er kam aber bei jedem Neustart wieder.

Auswirkungen des Trojaners waren das Fake-Windows-Recovery-Schild, welches dazu verleiten sollte ein Update nachzukaufen,
ein Schwarzer Bildschirm auf dem alle Dektop-Symbole nicht mehr angezeigt wurden, sowie fast alle Funktionen & Programme nicht mehr zugreifbar,
und mehrere Fehler-Warnungen, wie z.B...
"Skriptfehler - kein Speicherplatz"
"beschädigter Festplatten-Cluster"
"Bit-Library funktioniert nicht mehr".
Ich konnte noch online gehen & den Internet Explorer nutzen, so dass ich mich wenigstens hier im Board anmelden konnte.

Ich nutze Windows Vista & habe dann mal eure Programme ausgeführt.
Nun erscheint schonmal wenigstens nicht mehr das Windows-Recovery-Schild.
Sonst ist aber noch alles schwarz bzw. versteckt. Sehe bisher auf dem Desktop nur die eben geladenen Programme.

Im folgenden dann die Scans.
Danke schonmal an alle, die diese Scan Proggies zur Verfügung gestellt haben, und an den/diejenigen die mir vielleicht noch weiter helfen wollen zu einem funktionierendem System.

MfG, frank

Ps. muss kurz neustarten, da nach einem Script-Fehler auch die letzten Desktopsysmbole wieder verschwunden sind.
Die Scans folgen gleich nach dem reboot.
Bis gleich..

Edit: Pustekuchen ^^ Nach leichten Neustart-Problemen ist er zwar hochgefahren, aber es ist wieder alles beim alten. Das Windows-Recovery-Schild ist wieder da. Und die Scans leider weg.
Lade die Proggies nun nochmal & wiederhohle die Scans.

Nachdem nun also die Programme der Load.exe - TFC, Erunt, OTC, Gmer - wiederum gehydet wurden & ich keinen Zugriff darauf mehr bekomme. Er lädt sie auch nicht nochmal neu, da sie ja noch "da" sind (vermute ich mal) *gg*
Habe nun die Alternative " Malwarebytes Anti-Malware " versucht.
Das Tool hat auch 13 infizierte Objekte gefunden. Habe diese entfernt & folgend nun die Log-Datei. Hoffe es hilft euch.
Bei weiteren Fragen stehe ich natürlich gerne zur Verfügung.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6391

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

18.04.2011 20:59:47
mbam-log-2011-04-18 (20-59-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147455
Laufzeit: 4 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\KOO9RV9K4Z (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\X3EKEPXJP2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FpoJEykxWu (Trojan.Agent) -> Value: FpoJEykxWu -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\fpojeykxwu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
         

Die Fehler-Meldungen sind jetzt ausgeblieben, sowie auch das Windows-Recovery-Schildchen. Das stimmt mich ja schonmal ein bisschen zuversichtlicher

Der Desktop ist allerdings immer noch schwarz & fast alle Ordner und Programme ebenfalls.

Habe den Malwarebytes-Quick-Scan nochmals zur Kontrolle durchgeführt, und erwartungsgemäß fanden sich keine infizierten Orte mehr.

Hier das 2. Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6391

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

18.04.2011 21:16:41
mbam-log-2011-04-18 (21-16-41).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147769
Laufzeit: 4 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

In anderen Kazy.mekml.1 Threads habe ich schon von der hxxp://download.bleepingcomputer.com/grinler/unhide.exe gelesen.
Wollte aber doch vorher nochmal einen Experten drüber schauen lassen & erfragen, ob dies sinnvoll wäre auszuführen.

MfG, frank

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

Zitat:

Malware versucht die Arbeit mit dem Computer zu erschweren: z.B. wenn Du auf von mir angegebenen Link klickst, kann es sein, dass Du dann automatisch auf eine gefälschte Seite weitergeleitet wirst.
In diesem Fall bitte möglichst sofortige Rückmeldung!

1.

• Lade Dir Unhide.exe (Windows 7 und Vista mit Rechtsklick als Administrator ausführen
• Doppelklick auf das Unhide.exe Icon auf dem Desktop - Alles braucht seine Zeit, also ein bisschen Geduld

<Achtung!>: Wenn Dateien etc, die absichtlich von Dir verborgen waren, also unter eigenschaften versteckt eingestellt hast, musst Du wieder auszublenden, nachdem das Tool ausgeführt wird.

2.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  mbr.exe -t > C:\mbr.log & C:\mbr.log
           

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

4.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

5.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

6.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

7.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

8.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Hallo Coverflow,

danke für Deine Antwort.
Entschuldige bitte, falls ich diesen Leitfaden vorher übersehen haben sollte.

folgend die Resultate der einzelnen Schritte:

1. unhide.exe hat gute Arbeit geleistet. Ordner & Programme sind wieder sichtbar

2. beim Ausführen der Gmer.exe kam es diesmal zu einem Fehler. Ich habe es, wie geraten, nicht noch einmal versucht.
(die Gmer.log von meinem anfänglichen Durchlauf ist nun dank der unhide.exe wieder sichtbar. falls dich diese noch interessieren sollte, kann ich sie gerne posten. genauso natürlich, wie die anderen logs vom Beginn)

3. mbr.log

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.0.6002 Disk: SAMSUNG_ rev.HS10 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86FF71ED]<< 
1 nt!IofCallDriver[0x8247B11B] -> \Device\Harddisk0\DR0[0x8634AAC8]
3 CLASSPNP[0x8B2A38B3] -> nt!IofCallDriver[0x8247B11B] -> \Device\Ide\IAAStorageDevice-1[0x858A1028]
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x84e9f1f8
\Driver\iaStor -> 0x86ff71ed
user & kernel MBR OK 
Warning: possible MBR rootkit infection !
         

4. nachdem ich vormals ja bereits 2 x den Quick-Scan laufen gelassen hatte & da alle infizierten Orte entfernt habe (Logs weiter unten) ergab der "Vollständige Suchlauf" einen weiteren inf. Orte, welchen ich entfernt habe.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6393

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

19.04.2011 05:53:02
mbam-log-2011-04-19 (05-53-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 305569
Laufzeit: 1 Stunde(n), 19 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\aaa50MB\Tools\power_iso_4.3-darkl0rd\Keygen.exe (RiskWare.Tool.HCK) -> Quarantined and deleted successfully.
         

Nach dem geforderten Neustart liess sich der Laptop allerdings nicht neustarten. Habe es deshalb mit der empfohlenen Starthilfe "Samsung Recovery Solution" versucht.
Also der Computer war demnach "unable to start" & Startup Repair versetzte ihn auf eine frühere Einstellung wohl zurück.
Nun sind wieder die Symbole unterm Startmenü, in der Taskleiste, sowie z.b. der C:Programme-Ordner gehyded. Sonst ist aber vieles erreichbar, wenn ich das richtig überblicke.

Ich würde nun die gesamte Prozedur beginnend mit unhide.exe nochmals wiederholen, da ich vermute, dass auch infizierte Sachen widerhergestellt wurden. Bist Du damit einverstanden?
Wenn ja, die GMER nochmal versuchen oder lieber lassen?

MfG, frank

ohje...ohje:
- Das Installieren von Raubkopien ist eine ziemlich sichere Methode, ein Rechner zu infizieren
- Ich beführte dass Du Dein Problem nur lösen kannst, wenn du dein System neu installierst, da geht`s um:

Code: Alles auswählenAufklappen

ATTFilter

power_iso_4.3-darkl0rd\Keygen.exe
         

Wenn Du eine Datei von "der-kleine-Warez-Laden.de" runterlädst, muss Dir bekannt sein, das hier eine Rechtsverletzung vorliegen muss und die Dateien nicht gerade 100%ig legal sind! Ausserdem die angebotenen Programme enthalten alle Arten von Malware & diverse Virencode, die dann den Computer ausschalten bis in die tiefsten Winkel verseuchen können!
Daher würde ich Dir raten dein System besser komplett neu aufzusetzen und in Zukunft mal dein Konsummuster überdenken
Weil dein Verhalten damit dem deutschen Recht unterliegt, wird den Support an dieser Stelle von unsere Seite aus beendet. Also am besten ist es, Du Sicherst deiner Daten und machst eine komplette Neuinstallation des Rechners, das ist der schnellste und sauberste lösung!
Aber wenigstens hast Du dann nach einer Neuinstallation wieder ein sauberes System und hoffentlich hast Du was draus gelernt und in Zukunft lässt die Finger von...
-> Forumregel:- Cracks, Keygens und andere illegale Software

Zitat:

Sinn & Zweck der Sache - Viren Trojaner Würmer:
Ein Wurm, der fast als "guter Wurm" bezeichnet werden kann, zieht durch
das Netz und verbeitet sich über die File-Sharing Netzwerke BearShare, KaZaA
eMule & Co
Der Wurm besitzt unzählige verschiedene Namen bekannter Cracks oder
Keygeneratoren zur illegalen Benutzung von kommerzieller Software. Wer gezielt
nach solchen Dateien sucht, könnte also durchaus auch auf eine Wurmkopie
treffen.

Alles klar. Danke trotzdem vielmals.
Werde es mit der Neuinstallation versuchen.
Schöne Woche dir noch.

MfG, frank

wie Du siehst, ist diese Vorgehensweise nicht mal überlegenswert!

alles Gute!