Hallöchen,

vor einer Stunde etwa kam vom AntiVir Guard eine Trojanermeldung. Danach ging der Taskmanager nicht, es kam eine medlung, er sei vom Administrator blockiert worden. Ich hab dann auf den Löschenbutton im Antivir geklickt und es war Ruhe. Zur Vorsicht habe ich danach im abgesicherten Modus mit Malwarebytes einen Scan gemacht. Das Programm hat 4 infizierte Objekte gefunden, die es dann nach Abschluss der Suche halt gelöscht hat. (In einem davon kamen Teile von HKEY_LOCAL_MACHINE... vor). Jedenfalls waren nach dem Neustart viele der Desktopicons verschwunden und in der Taskleiste fehlen bei den Programmen auch etliche, allerdings sind die nur dort weg, auf der Festplatte sind sie noch installiert, wenn man unter C:/programme nachsieht, ist noch alles da.

Im Firefox ist das Theme, das ich mit dem Themes-Add On eingestellt hatte, verschwunden. Beim Versuch, das wieder einzustellen, funktioniert nichts, obwohl er sagt, ich müsste den Firefox neustarten, um das Theme wieder einzustellen. Gerade ist er dann ganz abgestürzt, im Taskmanager (der ging nach dem Löschen des Virus wieder) wird Tz0, Tz1 und Tz2 als .exe angezeigt.


Wie kann das denn alles sein, wenn die Viren eigentlich gelöscht wurden?
Bitte helft mir (:

PS: Ich habe keine Windows CD, also kann ich nichts neu installieren!

EDIT: Der Computer brachte außerdem eine Meldung, dass die Festplatte beschädigt sein, und ein Systemneustart nötig wäre. Allerdings stand in der Meldung 'beschadigt'. Mit a.

U P D A T E: Eine Systemwiederherstellung hat auch nicht geholfen.

So, Doppelpost, sorry =)

Laut den Beschreibungen hier könnte es vielleicht das kazy.mekml.1 - Dingen sein, der Desktop war hier auch schwarz, aber wie bei den Icons konnte man den nach entfernen des Virus wieder einstellen. Trotzdem ist der Rest immer noch weg.

Hier der Log von heute.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4849

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

21.04.2011 19:57:54
mbam-log-2011-04-21 (19-57-54).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 164656
Laufzeit: 18 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

---

Nach der Systemwiederherstellung lässt sich das Theme bei Firefox nun wieder einstellen. Wenigstens etwas.

Zitat:

Datenbank Version: 4849
Malwarebytes' Anti-Malware 1.46

Mit dieser alten Version wird das nicht. Du musst auf Version 1.50 updaten, dann die Signaturen auf 6415 oder höher - mach danach einen Vollscan mit Malwarebytes!

Poste alle Logs von Malwarebytes falls mehrere vorhanden sein sollten, auch ältere!

Huhu,

danke für die fixe Antwort, aber ich kann das Programm nicht updaten. oO Dort erscheint jedes Mal eine Fehlermeldung...

'MBAM_ERROR_UPDATING (5, 0, CreateFile)
Zugriff Verweigert'

Und jetzt?

So, ich hab es geschafft das Malwarebytes neu zu installieren und upzudaten. Jetzt wurden noch 9 infizierte Objekte gefunden und gelöscht, danach wurde der PC neugetstartet.

Log...

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6415

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21.04.2011 22:42:12
mbam-log-2011-04-21 (22-42-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 189881
Laufzeit: 18 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\uvewqxceajwf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\Tz0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\Tz2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\Tzz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.

Sry aber ich wollte einen Vollscan sehen.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.

Der Vollscan ist noch am Gange, und währenddessen kam schon wieder zweimal eine Warnung von Antivir vom dem kazy-Teil. Oo Er hat jetzt auch schon zwei inifizierte Objekte gefunden.
Ich poste den Log dann, wenn es in 100 Jahren mal durch ist v.v =)

Andere Log-Datein gibt es nach der Neuinstallation von Malwarebytes nicht mehr.

Hallo,

gestern musste ich den Vollscan abbrechen, weil es sonst bis spät in die Nacht gedauert hätte, heute habe ich es versucht. Nach über einer Stunde und zwei gefundenen infizierten Objekten kam dann ein Bluesceen und der Laptop startete sich neu. Alles geht sonst normal, nur diese zwei Objekte stören mich noch. Ich lasse Malwarebytes noch mal drüberlaufen, aber wenn es wieder abstürzt, was ist dann noch zu machen?

Hey,

mir ist es gelungen noch zwei der vier verbliebenen Biester zu löschen.

Log:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6415

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

23.04.2011 21:05:06
mbam-log-2011-04-23 (21-05-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 53417
Laufzeit: 25 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Schwarz\eigene dateien\ocr\netload.in\asmcaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Schwarz\eigene dateien\router\fritz!box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.


Zwei fehlen noch, nur kurz nach der Aufspürung hängt sich Malwarebytes selber auf. Ich glaube, der iexplorer hat damit etwas zu tun. Mal sehen, einen Versuch ist es noch wert. Ist das dann alles komplett weg?

PS: Wie kommt das in fritzbox? Das haben wir zu Hause gar nicht, sondern die Nachbarn.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Huhu,

also wenn ich versuche OTL zu öffnen, kommt die Meldung von einem Anwendungsfehler. Wie bei allen anderen Programmen auch, egal was ich öffnen will, immer kommt die Meldung und ein Windows Generic Host Process oder so stürzt auch immer ab. Der blaue Balken bei dem auch Start dran ist, ist dann teilwese grau, wie in Win 98, obwohl es ja Win XP ist.

Ich habe mich dazu entschieden, Windows neu zu installieren. Wenn ich die CD erworben habe (die war beim Kauf damals ja nicht dabei), kann ich die dann einfach ins Laufwerk stopfen und der installiert das oder muss man da noch was beachten? (:

Beachte einfach den Artikel zur Neuinstallation von Windows.

Okay, der Artikel ist gut, vielen Dank!

Kann ich die Treiber z.b. von Realtech und einem Pointing Device Driver auch nach der Neuinstallation aus dem Internet herunterladen, oder ist es besser, die vorher schon auf einen USB-Stick zu packen? =)

Bei einem Neuanfang bietet es sich an, auch gleich komplett neue Treiber zu nehmen, also die aktuellsten runterzuladen, sofern es aktuellere gibt.

Hey,

es ist vollbracht mit der Windowsneuistallation =) Allerdings ist jetzt alles total verzogen und verzerrt. Dadurch scheint alle Schritf unscharf. Siehe hxxp://i54.tinypic.com/2lx821x.jpg (Irgendwie tut das mit dem Link als url nicht, btw) oO Das war vorher nicht.

Kann das auch an einem der Treiber liegen? Ich hab hier so einen Intel Graphics Media Accelerator 900 drin, ist das die Grafikkarte? ^^

Die Auflösung scheint richtig zu sein. Hast du den richtigen Treiber installiert? ClearType aktiviert?