| |
| |||||||
Log-Analyse und Auswertung: Da bin ich jetzt auch dabei: TR/Kazy.mekml.1Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
23.04.2011, 21:01
| #1 |
| |  Da bin ich jetzt auch dabei: TR/Kazy.mekml.1 Hallo liebes Board, auch mich hat "dieses fiese kleine Ding heute erwischt." Symptome: kein Zugriff mehr auf eigene Dateien möglich, Desktop schwarz, Icons fast alle weg Meldungen: kritischer Fehler der Festplatte, Windows findet keinen Speicherplatz auf der Festplatte Wie in den Anleitungen des Boards beschrieben, habe ich die Logdateien mit OTL und Anti-Malware Malwarebytes erstellt und diesem Post angehängt. Vielen Dank schon jetzt für die Hilfe. Ein großes Lob für Euer Engagement!  LG J.R. |
|
25.04.2011, 15:28
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Da bin ich jetzt auch dabei: TR/Kazy.mekml.1 Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Code:
ATTFilter :OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 142.150.238.13:3124
FF - prefs.js..browser.startup.homepage: "http://start.icq.com/"
FF - prefs.js..network.proxy.http: "83.218.161.211"
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.type: 1
O2 - BHO: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - No CLSID value found.
O3 - HKLM\..\Toolbar: (My Search Bar) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (My Search)
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (My Search Bar) - {014DA6C9-189F-421A-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (My Search)
O3 - HKCU\..\Toolbar\WebBrowser: (My Search Bar) - {014DA6C9-189F-421A-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (My Search)
O4 - HKLM..\Run: [] File not found
O2 - BHO: (My Search BHO) - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (My Search)
O4 - HKCU..\Run: [cScfTJCXTA] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cScfTJCXTA.exe (WinTrust)
O4 - HKCU..\Run: [ICQ] File not found
O4 - HKLM..\Run: [farstone] File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.08.29 15:06:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\Shell - "" = AutoRun
O33 - MountPoints2\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nvda\nvda.exe
O33 - MountPoints2\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\Shell\nvda\command - "" = nvda\nvda.exe
O33 - MountPoints2\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\Shell - "" = AutoRun
O33 - MountPoints2\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
[2011.04.23 15:06:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jenny Rose\Startmenü\Programme\Windows Recovery
[2011.04.23 14:54:40 | 000,569,344 | ---- | C] (WinTrust) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cScfTJCXTA.exe
[2011.04.23 18:09:09 | 000,000,073 | -HS- | M] () -- C:\cj.ini
[2011.04.23 18:09:02 | 000,000,136 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19521332r
[2011.04.23 18:09:02 | 000,000,120 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19521332
[2011.04.23 18:08:46 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19521332
[2011.04.23 15:08:18 | 000,000,136 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~21159732r
[2011.04.23 15:08:17 | 000,000,120 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~21159732
[2011.04.23 15:06:36 | 000,000,823 | ---- | C] () -- C:\Dokumente und Einstellungen\Jenny Rose\Desktop\Windows Recovery.lnk
[2011.04.23 15:06:28 | 000,000,336 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\21159732
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ |
|
25.04.2011, 19:23
| #3 |
| | Da bin ich jetzt auch dabei: TR/Kazy.mekml.1 Vielen Dank!
__________________Habe Deine Anweisungen ausgeführt, hier das Logfile: Code:
ATTFilter All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "hxxp://start.icq.com/" removed from browser.startup.homepage
Prefs.js: "83.218.161.211" removed from network.proxy.http
Prefs.js: 80 removed from network.proxy.http_port
Prefs.js: 1 removed from network.proxy.type
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bd0e4d83-654e-4213-965b-fcbe887061f4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bd0e4d83-654e-4213-965b-fcbe887061f4}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{014DA6C9-189F-421a-88CD-07CFE51CFF10} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10}\ not found.
File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{014DA6C9-189F-421A-88CD-07CFE51CFF10} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{014DA6C9-189F-421A-88CD-07CFE51CFF10}\ not found.
File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{014DA6C9-189F-421A-88CD-07CFE51CFF10} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{014DA6C9-189F-421A-88CD-07CFE51CFF10}\ not found.
File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{014DA6C1-189F-421a-88CD-07CFE51CFF10}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{014DA6C1-189F-421a-88CD-07CFE51CFF10}\ not found.
File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cScfTJCXTA not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cScfTJCXTA.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ICQ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\farstone deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nvda\nvda.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4d26f1de-9ab9-11de-bc47-00137730b5d2}\ not found.
File nvda\nvda.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b98ce14d-3f3d-11e0-bfd7-00137730b5d2}\ not found.
File E:\LaunchU3.exe -a not found.
Folder C:\Dokumente und Einstellungen\Jenny Rose\Startmenü\Programme\Windows Recovery\ not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cScfTJCXTA.exe not found.
C:\cj.ini moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19521332r moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~19521332 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19521332 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~21159732r moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~21159732 moved successfully.
File C:\Dokumente und Einstellungen\Jenny Rose\Desktop\Windows Recovery.lnk not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\21159732 moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
|
|
25.04.2011, 20:43
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Da bin ich jetzt auch dabei: TR/Kazy.mekml.1 Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Da bin ich jetzt auch dabei: TR/Kazy.mekml.1 |
| anleitungen, anti-malware, board, boards, dateien, desktop, eigene dateien, erstell, erstellt, fehler, festplatte, fiese, großes, heute, icons, kein zugriff, kleine, kritischer, kritischer fehler, logdateien, malwarebytes, platte, schwarz, speicherplatz, windows, zugriff |
Linear-Darstellung
