Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Kazy.mekml.1' [trojan] / daten weg

TR/Kazy.mekml.1' [trojan] / daten weg


Plagegeister aller Art und deren Bekämpfung: TR/Kazy.mekml.1' [trojan] / daten weg

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 6 1 2 34 Letzte »
Alt 04.05.2011, 15:33   #16
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hallo Petra

Dankeschön das du geschaut hast wegen der recovery-disc allerdings habe ich immer noch etwas hoffnung das es vielleicht gar nicht nötig ist.

AVZ hat diesmal problemlos funktioniert

Hier der logfile
Attention !!! Database was last updated 19.04.2011 it is necessary to update the database (via File - Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.35
Scanning started at 04.05.2011 16:23:54
Database loaded: signatures - 288679, NN profile(s) - 2, malware removal microprograms - 56, signature database released 19.04.2011 22:47
Heuristic microprograms loaded: 388
PVS microprograms loaded: 9
Digital signatures of system files loaded: 272495
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: enabled
Windows version is: 6.0.6002, Service Pack 2 ; AVZ is run with administrator rights
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=137B00)
Kernel ntkrnlpa.exe found in memory at address 82000000
SDT = 82137B00
KiST = 820AC86C (391)
Functions checked: 391, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
Analyzing CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Masking process with PID=456, name = ""
>> PID substitution detected (current PID is=0, real = 456)
Masking process with PID=568, name = ""
>> PID substitution detected (current PID is=0, real = 568)
Masking process with PID=624, name = ""
>> PID substitution detected (current PID is=0, real = 624)
Masking process with PID=1232, name = ""
>> PID substitution detected (current PID is=0, real = 1232)
Masking process with PID=756, name = ""
>> PID substitution detected (current PID is=0, real = 756)
Masking process with PID=1204, name = ""
>> PID substitution detected (current PID is=0, real = 1204)
Masking process with PID=1676, name = ""
>> PID substitution detected (current PID is=0, real = 1676)
Masking process with PID=1844, name = ""
>> PID substitution detected (current PID is=0, real = 1844)
Masking process with PID=1716, name = ""
>> PID substitution detected (current PID is=0, real = 1716)
Masking process with PID=2072, name = ""
>> PID substitution detected (current PID is=0, real = 2072)
Masking process with PID=2096, name = ""
>> PID substitution detected (current PID is=0, real = 2096)
Masking process with PID=2204, name = ""
>> PID substitution detected (current PID is=0, real = 2204)
Masking process with PID=2320, name = ""
>> PID substitution detected (current PID is=0, real = 2320)
Masking process with PID=2344, name = ""
>> PID substitution detected (current PID is=0, real = 2344)
Masking process with PID=2440, name = ""
>> PID substitution detected (current PID is=0, real = 2440)
Masking process with PID=2620, name = ""
>> PID substitution detected (current PID is=0, real = 2620)
Masking process with PID=2872, name = ""
>> PID substitution detected (current PID is=0, real = 2872)
Masking process with PID=2932, name = ""
>> PID substitution detected (current PID is=0, real = 2932)
Masking process with PID=3012, name = ""
>> PID substitution detected (current PID is=0, real = 3012)
Masking process with PID=3020, name = ""
>> PID substitution detected (current PID is=0, real = 3020)
Masking process with PID=3060, name = ""
>> PID substitution detected (current PID is=0, real = 3060)
Masking process with PID=3244, name = ""
>> PID substitution detected (current PID is=0, real = 3244)
Masking process with PID=3300, name = ""
>> PID substitution detected (current PID is=0, real = 3300)
Masking process with PID=3720, name = ""
>> PID substitution detected (current PID is=0, real = 3720)
Masking process with PID=2460, name = ""
>> PID substitution detected (current PID is=0, real = 2460)
Masking process with PID=1376, name = ""
>> PID substitution detected (current PID is=0, real = 1376)
Masking process with PID=872, name = ""
>> PID substitution detected (current PID is=0, real = 872)
Masking process with PID=2872, name = ""
>> PID substitution detected (current PID is=0, real = 2872)
Masking process with PID=820, name = ""
>> PID substitution detected (current PID is=0, real = 820)
Masking process with PID=2864, name = ""
>> PID substitution detected (current PID is=0, real = 2864)
Masking process with PID=3708, name = ""
>> PID substitution detected (current PID is=0, real = 3708)
Masking process with PID=1840, name = ""
>> PID substitution detected (current PID is=0, real = 1840)
Masking process with PID=1856, name = ""
>> PID substitution detected (current PID is=0, real = 1856)
Masking process with PID=3532, name = ""
>> PID substitution detected (current PID is=0, real = 3532)
Searching for masking processes and drivers - complete
1.5 Checking IRP handlers
Driver loaded successfully
Checking - complete
2. Scanning RAM
Number of processes found: 61
Number of modules loaded: 521
Scanning RAM - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Latent DLL loading through AppInit_DLLs suspected: "C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suche)
>> Services: potentially dangerous service allowed: Schedule (Aufgabenplanung)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 582, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 04.05.2011 16:24:32
Time of scanning: 00:00:40
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address hxxp://project911.kaspersky-labs.com/

LG Claudi

Alt 04.05.2011, 16:23   #17
Petra
/// Malwareteam / Visitor
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hallo Claudi,

hat gut geklappt, aber Du hattest die Signaturen nicht aktualisiert.

Zitat:
Attention !!! Database was last updated 19.04.2011 it is necessary to update the database (via File - Database update)
Bitte noch einmal nach Anleitung laufen lassen, aber das hier nicht vergessen:

Im Menü => File => Database Update => Start-Button drücken => OK
__________________

__________________
Alt 04.05.2011, 16:52   #18
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


ohh ok sorry =) werde es gleich nochmal machen
__________________
Alt 05.05.2011, 13:21   #19
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hallo Petra

Ich habe es jetzt nochmal gemacht aber es kommt wieder das hier raus
Attention !!! Database was last updated 19.04.2011 it is necessary to update the database (via File - Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.35
Scanning started at 04.05.2011 18:20:19
Database loaded: signatures - 288679, NN profile(s) - 2, malware removal microprograms - 56, signature database released 19.04.2011 22:47
Heuristic microprograms loaded: 388
PVS microprograms loaded: 9
Digital signatures of system files loaded: 272495
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: enabled
Windows version is: 6.0.6002, Service Pack 2 ; AVZ is run with administrator rights
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=137B00)
Kernel ntkrnlpa.exe found in memory at address 82043000
SDT = 8217AB00
KiST = 820EF86C (391)
Functions checked: 391, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
Analyzing CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Masking process with PID=476, name = ""
>> PID substitution detected (current PID is=0, real = 476)
Masking process with PID=568, name = ""
>> PID substitution detected (current PID is=0, real = 568)
Masking process with PID=624, name = ""
>> PID substitution detected (current PID is=0, real = 624)
Masking process with PID=1216, name = ""
>> PID substitution detected (current PID is=0, real = 1216)
Masking process with PID=1176, name = ""
>> PID substitution detected (current PID is=0, real = 1176)
Masking process with PID=1472, name = ""
>> PID substitution detected (current PID is=0, real = 1472)
Masking process with PID=1712, name = ""
>> PID substitution detected (current PID is=0, real = 1712)
Masking process with PID=904, name = ""
>> PID substitution detected (current PID is=0, real = 904)
Masking process with PID=2064, name = ""
>> PID substitution detected (current PID is=0, real = 2064)
Masking process with PID=2072, name = ""
>> PID substitution detected (current PID is=0, real = 2072)
Masking process with PID=2356, name = ""
>> PID substitution detected (current PID is=0, real = 2356)
Masking process with PID=2392, name = ""
>> PID substitution detected (current PID is=0, real = 2392)
Masking process with PID=2420, name = ""
>> PID substitution detected (current PID is=0, real = 2420)
Masking process with PID=2564, name = ""
>> PID substitution detected (current PID is=0, real = 2564)
Masking process with PID=2608, name = ""
>> PID substitution detected (current PID is=0, real = 2608)
Masking process with PID=2716, name = ""
>> PID substitution detected (current PID is=0, real = 2716)
Masking process with PID=2732, name = ""
>> PID substitution detected (current PID is=0, real = 2732)
Masking process with PID=2752, name = ""
>> PID substitution detected (current PID is=0, real = 2752)
Masking process with PID=2892, name = ""
>> PID substitution detected (current PID is=0, real = 2892)
Masking process with PID=2908, name = ""
>> PID substitution detected (current PID is=0, real = 2908)
Masking process with PID=2944, name = ""
>> PID substitution detected (current PID is=0, real = 2944)
Masking process with PID=3000, name = ""
>> PID substitution detected (current PID is=0, real = 3000)
Masking process with PID=3100, name = ""
>> PID substitution detected (current PID is=0, real = 3100)
Masking process with PID=3204, name = ""
>> PID substitution detected (current PID is=0, real = 3204)
Masking process with PID=3212, name = ""
>> PID substitution detected (current PID is=0, real = 3212)
Masking process with PID=3948, name = ""
>> PID substitution detected (current PID is=0, real = 3948)
Masking process with PID=4064, name = ""
>> PID substitution detected (current PID is=0, real = 4064)
Masking process with PID=4088, name = ""
>> PID substitution detected (current PID is=0, real = 4088)
Masking process with PID=2080, name = ""
>> PID substitution detected (current PID is=0, real = 2080)
Masking process with PID=1436, name = ""
>> PID substitution detected (current PID is=0, real = 1436)
Masking process with PID=3096, name = ""
>> PID substitution detected (current PID is=0, real = 3096)
Masking process with PID=4088, name = ""
>> PID substitution detected (current PID is=0, real = 4088)
Masking process with PID=2588, name = ""
>> PID substitution detected (current PID is=0, real = 2588)
Masking process with PID=2564, name = ""
>> PID substitution detected (current PID is=0, real = 2564)
Masking process with PID=3184, name = ""
>> PID substitution detected (current PID is=0, real = 3184)
Masking process with PID=2936, name = ""
>> PID substitution detected (current PID is=0, real = 2936)
Masking process with PID=3940, name = ""
>> PID substitution detected (current PID is=0, real = 3940)
Masking process with PID=2980, name = ""
>> PID substitution detected (current PID is=0, real = 2980)
Masking process with PID=920, name = ""
>> PID substitution detected (current PID is=0, real = 920)
Masking process with PID=2320, name = ""
>> PID substitution detected (current PID is=0, real = 2320)
Masking process with PID=2076, name = ""
>> PID substitution detected (current PID is=0, real = 2076)
Masking process with PID=3348, name = ""
>> PID substitution detected (current PID is=0, real = 3348)
Masking process with PID=2564, name = ""
>> PID substitution detected (current PID is=0, real = 2564)
Masking process with PID=3168, name = ""
>> PID substitution detected (current PID is=0, real = 3168)
Masking process with PID=1624, name = ""
>> PID substitution detected (current PID is=0, real = 1624)
Masking process with PID=1764, name = ""
>> PID substitution detected (current PID is=0, real = 1764)
Masking process with PID=1804, name = ""
>> PID substitution detected (current PID is=0, real = 1804)
Masking process with PID=2600, name = ""
>> PID substitution detected (current PID is=0, real = 2600)
Masking process with PID=3964, name = ""
>> PID substitution detected (current PID is=0, real = 3964)
Masking process with PID=4052, name = ""
>> PID substitution detected (current PID is=0, real = 4052)
Masking process with PID=3564, name = ""
>> PID substitution detected (current PID is=0, real = 3564)
Masking process with PID=3692, name = ""
>> PID substitution detected (current PID is=0, real = 3692)
Masking process with PID=3132, name = ""
>> PID substitution detected (current PID is=0, real = 3132)
Masking process with PID=3160, name = ""
>> PID substitution detected (current PID is=0, real = 3160)
Masking process with PID=764, name = ""
>> PID substitution detected (current PID is=0, real = 764)
Masking process with PID=2588, name = ""
>> PID substitution detected (current PID is=0, real = 2588)
Masking process with PID=2852, name = ""
>> PID substitution detected (current PID is=0, real = 2852)
Masking process with PID=348, name = ""
>> PID substitution detected (current PID is=0, real = 348)
Masking process with PID=1624, name = ""
>> PID substitution detected (current PID is=0, real = 1624)
Masking process with PID=2264, name = ""
>> PID substitution detected (current PID is=0, real = 2264)
Masking process with PID=2564, name = ""
>> PID substitution detected (current PID is=0, real = 2564)
Masking process with PID=1700, name = ""
>> PID substitution detected (current PID is=0, real = 1700)
Masking process with PID=3348, name = ""
>> PID substitution detected (current PID is=0, real = 3348)
Masking process with PID=4076, name = ""
>> PID substitution detected (current PID is=0, real = 4076)
Masking process with PID=1428, name = ""
>> PID substitution detected (current PID is=0, real = 1428)
Masking process with PID=2932, name = ""
>> PID substitution detected (current PID is=0, real = 2932)
Masking process with PID=240, name = ""
>> PID substitution detected (current PID is=0, real = 240)
Masking process with PID=1488, name = ""
>> PID substitution detected (current PID is=0, real = 1488)
Masking process with PID=1624, name = ""
>> PID substitution detected (current PID is=0, real = 1624)
Masking process with PID=1160, name = ""
>> PID substitution detected (current PID is=0, real = 1160)
Masking process with PID=3504, name = ""
>> PID substitution detected (current PID is=0, real = 3504)
Masking process with PID=1464, name = ""
>> PID substitution detected (current PID is=0, real = 1464)
Masking process with PID=3576, name = ""
>> PID substitution detected (current PID is=0, real = 3576)
Masking process with PID=2204, name = ""
>> PID substitution detected (current PID is=0, real = 2204)
Masking process with PID=2072, name = ""
>> PID substitution detected (current PID is=0, real = 2072)
Masking process with PID=3580, name = ""
>> PID substitution detected (current PID is=0, real = 3580)
Masking process with PID=4004, name = ""
>> PID substitution detected (current PID is=0, real = 4004)
Masking process with PID=2932, name = ""
>> PID substitution detected (current PID is=0, real = 2932)
Masking process with PID=276, name = ""
>> PID substitution detected (current PID is=0, real = 276)
Masking process with PID=2024, name = ""
>> PID substitution detected (current PID is=0, real = 2024)
Masking process with PID=2924, name = ""
>> PID substitution detected (current PID is=0, real = 2924)
Masking process with PID=3692, name = ""
>> PID substitution detected (current PID is=0, real = 3692)
Masking process with PID=3864, name = ""
>> PID substitution detected (current PID is=0, real = 3864)
Masking process with PID=3752, name = ""
>> PID substitution detected (current PID is=0, real = 3752)
Masking process with PID=880, name = ""
>> PID substitution detected (current PID is=0, real = 880)
Masking process with PID=3964, name = ""
>> PID substitution detected (current PID is=0, real = 3964)
Masking process with PID=4008, name = ""
>> PID substitution detected (current PID is=0, real = 4008)
Masking process with PID=2928, name = ""
>> PID substitution detected (current PID is=0, real = 2928)
Masking process with PID=3748, name = ""
>> PID substitution detected (current PID is=0, real = 3748)
Masking process with PID=3268, name = ""
>> PID substitution detected (current PID is=0, real = 3268)
Masking process with PID=1700, name = ""
>> PID substitution detected (current PID is=0, real = 1700)
Masking process with PID=2412, name = ""
>> PID substitution detected (current PID is=0, real = 2412)
Masking process with PID=512, name = ""
>> PID substitution detected (current PID is=0, real = 512)
Masking process with PID=3824, name = ""
>> PID substitution detected (current PID is=0, real = 3824)
Masking process with PID=2896, name = ""
>> PID substitution detected (current PID is=0, real = 2896)
Masking process with PID=3016, name = ""
>> PID substitution detected (current PID is=0, real = 3016)
Masking process with PID=2916, name = ""
>> PID substitution detected (current PID is=0, real = 2916)
Masking process with PID=1112, name = ""
>> PID substitution detected (current PID is=0, real = 1112)
Masking process with PID=3988, name = ""
>> PID substitution detected (current PID is=0, real = 3988)
Masking process with PID=3964, name = ""
>> PID substitution detected (current PID is=0, real = 3964)
Masking process with PID=1536, name = ""
>> PID substitution detected (current PID is=0, real = 1536)
Masking process with PID=3556, name = ""
>> PID substitution detected (current PID is=0, real = 3556)
Masking process with PID=788, name = ""
>> PID substitution detected (current PID is=0, real = 788)
Masking process with PID=1112, name = ""
>> PID substitution detected (current PID is=0, real = 1112)
Masking process with PID=2380, name = ""
>> PID substitution detected (current PID is=0, real = 2380)
Masking process with PID=864, name = ""
>> PID substitution detected (current PID is=0, real = 864)
Masking process with PID=4028, name = ""
>> PID substitution detected (current PID is=0, real = 4028)
Masking process with PID=2924, name = ""
>> PID substitution detected (current PID is=0, real = 2924)
Masking process with PID=3856, name = ""
>> PID substitution detected (current PID is=0, real = 3856)
Masking process with PID=1856, name = ""
>> PID substitution detected (current PID is=0, real = 1856)
Masking process with PID=3580, name = ""
>> PID substitution detected (current PID is=0, real = 3580)
Masking process with PID=3444, name = ""
>> PID substitution detected (current PID is=0, real = 3444)
Masking process with PID=2720, name = ""
>> PID substitution detected (current PID is=0, real = 2720)
Masking process with PID=3000, name = ""
>> PID substitution detected (current PID is=0, real = 3000)
Masking process with PID=1536, name = ""
>> PID substitution detected (current PID is=0, real = 1536)
Masking process with PID=2360, name = ""
>> PID substitution detected (current PID is=0, real = 2360)
Masking process with PID=496, name = ""
>> PID substitution detected (current PID is=0, real = 496)
Masking process with PID=1236, name = ""
>> PID substitution detected (current PID is=0, real = 1236)
Masking process with PID=3556, name = ""
>> PID substitution detected (current PID is=0, real = 3556)
Masking process with PID=3956, name = ""
>> PID substitution detected (current PID is=0, real = 3956)
Masking process with PID=3884, name = ""
>> PID substitution detected (current PID is=0, real = 3884)
Masking process with PID=508, name = ""
>> PID substitution detected (current PID is=0, real = 508)
Masking process with PID=3160, name = ""
>> PID substitution detected (current PID is=0, real = 3160)
Masking process with PID=1584, name = ""
>> PID substitution detected (current PID is=0, real = 1584)
Masking process with PID=492, name = ""
>> PID substitution detected (current PID is=0, real = 492)
Masking process with PID=1616, name = ""
>> PID substitution detected (current PID is=0, real = 1616)
Masking process with PID=1820, name = ""
>> PID substitution detected (current PID is=0, real = 1820)
Masking process with PID=1140, name = ""
>> PID substitution detected (current PID is=0, real = 1140)
Masking process with PID=1104, name = ""
>> PID substitution detected (current PID is=0, real = 1104)
Masking process with PID=628, name = ""
>> PID substitution detected (current PID is=0, real = 628)
Masking process with PID=3160, name = ""
>> PID substitution detected (current PID is=0, real = 3160)
Masking process with PID=2260, name = ""
>> PID substitution detected (current PID is=0, real = 2260)
Masking process with PID=3616, name = ""
>> PID substitution detected (current PID is=0, real = 3616)
Masking process with PID=1572, name = ""
>> PID substitution detected (current PID is=0, real = 1572)
Masking process with PID=3348, name = ""
>> PID substitution detected (current PID is=0, real = 3348)
Masking process with PID=3000, name = ""
>> PID substitution detected (current PID is=0, real = 3000)
Masking process with PID=2380, name = ""
>> PID substitution detected (current PID is=0, real = 2380)
Searching for masking processes and drivers - complete
1.5 Checking IRP handlers
Driver loaded successfully
Checking - complete
2. Scanning RAM
Number of processes found: 61
Number of modules loaded: 523
Scanning RAM - complete
3. Scanning disks
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Documents and Settings\claudi\AppData\Local\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Dokumente und Einstellungen\claudi\AppData\Local\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp
Direct reading: C:\Users\claudi\AppData\Local\Temp\~DF461A.tmp
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Latent DLL loading through AppInit_DLLs suspected: "C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suche)
>> Services: potentially dangerous service allowed: Schedule (Aufgabenplanung)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 35462506, extracted from archives: 1922133, malicious software found 0, suspicions - 0
Scanning finished at 05.05.2011 13:45:07
Time of scanning: 19:24:49
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address hxxp://project911.kaspersky-labs.com/

Obwohl ich database update gedrückt habe. Wenn ich auf AVZPM gehe kann ich allerdings auch nicht mehr auf install extended monitoring driver gehen !!?

Alt 05.05.2011, 19:39   #20
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hallo Petra

Mir hat jemand geraten ich soll AVG Downloaden. Kennst du das ? oder besser gesagt soll ich es machen oder lieber nicht ?

Danke schonmal im voraus =)

LG claudi


Alt 06.05.2011, 10:21   #21
Petra
/// Malwareteam / Visitor
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hallo Claudi,

nein, momentan bitte nicht. Ich habe mir AVZ selbst mal heruntergeladen. Die Signaturen vom 19.04.2011 sind die aktuellsten, insofern sorry für die Umstände. Allerdings ist der neue Bericht umfangreicher und offenbahrt uns doch einige Merkwürdigkeiten auf Deinem System, wenn ich mir die Pfade unter Punkt 3 anschaue :-)

Mache bitte zunächst einmal folgendes:


===== Punkt 1 =====

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, markiere alles von File name: bis einschließlich SHA256: und kopiere das Ergebnis hier in den Thread.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!

Code:
ATTFilter
C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
Beim Navigieren wird dort vermutlich C:\Benutzer stehen.


===== Punkt 2 =====

MBR mit aswMBR von Avast prüfen

Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Klicke Scan, um den Suchlauf zu starten.

Wenn der Scan beendet ist, was mit Scan finished sucessfull! gemeldet wird, klicke Save log, um das Logfile zu speichern.
Poste mir den Inhalt von aswASW.log vom Desktop hier in den Thread.


===== Punkt 3 =====

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf) im abgesicherten Modus

Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter:
Malwarebytes - MajorGeeks.com - BestTechie
  • Anwendbar auf Windows 2000, XP, Vista und Windows 7.
  • Installiere das Programm in den vorgegebenen Pfad.
  • Denke daran, bei Vista und Windows 7 das Programm als Admin zu starten, ansonsten per Doppelklick starten.
  • Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
  • Schließe Malwarebytes' Anti-Malware.

  • Starte den Computer neu in den abgesicherten Modus <= Anleitung.

  • Starte Malwarebytes' Anti-Malware.
  • Aktiviere "Komplett Scan durchführen" => Scan.
  • Wähle alle verfügbaren Laufwerke aus und starte den Scan.
  • Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

  • Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Logdateien" finden.
  • Berichte, wie der Rechner nun läuft.
Hier findest Du eine ausführliche und bebilderte Anleitung.
__________________
--> TR/Kazy.mekml.1' [trojan] / daten weg
Geändert von Petra (06.05.2011 um 10:26 Uhr) Grund: ergänzt

Alt 06.05.2011, 19:45   #22
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hallo Petra

Also ich habe versucht die Datei überprüfung zu machen da kam dann folgende anzeige.
Die folgende Datei kann nicht geöffnet werden

Das Programm mit dem sie diese datei öffnen möchten muss bekant sein damit sie geöffnet werden kann. Diese suche kann automatisch oder online erfolgen.oder sie können manuell ein programm aus der liste der auf dem computer installierten programme auswählen.

-webdienste für die suche nach dem richtigen programm verwenden
-programm aus einer liste installierter programme auswählen.

punkt 2
logfile
aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software
Run date: 2011-05-06 19:39:04
-----------------------------
19:39:04.164 OS Version: Windows 6.0.6002 Service Pack 2
19:39:04.164 Number of processors: 2 586 0x1706
19:39:04.164 ComputerName: CLAUDI-PC UserName: claudi
19:39:04.601 Initialize success
19:39:06.239 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\JRAID1Port3Path0Target0Lun0
19:39:06.239 Disk 0 Vendor: WDC_WD25 Size: 238475MB BusType: 1
19:39:06.239 Disk 1 \Device\Harddisk1\DR1 -> \Device\Scsi\JRAID1Port3Path0Target1Lun0
19:39:06.254 Disk 1 Vendor: WDC_WD25 Size: 238475MB BusType: 1
19:39:06.270 Disk 0 MBR read successfully
19:39:06.270 Disk 0 MBR scan
19:39:06.286 Disk 0 unknown MBR code
19:39:06.286 Disk 0 scanning sectors +488395120
19:39:06.332 Disk 0 scanning C:\Windows\system32\drivers
19:39:11.980 Service scanning
19:39:13.259 Disk 0 trace - called modules:
19:39:13.290 ntkrnlpa.exe CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll jraid.sys ndis.sys Rtlh86.sys rspndr.sys tcpip.sys NETIO.SYS
19:39:13.306 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x867e8788]
19:39:13.306 3 CLASSPNP.SYS[8a7ab8b3] -> nt!IofCallDriver -> \Device\Scsi\JRAID1Port3Path0Target0Lun0[0x85954030]
19:39:13.306 Scan finished successfully
19:39:27.626 Disk 0 MBR has been saved successfully to "C:\Users\claudi\Desktop\MBR.dat"
19:39:27.626 The log file has been saved successfully to "C:\Users\claudi\Desktop\aswMBR.txt"

punkt 3
logfile
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6520
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.6002.18005
06.05.2011 20:35:14
mbam-log-2011-05-06 (20-35-14).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\
Durchsuchte Objekte: 271461
Laufzeit: 37 Minute(n), 10 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Users\claudi\AppData\LocalLow\Sun\Java\deployment\cache\6.0\50\71cca872-5fa36139 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

LG claudi

Alt 07.05.2011, 11:28   #23
Petra
/// Malwareteam / Visitor
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hallo Claudi,

bitte Logfiles in Code-Tags posten und nicht in Table-Tags :-)


===== Punkt 1 =====

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Code:
ATTFilter
:OTL

:Files
C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten
C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp
C:\Documents and Settings\claudi\AppData\Local\Temp\~DF461A.tmp
C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten
C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp
C:\Dokumente und Einstellungen\claudi\AppData\Local\Temp\~DF461A.tmp
C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten
C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp
C:\Users\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp
C:\Users\claudi\AppData\Local\Temp\~DF461A.tmp

:Commands
[purity]
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

===== Punkt 2 =====

Java-Cache leeren

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK


===== Punkt 3 =====

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop,
benenne die Datei unbedingt vor dem Speichern um in claudipetra.exe
nicht woanders hinspeichern, das ist wichtig!

Beachte die ausführliche Original-Anleitung.

Vorbereitung und wichtige Hinweise
  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
  • Liste der zu deaktivierenden Programme.
    Bei Unklarheiten bitte vorher fragen.
  • Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!
__________________
[°¿°] Ciao, Petra

Alt 07.05.2011, 12:31   #24
Petra
/// Malwareteam / Visitor
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


===== Punkt 4 =====

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1 - Download Mirror #2
User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    ATTFilter
    :filefind
netio.sys
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
__________________
[°¿°] Ciao, Petra

Alt 10.05.2011, 17:57   #25
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hi Petra

Otl Logfile
PHP-Code:
All processes killed
========== OTL ==========
========== FILES ==========
File\Folder C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten not found.
File\Folder C:\Documents and Settings\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp not found.
File\Folder C:\Documents and Settings\claudi\AppData\Local\Temp\~DF461A.tmp not found.
File\Folder C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten not found.
File\Folder C:\Dokumente und Einstellungen\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp not found.
File\Folder C:\Dokumente und Einstellungen\claudi\AppData\Local\Temp\~DF461A.tmp not found.
File\Folder C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten not found.
File\Folder C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp not found.
File\Folder C:\Users\claudi\AppData\Local\Anwendungsdaten\Temp\~DF461A.tmp not found.
File\Folder C:\Users\claudi\AppData\Local\Temp\~DF461A.tmp not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
UserAll Users
 
Userclaudi
->Temp folder emptied230535 bytes
->Temporary Internet Files folder emptied959869 bytes
->Java cache emptied0 bytes
->FireFox cache emptied60918716 bytes
->Google Chrome cache emptied0 bytes
->Flash cache emptied1569 bytes
 
User: Default
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
 
User: Default User
->Temp folder emptied0 bytes
->Temporary Internet Files folder emptied0 bytes
 
User: Public
 
%systemdrive% .tmp files removed0 bytes
%systemroot% .tmp files removed0 bytes
%systemroot%\System32 .tmp files removed0 bytes
%systemroot%\System32\drivers .tmp files removed0 bytes
Windows Temp folder emptied9084 bytes
RecycleBin emptied2250599 bytes
 
Total Files Cleaned 61,00 mb
 
 
OTL by OldTimer Version 3.2.22.3 log created on 05102011_184611

Files\Folders moved on Reboot...

Registry entries deleted on Reboot... 

-Java-Cache habe ich gelöscht.

-Combofix hat mal wieder nicht geklappt kam wieder der bluescreen.

Systemlook Logfile
PHP-Code:
SystemLook 04.09.10 by jpshortstuff
Log created at 18:40 on 10/05/2011 by claudi
Administrator Elevation successful

========== filefind ==========

Searching for "netio.sys"
C:\Windows\System32\drivers\netio.sys    --a---- 223208 bytes    [13:47 24/09/2009]    [06:32 11/04/2009063EE4D3CB88A14EAB9901875CEE98B1
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6000.16908_none_54bd3631b81fb89b\netio.sys    --a---- 213592 bytes    [16:42 09/09/2009]    [17:16 14/08/2009325D94481D81B7E909681DE1F6A10CD7
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6000.21108_none_5546ab1ed13d8ba7\netio.sys    --a---- 214104 bytes    [16:42 09/09/2009]    [00:32 16/08/20090F2A50FBFAB153F44363FBCE8B4C87B0
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6000.21175_none_54f7faccd1790339\netio.sys    --a---- 214104 bytes    [00:39 11/02/2010]    [22:29 08/12/20096E6951EBEBD2AA26C4B0DA703EC65F4E
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6000.21226_none_552f0c98d14f8e02\netio.sys    --a---- 213896 bytes    [10:17 14/04/2010]    [14:34 18/02/201086A8E4386531185E78BF265E8C65D262
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6001.18000_none_569b6cd5b54d875f\netio.sys    --a---- 223288 bytes    [02:24 21/01/2008]    [02:24 21/01/2008CB57FEB3288CF6D5CADC6EF0E50718D9
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6001.22188_none_56d68c90cea4d169\netio.sys    --a---- 223288 bytes    [08:00 07/08/2008]    [03:27 28/05/2008C13FA27D4FB26825DB66B1106E762506
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6001.22497_none_56cac20cceadcb78\netio.sys    --a---- 220232 bytes    [16:42 09/09/2009]    [17:01 14/08/20094F8C6400A6FB25ACB56456BD595E2C0C
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6001.22577_none_56e063cace9d90bd\netio.sys    --a---- 220248 bytes    [00:39 11/02/2010]    [20:36 08/12/2009E8E5AB17365DB47587278A3F0EA529DA
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6001.22636_none_570aa516ce7e04c9\netio.sys    --a---- 220040 bytes    [10:17 14/04/2010]    [17:36 18/02/20106405912DA6BB371E397EA66032BA6465
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6001.22713_none_571d45f6ce707e09\netio.sys    --a---- 220040 bytes    [12:04 11/08/2010]    [15:55 16/06/20103EECF49DF340BD573CC2C23628DE0397
C:\Windows\winsxs\x86_microsoft-windows-netio-infrastructure_31bf3856ad364e35_6.0.6002.18005_none_5886e5e1b26f52ab\netio.sys    --a---- 223208 bytes    [13:47 24/09/2009]    [06:32 11/04/2009063EE4D3CB88A14EAB9901875CEE98B1

-= EOF =- 
LG.Claudia

Alt 10.05.2011, 18:14   #26
Petra
/// Malwareteam / Visitor
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Dieses Mal hast Du PHP-Tags benutzt, bitte unbedingt in Code-Tags posten!

ok, dann müssen wir jetzt erstmal versuchen, den MBR in Ordnung zu bringen.

MBR mit aswMBR von Avast wiederherstellen

Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Klicke Scan, um den Suchlauf zu starten.

Wenn der Scan beendet ist, was mit Scan finished sucessfull! angezeigt, klicke auf Fix, um den MBR wiederherzustellen.



Starte anschließend den Rechner neu und versuche erneut, Combofix laufen zu lassen.
__________________
[°¿°] Ciao, Petra

Alt 10.05.2011, 18:43   #27
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


hi Petra.
Ok Hier steht fixMBR. auf das kästchen mit fix kann ich nicht drauf das ist milchig =)

Alt 10.05.2011, 19:45   #28
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Hallo Petra

Ich habe es jetzt noch ein paar mal versucht, aber immer wieder das selbe mit dem bluescreen.
Woran liegt das überhaupt?

Alt 10.05.2011, 20:41   #29
Petra
/// Malwareteam / Visitor
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


dann klicke bitte auf fixMBR.
__________________
[°¿°] Ciao, Petra

Alt 11.05.2011, 14:36   #30
claudi25
 
TR/Kazy.mekml.1' [trojan] / daten weg - Standard

TR/Kazy.mekml.1' [trojan] / daten weg


Ja das habe ich gemacht. Kommt trotzdem der Bluescreen

Antwort
Seite 2 von 6 1 2 34 Letzte »

Themen zu TR/Kazy.mekml.1' [trojan] / daten weg
.exe, aktion, avgntflt.sys, busse, conduit, datei, daten, daten weg, excel.exe, forum, gefunde, google chrome, heute, hoffe, immer wieder, install.exe, intranet, location, loszuwerden, microsoft office word, neues, nvlddmkm.sys, office 2007, oldtimer, picasa, plug-in, presentationhost.exe, programm, saver, sched.exe, searchplugins, security update, shell32.dll, shortcut, sicht, start menu, systems, thema, tr/kazy.mekml.1, troja, trojan, unerwünschtes, unerwünschtes programm, verschwunden, virus, zugriff


« 3 Objekte Trojan.Spyeyes mit Malwarebytes gefunden | Nach Neuaufsetzung des Systems erscheint weiterhin Windows Recovery »


Ähnliche Themen: TR/Kazy.mekml.1' [trojan] / daten weg


  1. noch ein 'TR/Kazy.mekml.1' [trojan]
    Log-Analyse und Auswertung - 24.05.2011 (38)
  2. TR/Kazy.mekml.1' [trojan
    Log-Analyse und Auswertung - 20.05.2011 (21)
  3. tr/kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 17.05.2011 (5)
  4. TR/Kazy.mekml.1 ; 'TR/FakeSysdef.A.621 ; 'TR/Kazy.22847'..
    Log-Analyse und Auswertung - 15.05.2011 (33)
  5. Probleme mit Trojaner (TR/Kazy.mekml.1) alle daten weg !
    Log-Analyse und Auswertung - 11.05.2011 (38)
  6. TR/kazy.mekml.1 mit allen Symtomen (Daten unsichtbar, Festplattenfehler usw.)
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (38)
  7. TR/Kazy.mekml.1
    Log-Analyse und Auswertung - 06.05.2011 (29)
  8. Kazy.mekml.1 auf dem PC und alle Daten sind weg
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (13)
  9. Festplatte beschädigt. Private Daten sind in Gefahr. AntiVir Fund: TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (16)
  10. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (14)
  11. Beschädigte Dateien lassen sich nicht öffnen (zuvor TR/Kazy.mekml.1' [trojan] auf den Pc gehabt)
    Log-Analyse und Auswertung - 28.04.2011 (1)
  12. TR/Kazy.mekml.1, festplatten cluster beschädigt, daten nicht mehr lesbar, schwarzer hintergrund
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (1)
  13. Trojaner Kazy.mekml.1 seit gestern - Daten weg, PC fährt immer runter
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (13)
  14. TR/kazy.mekml.1 mit allen Symtomen (Daten unsichtbar, Festplattenfehler usw.)
    Plagegeister aller Art und deren Bekämpfung - 26.04.2011 (17)
  15. Osterei: TR/Kazy.mekml.1 und TR/Kazy.20364
    Log-Analyse und Auswertung - 25.04.2011 (1)
  16. TR/Kazy.mekml.1' [trojan] / daten weg
    Mülltonne - 24.04.2011 (1)
  17. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 18.04.2011 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Kazy.mekml.1' [trojan] / daten weg - Hallo Petra Dankeschön das du geschaut hast wegen der recovery-disc allerdings habe ich immer noch etwas hoffnung das es vielleicht gar nicht nötig ist. AVZ hat diesmal problemlos funktioniert Hier - TR/Kazy.mekml.1' [trojan] / daten weg...
Archiv
Du betrachtest: TR/Kazy.mekml.1' [trojan] / daten weg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55