| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Kazy.mekml.1' [trojan] / daten wegWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.05.2011, 18:17
| #11 | |
| /// Malwareteam / Visitor  | ![TR/Kazy.mekml.1' [trojan] / daten weg - Standard](images/icons/icon1.gif){kind=icon} TR/Kazy.mekml.1' [trojan] / daten weg Hallo claudi, die folgenden Punkte unbedingt in der vorgegebenen Reihenfolge abarbeiten. Berichte mir zu jedem Punkt, dass Du ihn erledigt hast. Stoppe und frage, wenn etwas nicht funktioniert. ===== Punkt 1 ===== Zitat:
Benutzerkontensteuerung deaktivieren: Start => msconfig (unten reinschreiben) => ENTER Es öffnet sich das Fenster Systemkonfiguration. Reiter "Tools" => suchen nach: Benutzerkontensteuerung deaktivieren => starten => ok Rechner neu starten. Nun sollte es Dir möglich sein, die Minidumps zu zippen. ===== Punkt 2 ===== Sind Limewire und Bearshare noch installiert? Falls ja, bitte über Systemsteuerung => Programme deinstallieren, denn es gehört in die Kategorie P2P-Filesharing. Durch Filesharing werden oft Schädlinge aufs System geholt. Außerdem deinstallieren: "DVDVideoSoft Toolbar" = DVDVideoSoft Toolbar Im Firefox unter den Addons entfernen Bearshare Ask.com-Toolbar Conduit-Toolbar ===== Punkt 3 ===== Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken. Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen. Wenn das Ergebnis vorliegt, markiere alles von File name: bis einschließlich SHA256: und kopiere das Ergebnis hier in den Thread. Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen! Code:
ATTFilter C:\Windows\System32\iprip.dll
===== Punkt 4 ===== Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL
IE - HKLM\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll (Conduit Ltd.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
IE - HKCU\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
[2009.02.22 07:57:26 | 000,000,681 | ---- | M] () -- C:\Users\claudi\AppData\Roaming\Mozilla\Firefox\Profiles\r120y33r.default\searchplugins\ask.xml
[2010.07.05 22:23:20 | 000,002,385 | ---- | M] () -- C:\Users\claudi\AppData\Roaming\Mozilla\Firefox\Profiles\r120y33r.default\searchplugins\askcom.xml
[2010.04.04 18:02:24 | 000,000,873 | ---- | M] () -- C:\Users\claudi\AppData\Roaming\Mozilla\Firefox\Profiles\r120y33r.default\searchplugins\conduit.xml
[2008.10.18 17:20:28 | 000,000,000 | ---D | M] (BearShare MediaBar) -- C:\Programme\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (DVDVideoSoft Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (DVDVideoSoft Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoft Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Programme\DVDVideoSoft\tbDVDV.dll (Conduit Ltd.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{44F9BED5-CE6E-49AB-AD19-3594A640CA11}"=-
"{492B1CA9-F43C-400D-9998-380586E5D998}"=-
"{879576D7-DAD7-48E4-B8E7-958C671E8BAF}"=-
"{96FDF84E-69D6-4CEA-B2D1-657C6F904C84}"=-
"TCP Query User{225C5713-6EF2-4974-897C-7E9D91F0E99A}C:\program files\bearshare applications\bearshare\bearshare.exe"=-
"TCP Query User{E41548DC-B941-4D5E-BD4B-B9B328F2DBEA}C:\program files\bearshare applications\bearshare\bearshare.exe"=-
"UDP Query User{8BA92DD3-0CAF-48AD-B704-8091A1938664}C:\program files\bearshare applications\bearshare\bearshare.exe"=-
"UDP Query User{A2A1B29C-ED41-4F60-B6EC-A59007B6A386}C:\program files\bearshare applications\bearshare\bearshare.exe"=-
:Files
C:\program files\bearshare applications
c:\program files\limewire
C:\Users\claudi\AppData\Roaming\LimeWire
:Commands
[purity]
[emptytemp]
===== Punkt 5 ===== Du hast offensichtlich Combofix nicht in claudipetra.exe umbenannt, sondern in claudipertra.exe.exe Schauen wir erstmal nach, was sich jetzt in diesen Ordnern befindet. Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden). Download Mirror #1 - Download Mirror #2 User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
__________________ [°¿°] Ciao, Petra |
| Themen zu TR/Kazy.mekml.1' [trojan] / daten weg |
| .exe, aktion, avgntflt.sys, busse, conduit, datei, daten, daten weg, excel.exe, forum, gefunde, google chrome, heute, hoffe, immer wieder, install.exe, intranet, location, loszuwerden, microsoft office word, neues, nvlddmkm.sys, office 2007, oldtimer, picasa, plug-in, presentationhost.exe, programm, saver, sched.exe, searchplugins, security update, shell32.dll, shortcut, sicht, start menu, systems, thema, tr/kazy.mekml.1, troja, trojan, unerwünschtes, unerwünschtes programm, verschwunden, virus, zugriff |
![TR/Kazy.mekml.1' [trojan] / daten weg](iconimages/plagegeister-aller-art-deren-bekaempfung/tr-kazy-mekml-1-trojan-daten-weg_ltr.gif)
Baum-Darstellung