Hallo zusammen,
gestern Abend sind die bekannten und hier in den Forembeiträgen bereits mehrfach beschriebenen Symptome bei meinem Rechner aufgetreten, also:
- Andauernde Virenfunde des Trojaners TR/kazy.mekml.1 (ich nutze AntiVir)
- schwarzer Bildschirmhintergrund
- "versteckte" Userdateien
- ominöse Fehlermeldungen bzgl. Festplatten oder RAM-Fehlern des "Windows SecurityAlert"
- "Windows Restore" scannt und bietet Reparatur an
Die Sache mit Restore kam mir gleich verdächtig vor, so dass ich erstmal den Stecker gezogen habe. Mit Bootvorgängen oder Internet hatte ich bisher keine Probleme.
Was bei mir aber auch von den anderen Beschreibungen abweicht, die ich gelesen habe: All diese Symptome tauchen nur in EINEM Nutzerkonto (Name: Papa) auf! Dieses Konto hat KEINE Admin-Rechte. Anfänglich hat AntiVir in anderen Konten nichteinmal den Trojaner gefunden, erst bei einem Totalscan im Adminkonto, während auch das betroffene Nutzerkonto aktiv war! Entfernversuche waren zunächst nicht erfolgreich.
Ich habe bisher die Schritte durchgeführt, die unter
http://www.trojaner-board.de/97186-w...entfernen.html
beschrieben sind, also
rkill mehrfach ausgeführt - auch hier ist zu bemerken, dass die zuvor gemeldete Datei nur gefunden wurde, als das betroffene Nutzerkonto abenfalls aktiv war!
Mit
Anti-Malware einen Vollständigen Scan durchgeführt und alle gefundenen Dinge entfernen lassen
sowie mit
unhide die versteckten Dateien zurück ans Licht geholt.
Hier das Log von Anti-Malware:
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6440
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
25.04.2011 16:06:07
mbam-log-2011-04-25 (16-06-07).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 478628
Laufzeit: 1 Stunde(n), 34 Minute(n), 45 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
c:\dokumente und einstellungen\Papa\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.
Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\18603828.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\ynnafliceexu.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\lokale einstellungen\Temp\-213E8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\lokale einstellungen\Temp\tmp45.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
d:\Thorsten\Spass\Witzig\alkomat.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Papa\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
|
Habe auch wie gefordert nach dem ganzen Prozess und nach
unhide nochmal nen Quickscan gemacht - dabei kam folgendes heraus
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6440
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
25.04.2011 16:55:51
mbam-log-2011-04-25 (16-55-51).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 232582
Laufzeit: 11 Minute(n), 59 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
Da ihr ja so schön schreibt, man könne trotzdem nicht sicher sein, ob alles sauber sei, habe ich mich registriert und euch diesen Roman verfasst ;-) .
Ich hoffe ihr könnt damit etwas anfangen, und mir sagen ob ggf. noch etwas zu tun ist.
Schonmal Danke! Super Forum hier!!!
25.04.2011, 16:07
Baum-Darstellung