Liebe Retter,

auch mein Rechner ist infiziert.
Antivir hat TR/Kazy.mekl.1 identifiziert.
Zudem erscheint die Meldung "WTR Loader funktioniert nicht mehr".
Wie ich dem Forum - bei dem ich Neuling bin - entnehme, ist diese Fragestellung aktuell. Auch bei mir sind großer Teile des Bildschirmes schwarz. Allerdings werden, im Gegensatz zu vielen Leidensgenossen einige Verknüpfungen weiterhin auf dem Desktop angezeigt. Vielleicht durch die 2 Festplatten?


Was ich bisher gemacht habe:
- Malwarebytes Anti-Malware heruntergeladen
- Scan durchgeführt
Wie ihr sehen könnt, habe ich zuerst einen Quick-Scan begonnen, den ich abgebrochen habe, da ja ein Vollständiger Scan gefordert ist. Der kam im Anschluss.
Daher liegen folgende 2 Logfiles vor:
Logfile 1:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6447

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

26.04.2011 13:08:40
mbam-log-2011-04-26 (13-08-40).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 3920
Laufzeit: 1 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
c:\programdata\lntuynxqpryn.exe (Trojan.FakeAlert) -> 2592 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lnTUynXQPRYn (Trojan.FakeAlert) -> Value: lnTUynXQPRYn -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\lntuynxqpryn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.



Logfile 2:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6447

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

26.04.2011 16:01:25
mbam-log-2011-04-26 (16-01-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 476832
Laufzeit: 2 Stunde(n), 43 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Der nächste Schritt, den ich nicht übereilt vornehmen möchte, ist nun der Systemscan mit OTL, nicht wahr?

Ich danke euch schon jetzt für euer Feedback und eure Unterstützung.

Grüße,
Frank

Hier nun die beiden OTL-Logfiles als Anhang.

Danke für euer Feedback!

Grüße,
Frank

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Combofix-Log ist erstellt - im Anhang.
Auf dem Desktop sind derweil alle Verknüpfungen wieder sichtbar, die Taskleiste sieht ebenfalls wieder gut aus.

Was sind die nächsten Schritte?

PS: Und danke für Tutorial

lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hallo Markus,

anbei die Liste der installierten Programm.

Danke schon mal für den Support,
Frank

deinstalliere
adobe reader
neue version:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok
deinstaliere.
Bonjour
Canon alle mit unnötig gekennzeichneten
CyberLink beide
Deluxe
EPSON
Galswin alle
Google alle
GUN
von hp behalte: HP Easy Setup HP Imaging Device HP Quick Launch HP QuickTouch und alle von dir als nötig gekennzeichneten, rest weg.
alle java versionen!
Java SE Downloads
klicke auf download jre

kikin
LabelPrint
LightScribe
Microsoft Silverlight
Mozilla Firefox öffnen, hilfe update, version 4 instalieren
My HP
Picasa
Power2Go
PowerDirector
QuickPlay
radio ffn
Shop
Spelling Dictionaries Support
Toolbar fuer eBay
Total Commander
Viewpoint
web'n'walk
Windows Mobile
bereinige mit dem ccleaner.

Hallo Markus,

die letzten Schritte habe ich nach deinen Angaben durchgeführt.
Was folgt jetzt?

Grüße,
Frank

wie läuft das system?
falls gut, möchte ichs mit dir zusammen absichern falls erwünscht

Hallo Markus,
soweit ich das bisher sehen konnte: prima.
Was das absichern angeht: Sehr gerne!

Wie sehen dafür die nächsten Schritte aus?

Grüße,
Frank

erst mal:
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

ich habe avira ja als vollversion gekauft. dennoch die free version einrichten? antivr premium deaktivieren?

Hallo Markus,

leider muss ich noch mal los. Bin gegen 21:15 wieder im Hause, setze mich dann an den Rechner. Ist das ok für dich?
grüße + Danke,
Frank

oder dann halt morgen, ist viel zu tun, hab bald 200 posts voll und is auch ganz schön anstrengend :d also versprechen werd ich nichts.

...wenn es bei mir erst einmal 'safe' ist, dann am Montag.
Aber vorab: Soll ich die Avira Free Version laden oder weiter mit der bezahlten Premium-Version arbeiten? Eigentlich gehe ich davon aus, dass die das drauf hat...

sorry, du kannst die premium nutzen und dann die konfiguration für die free übernehmen, hatte vergessen das du prem. nutzt