|
Trojaner TR/Kazy.23836.20 und .10, Desktop schwarz, Festplatte Fehlermeldung etc. Hallo zusammen, ich habe mir vor einem Monat zwei Versionen der Kazy Trojaner eingefangen und war in der Zwischenzeit abwesend. Seitdem ist der Desktop schwarz, ich komme nicht mehr and die Festplatte heran, die Tastatur ist in einer anderen Sprache aber nicht in Franzoesisch obwohl ich in Frankreich bin. Es kamen andauernde Fehlermeldungen bezueglich der SATA Festplatte und ein Windows recovery Fenster mit Meldungen wie 'RAM Temperatur kritisch'. Die Taskleiste erlaubt noch Zugang zu den Programmen und Antivir ist noch aktiv. Letzterer hat die beiden auch entdeckt. TR\Kazy.23836.20 in C:\ProgramData\VcuVoQGfeSxd.exe TR\Kazy.23836.10 in C:\ProgramData\28303120.exe Seitdem kommen nur noch zwei Meldungen. Die erste bezueglich des Catalyst Host Centre: Host application funktioniert nicht mehr. Die zweite bezueglich desktop SMS. Allerdings blieben alle anderen Probleme. Ich habe gesehen dass es gelungen ist anderen Kollegen zu helfen und es wuerde mich freuen wenn ich das mit Eurer Hilfe auch schaffen koennte. Hier ist der defogger Logfile: defogger_disable by jpshortstuff (23.02.10.1) Log created at 12:01 on 25/06/2011 (Frédéric) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Ich haenge auch die OTL logfiles an, in txt format, zip hat nicht funktioniert. Allerdings hat der QuickScan automatisch auf 30Tage umgeschalten als ich ihn ausgefuehrt habe. Ist das ein Problem nachdem ich die Trojaner schon seit mehr als 30 Tagen auf dem Computer habe und wenn ja, wie komme ich um diese 30 Tage Grenze herum? Sonst muss ich wohl eine volle Analyse starten? Vielen Dank im Voraus. |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hallo und vielen Dank fuer die Hilfe. Hier ist der Malwarebytes logfile. Sorry, hat ewig gedauert. Es ist der Einzige ueber den ich verfuege, denn ich entdecke diese Sachen erst. Das einfache Herunterladen von Malwarebytes hat dazu gefuehrt, dass ich meine Symbole auf dem Desktop wieder sehen kann, selbst vor dem Vollscan....der Hintergrund bleibt jedoch schwarz. Malwarebytes bittet mich alle Programme zu schliessen um eine Reinigung vorzunehmen. Kann ich das tun ohne defogger zu re/enablen? Ist alles recht unverstaendlich fur mich und ich moechte nichts falsch machen. Frederic. |
Ja bitte alle Funde entfernen und den Anweisungen von Malwarebytes bitte folgen. |
Hallo, jetzt sind die alten Symbole des Desktop wieder weg und nur die neuen Symbole wie malwarebytes etc. die ich seit dem Problem dort angelegt habe sind sichtbar. ` Die ywei identischen Nachrichten : Catalyst Control Centre: Host Application funktioniert nicht mehr = kommen weiterhin. Genauso die Meldung bezueglich des SMS Desktop: Cant initialize mapi.log. Access to C:\Users\FRDRC~1\AppData\Local\Temp\Mapi.log was denied. Neu ist eine Meldung von Windows: Einige Autostartprogramme wurden geblockt. Wenn man Details nachfragt kommt folgende Meldung: Systemkonfigurationsprogramm, Microsoft Windows. Und darunter: {D1F60 usw.......}. Ich wage es nicht die Ausfuehrung zu gestatten...... Hier ist der letzte logfile von Malwarebytes als Anhang. Ich hoffe Dir sagt dies mehr als mir, Gruesse, Frederic. |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hallo, hier ist der logfile nach dem OTL Fix. Der Rechner musste nicht neu starten. Gruesse, Frederic. ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\autoexec.bat moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b477433-29d5-11df-91ad-001b38b2046a}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5b477433-29d5-11df-91ad-001b38b2046a}\ not found. File D:\APPInst.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0e07dbc-d8d6-11dc-94ea-001b38b2046a}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0e07dbc-d8d6-11dc-94ea-001b38b2046a}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0e07dbc-d8d6-11dc-94ea-001b38b2046a}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0e07dbc-d8d6-11dc-94ea-001b38b2046a}\ not found. File G:\LaunchU3.exe -a not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found. File G:\LaunchU3.exe -a not found. C:\ProgramData\~28303120r moved successfully. C:\ProgramData\~28303120 moved successfully. C:\ProgramData\28303120 moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.24.1 log created on 06262011_205208 |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Hallo, Danke fuer die anhaltende Hilfe. Hier ist der Logfile von TDSS Killer. Unhide hat tatsaechlich wieder alle Symbole sichtbar werden lassen, danke. Der Desktophintergrund bleibt weiterhin schwarz und das Keyboard bleibt in einer anderen Sprache. Ich habe allerdings den Computer seit einiger Zeit nicht mehr neu gestartet. Gruesse, Frederic. |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Guten Morgen, Combofix ist gut abgelaufen abgesehen davon, dass sich der Sreensaver mittendrin aktiviert hat. Das Resultat ist weniger gut. Ich kann weder in das Fenster Systemsteuerung um den Firewall wieder zu aktivieren, noch Windows Explorer, Malwarebytes oder Firefox starten. Bei allen kommt die gleiche Nachricht z.Bsp: C:\ProgramFiles\MozillaFirefox\firefox.exe "Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde" Ich konnte wenigstens Avira Antivir wieder aktivieren aber das update wurde auf Grund eines Fehlers unterbrochen. Der neue USB Stick den ich eingesteckt habe, hat seine Treibersoftware installiert und dann ein Fenster des Windows explorer geöffnet mit dem ich es geschafft habe den logfile herunterzuladen. Bevor ich diesen USB stick hier anstecke möchte ich jedoch fragen ob dies sicher ist oder ob ich damit riskiere diesen Rechner ebenfalls zu infizieren. Sonst kann ich heute Abend den Logfile abtippen, uff..... Bevor ich es vergesse: - Der Rechner arbeitet nun extrem langsam - Der Desktophintergrund bleibt weiterhin schwarz - Alle Symbole bleiben sichtbar - Die Nachrichten bezüglich des SMS Desktop und Catalyst Host Centre sind weg. Gruesse, Frederic. |
Zitat:
|
Danke! Jetzt geht es wieder. Hier ist der ComboFix logfile. Der Desktophintergrund ist weiterhin schwarz und es kommt beim starten wieder die Meldung, dass ein Autostartprogramm geblockt wurde. Systemskonfigurationsprogramm von Windows {D1F60CCB-8329-406E-976F-660B1BDF0D97}. Die Meldungen zum Catalyst Host Centre und SMS Desktop bleiben jetzt weg. Gruesse, Frederic. Code: ComboFix 11-06-28.04 - Frédéric 28/06/2011 23:55:18.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo, GMER ist abgestuerzt, zuerst ganz am Anfang, dann mittendrin. Hier sind die logfiles von OSAM und MBRCheck. Ich kann leider das OSAM logfile nicht in der .log Version anhaengen und die praktische Formattierung geht verloren. Gruesse, Frederic. Code: Report of OSAM: Autorun Manager v5.0.11926.0Code: MBRCheck, version 1.2.3 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board