|
Trojaner TR/Kazy.23836.20 und .10, Desktop schwarz, Festplatte Fehlermeldung etc. Hallo zusammen, ich habe mir vor einem Monat zwei Versionen der Kazy Trojaner eingefangen und war in der Zwischenzeit abwesend. Seitdem ist der Desktop schwarz, ich komme nicht mehr and die Festplatte heran, die Tastatur ist in einer anderen Sprache aber nicht in Franzoesisch obwohl ich in Frankreich bin. Es kamen andauernde Fehlermeldungen bezueglich der SATA Festplatte und ein Windows recovery Fenster mit Meldungen wie 'RAM Temperatur kritisch'. Die Taskleiste erlaubt noch Zugang zu den Programmen und Antivir ist noch aktiv. Letzterer hat die beiden auch entdeckt. TR\Kazy.23836.20 in C:\ProgramData\VcuVoQGfeSxd.exe TR\Kazy.23836.10 in C:\ProgramData\28303120.exe Seitdem kommen nur noch zwei Meldungen. Die erste bezueglich des Catalyst Host Centre: Host application funktioniert nicht mehr. Die zweite bezueglich desktop SMS. Allerdings blieben alle anderen Probleme. Ich habe gesehen dass es gelungen ist anderen Kollegen zu helfen und es wuerde mich freuen wenn ich das mit Eurer Hilfe auch schaffen koennte. Hier ist der defogger Logfile: defogger_disable by jpshortstuff (23.02.10.1) Log created at 12:01 on 25/06/2011 (Frédéric) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Ich haenge auch die OTL logfiles an, in txt format, zip hat nicht funktioniert. Allerdings hat der QuickScan automatisch auf 30Tage umgeschalten als ich ihn ausgefuehrt habe. Ist das ein Problem nachdem ich die Trojaner schon seit mehr als 30 Tagen auf dem Computer habe und wenn ja, wie komme ich um diese 30 Tage Grenze herum? Sonst muss ich wohl eine volle Analyse starten? Vielen Dank im Voraus. |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hallo und vielen Dank fuer die Hilfe. Hier ist der Malwarebytes logfile. Sorry, hat ewig gedauert. Es ist der Einzige ueber den ich verfuege, denn ich entdecke diese Sachen erst. Das einfache Herunterladen von Malwarebytes hat dazu gefuehrt, dass ich meine Symbole auf dem Desktop wieder sehen kann, selbst vor dem Vollscan....der Hintergrund bleibt jedoch schwarz. Malwarebytes bittet mich alle Programme zu schliessen um eine Reinigung vorzunehmen. Kann ich das tun ohne defogger zu re/enablen? Ist alles recht unverstaendlich fur mich und ich moechte nichts falsch machen. Frederic. |
Ja bitte alle Funde entfernen und den Anweisungen von Malwarebytes bitte folgen. |
Hallo, jetzt sind die alten Symbole des Desktop wieder weg und nur die neuen Symbole wie malwarebytes etc. die ich seit dem Problem dort angelegt habe sind sichtbar. ` Die ywei identischen Nachrichten : Catalyst Control Centre: Host Application funktioniert nicht mehr = kommen weiterhin. Genauso die Meldung bezueglich des SMS Desktop: Cant initialize mapi.log. Access to C:\Users\FRDRC~1\AppData\Local\Temp\Mapi.log was denied. Neu ist eine Meldung von Windows: Einige Autostartprogramme wurden geblockt. Wenn man Details nachfragt kommt folgende Meldung: Systemkonfigurationsprogramm, Microsoft Windows. Und darunter: {D1F60 usw.......}. Ich wage es nicht die Ausfuehrung zu gestatten...... Hier ist der letzte logfile von Malwarebytes als Anhang. Ich hoffe Dir sagt dies mehr als mir, Gruesse, Frederic. |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hallo, hier ist der logfile nach dem OTL Fix. Der Rechner musste nicht neu starten. Gruesse, Frederic. ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\autoexec.bat moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b477433-29d5-11df-91ad-001b38b2046a}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5b477433-29d5-11df-91ad-001b38b2046a}\ not found. File D:\APPInst.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0e07dbc-d8d6-11dc-94ea-001b38b2046a}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0e07dbc-d8d6-11dc-94ea-001b38b2046a}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0e07dbc-d8d6-11dc-94ea-001b38b2046a}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0e07dbc-d8d6-11dc-94ea-001b38b2046a}\ not found. File G:\LaunchU3.exe -a not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found. File G:\LaunchU3.exe -a not found. C:\ProgramData\~28303120r moved successfully. C:\ProgramData\~28303120 moved successfully. C:\ProgramData\28303120 moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.24.1 log created on 06262011_205208 |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Hallo, Danke fuer die anhaltende Hilfe. Hier ist der Logfile von TDSS Killer. Unhide hat tatsaechlich wieder alle Symbole sichtbar werden lassen, danke. Der Desktophintergrund bleibt weiterhin schwarz und das Keyboard bleibt in einer anderen Sprache. Ich habe allerdings den Computer seit einiger Zeit nicht mehr neu gestartet. Gruesse, Frederic. |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Guten Morgen, Combofix ist gut abgelaufen abgesehen davon, dass sich der Sreensaver mittendrin aktiviert hat. Das Resultat ist weniger gut. Ich kann weder in das Fenster Systemsteuerung um den Firewall wieder zu aktivieren, noch Windows Explorer, Malwarebytes oder Firefox starten. Bei allen kommt die gleiche Nachricht z.Bsp: C:\ProgramFiles\MozillaFirefox\firefox.exe "Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde" Ich konnte wenigstens Avira Antivir wieder aktivieren aber das update wurde auf Grund eines Fehlers unterbrochen. Der neue USB Stick den ich eingesteckt habe, hat seine Treibersoftware installiert und dann ein Fenster des Windows explorer geöffnet mit dem ich es geschafft habe den logfile herunterzuladen. Bevor ich diesen USB stick hier anstecke möchte ich jedoch fragen ob dies sicher ist oder ob ich damit riskiere diesen Rechner ebenfalls zu infizieren. Sonst kann ich heute Abend den Logfile abtippen, uff..... Bevor ich es vergesse: - Der Rechner arbeitet nun extrem langsam - Der Desktophintergrund bleibt weiterhin schwarz - Alle Symbole bleiben sichtbar - Die Nachrichten bezüglich des SMS Desktop und Catalyst Host Centre sind weg. Gruesse, Frederic. |
Zitat:
|
Danke! Jetzt geht es wieder. Hier ist der ComboFix logfile. Der Desktophintergrund ist weiterhin schwarz und es kommt beim starten wieder die Meldung, dass ein Autostartprogramm geblockt wurde. Systemskonfigurationsprogramm von Windows {D1F60CCB-8329-406E-976F-660B1BDF0D97}. Die Meldungen zum Catalyst Host Centre und SMS Desktop bleiben jetzt weg. Gruesse, Frederic. Code: ComboFix 11-06-28.04 - Frédéric 28/06/2011 23:55:18.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo, GMER ist abgestuerzt, zuerst ganz am Anfang, dann mittendrin. Hier sind die logfiles von OSAM und MBRCheck. Ich kann leider das OSAM logfile nicht in der .log Version anhaengen und die praktische Formattierung geht verloren. Gruesse, Frederic. Code: Report of OSAM: Autorun Manager v5.0.11926.0Code: MBRCheck, version 1.2.3 |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Guten Morgen, nachdem ich nicht weiss wie lange der online scan dauern wird, hier schon mal die logfiles von Malwarebytes und SAS. Keine Ahnung ob ich das tun sollte aber ich habe in meiner Morgenmuedigkeit bei SAS auf saeubern geklickt und den Computer neu gestartet. Abgesehen von meiner Dummheit beunruhigt mich folgendes. - hab das Chaos auf meinem Desktop gesauebert und hab ein Symbol "Windows Vista recovery" entdeckt.......grrrrrrrr - ich kriege weiter beim Neustart die Meldung dass ein Autorunprogramm geblockt wird (immer noch das selbe) mit der Nachfrage ob ich es zulassen will. "Systemskonfigurationsprogramm von Windows {D1F60CCB-8329-406E-976F-660B1BDF0D97}" - Die Veraenderungen des Desktophintergrunds und der Tastatur bleiben Gruesse, Frederic. Code: Malwarebytes' Anti-Malware 1.51.0.1200Code: SUPERAntiSpyware Scan Log |
Zitat:
SASW hat nur harmlose Cookies gefunden. Was ist mit ESET? |
Hallo, hier ist der ESETlog Code: ESETSmartInstaller@High as downloader log:Gruesse, Frederic. |
Ok, keine weiteren Funde. Rechner wieder im Lot? |
Hallo Arne, Desktop und Tastatur sind wieder zurück. Bis auf zwei Fragen scheint alles wieder normal zu sein: - Was soll ich mit der Verknüpfung auf dem Desktop tun? "Windows Vista recovery". Ist das eine legitime Funktion unter Vista? Löschen? - Ich kriege weiter beim Neustart die Meldung der Benutzerkontensteuerung, daß ein Autorunprogramm geblockt wird (immer noch das selbe) mit der Nachfrage ob ich es zulassen will. "Systemskonfigurationsprogramm von Windows {D1F60CCB-8329-406E-976F-660B1BDF0D97}" . Weißt Du worum es sich dabei handelt? Sorry, falls das dumme Fragen sind aber ich kenn mich wirklich zu wenig aus. Grüße, Frédéric. |
Zitat:
Zitat:
Schau doch mal selbst bei msconfig nach. |
Gelöscht! Ich werde auch bei msconfig nachsehen, und Eure weiteren Vorschläge zu Verbesserungen durchforsten. Herrlich, DANKE!!!!!! Super hilfreich, und sehr lehrreich. Bin jetzt etwas weniger blind.... Alles Beste Euch allen! |
Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Vielen Dank für die Hinweise! und für die Geduld.......... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board
