|
TR/kazy.mekml.1 Befall Hallo liebes Forum, ich habe mir den Trojaner TR/kazy.mekml.1 eingefangen. Symptome: Schwarzer Bildschirm Alle Icons weg bis auf Papierkorb Warnmeldungen von Avira Warnmeldung Festplatte defekt Wenn ich alle meldungen wegklicke dann fährt das system automatisch neu hoch. Avira gibt an eine Malware gefunden zu haben in C:\Dokumente und Einstellungen\...\18079540.exe OTL Scan habe ich gemacht. Könnt ihr mir helfen? Vielen Dank für euer Engagement. Viele Grüße EXbizz |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL :Files C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sFGtypQnwU.exe :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. lade unhide: http://filepony.de/download-unhide/ doppelklicken, dateien werden sichtbar öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
Hier das Ergebnis: All processes killed ========== OTL ========== ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sFGtypQnwU.exe not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User User: Flo ->Flash cache emptied: 46233 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Flo ->Temp folder emptied: 3880453133 bytes ->Temporary Internet Files folder emptied: 233450721 bytes ->Java cache emptied: 55301680 bytes ->FireFox cache emptied: 49009016 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 1445449 bytes %systemdrive% .tmp files removed: 159802362 bytes %systemroot% .tmp files removed: 2484123 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 58360794 bytes RecycleBin emptied: 171920721 bytes Total Files Cleaned = 4.399,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 04262011_192436 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\ZLT05293.TMP not found! File\Folder C:\WINDOWS\temp\ZLT06b3a.TMP not found! Registry entries deleted on Reboot... Ich kann das unhide nicht laden. Dann kommt nur ein leeres Tab. |
erst mal bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Combo Fix erstellt. Aktueller Stand des Systems: Meine Icons auf dem Desktop sind wieder erschienen. Habe nun ein Hintergrundbild, welches ich vor einem Halben Jahr hatte. Außerdem hat Combofix ein paar alte Worddateien wieder hergestellt. Hier die Logdatei von Combo Fix: Code: ComboFix 11-04-25.01 - Flo 26.04.2011 22:25:33.1.1 - x86 |
- servicepack3: Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler - automatische updates so konfigurieren, das sie automatisch geladen/instaliert werden: Das Konfigurieren und Verwenden von automatischen Updates in Windows XP melden wenn fertig. |
SP 3 installiert und auf automatisch gesetzt. |
lade den ccleaner slim: Piriform - Builds falls der ccleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
So hier die Liste: Code: Adobe Download Manager NOS Microsystems Ltd. 1.6.2.100 unnötig |
deinstalliere Adobe Download Manager adobe reader neue version: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken. unter update, auf instalieren stellen. klicke übernehmen /ok deinstaliere. Adobe Shockwave Audacity Bonjour MAXqda Google beide iTunes Apple - iTunes - iTunes jetzt laden neueste version J2SE und alle java versionen klicke download jre Java SE Downloads MuVo Nokia PC Connectivity RAW ZoneAlarm kann man drauf verzichten, ist nicht nötig und sinnvoll bereinige mit dem ccleaner |
Habe alles erledigt.Der Rechner läuft wie eine eins. Fährt doppelt so schnell hoch wie vorher. Gehts noch weiter? Wenn nein: Wie kann ich dafür sorgen dass es so bleibt? Hab gesehen wieviel Trash ich auf dem Rechner hatte. (Siehe Log Datei nach dem OTL Prozess) Würde das gerne in Zukunft selbst gerne so halten regelmäßig den Müll runter zu tragen. Welches Programm eignet sich dem am besten? (der CCleaner?) Wenn ja: wie gehts weiter? Grüße |
na einfach programme die man nicht will gleich runter haun ist n anfang. wir sichern das system noch ab dabei wirds vllt noch n bissel schneller, mal schauen. avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig. den update auftrag auf 1x pro tag einstellen. und "nachhohlen falls zeit überschritten" auswählen klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Anivir Konfiguriert und durchlaufen lassen. Was mache ich mit dem OTL Ordner in C: ?? Hier der Log: Code: Der Suchlauf über gestartete Prozesse wird begonnen: |
kommt später weg. warum ist das avira log nicht komplett. |
Jetzt der Fall? Code: |
gut. start ausführen msconfig enter autostart überall haken raus, außer bei avgnt (avira. klicke ok, neustarten. dienste konfigurieren: Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de download link ist hier http://ntsvcfg.de/svc2kxp.zip lies den abschnitt über die svc2kxp.md du solltest die methode 3 wählen, diese ist die sicherste. je weniger dienste der pc nach außen anbietet, desto besser. automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach. start ausführen services.msc suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch das selbe gilt für die windows firewall. starte dann noch mal neu, teste alle angeschlossenen geräte /programme, bei problemen nutze die restore funktion dieses tools. melde dich, wenn das erledigt ist, dann möchte ich mit dir zusammen den pc absichern. |
Bis msconfig hat alles geklappt. In dem Fenster das dann aufgegangen ist gabs kein autostart. Ich habe dann bei systemstart alle häkchen wegggemacht bis auf avgnt. Nach dem neustart kam das Fenster systemkonfiguration wieder. Dort war dann Benutzerdefinierter Systemstart angekreuzt. Ist das korrekt so? Kann ich weiter machen? |
du kannst doch dann anhaken diese meldung nicht mehr anzeigen beim nächsten start dann dürfte das fenster nicht mehr kommen, probier das mal |
Das habe ich nicht gefunden. Wenn ich neu hoch fahre kommt das Fenster Systemkonfiguration. Klicke ich anschließend ok, will er neu hochfahren. |
verstehe ich nicht, hast du noch was anderes geendert in diesem fenster außer das was ich geschrieben hab, dann dürfte das nicht passieren. |
Ich habe auf start geklickt. Dann ausführen. Dann msconfig eingegeben. Dann hat sich das Fenster Systemkonfigurationsprogramm geöffnet. Dort gabe es kein Autostart. Ich habe dann dort bei systemstart alle häkchen weggemacht bis auf avgnt. War das korrekt? |
das war korekt. versuch mal alle haken wieder zu setzen und starte dann wieder neu gibts dann immernoch das problem? |
Alle häkchen wieder dran. Keine Probleme beim hochfahren. |
ok dann mach das mal mit "dienste konfigurieren" |
Habe alles erledigt. Was aber Probleme bereitet ist das Runterfahren. Klappt nur jedes zweite mal. Die anderen male hängt er sich auf. |
war das vorher auch schon so? wie siehts aus wenn du wieder auf restore klickst, passiert das dann auch noch? |
war schon vor ich das Programm gestartet habe. Die letzten fünf mal hats aber wieder anstandslos geklappt. Schein zu gehen. Ich würde sagen ich geb dir bescheid wenn das in kürze nochmal passiert. |
ok probiers aus. ich würde dann wenn es läuft den pc noch mit dir zusammen absichern, falls du nichts dagegen hast. |
Ja klappt alles super system läuft. Können gerne mit der absicherung starten. |
haun wir mal rein. http://www.trojaner-board.de/96344-a...-rechners.html hier alles für xp, außer servicepack und eingeschrenktes nutzerkonto. bitte für den firefox adblock und noscript instaliren. bitte ansonnsten die gesammten tipps für xp umsetzen. zusätzlich um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. mit klick auf sandboxed webbrowser. dieses programm hätte die infektion bereits verhindert. bei fragen, melden |
Hallo Markus, bin wieder da. Habe alles gemacht. Sandboxie funktioniert. Nur wo ich die Pfade die du oben angegeben hast eingeben soll wusste ich nicht. Sonst hat alles geklappt. Grüße Flo |
auch die update checker secunia und file hippo instaliert? kommst du mit allen neuen tipps zurecht? öffne mal arbeitsplatz c:\windows\sandboxie.ini dort unter defauld box die einträge von oben rein kopieren, editor schließen und speichern lassen. |
Secunia noch nicht. Mach ich dann noch drauf. Sonst komm ich klar. |
ok hau mal alles rauf, das sollte halt immer so schnell wie möglich umgesetzt werden. kannst dich ja noch mal melden wenn alles durch ist wenn du willst. |
habe jetzt auch Secunia drauf. und mit den neuen Programmen komme ich gut zurecht. Nur das Problem des Herunterfahrens hat sich noch nicht ganz eingestellt. Ich versuche allerdings immernoch herauszufinden woran es liegt. Manchmal gehts manchmal nicht. Und da bin ich noch am austesten wann nicht. Und zu Sandboxie habe ich auch noch eine Frage: Nach jeder sitzung löscht Sandboxie dateien die beim surfen entstanden sind. folglich kann sich ja nicht mehr soviel Daten müll ansammeln wie ich zu beginn unserer Arbeit drauf hatte oder? |
nein so viel müll kann sich nicht mehr ansammeln. hmm falls nicht muss man die kiste halt mal neu formatieren. |
Was passiert mit dem OTL Ordner in C: ? |
löschen :-) |
Sind wir soweit fertig? |
wie läuft der rechner jetzt. |
schnell, sowie er soll |
wir können das system noch absichern. falls erwünscht |
Wäre super ja! |
http://www.trojaner-board.de/96344-a...-rechners.html hier den abschnitt xp abarbeiten: updates benötigst du nicht, und das nutzerkonto auch nicht. danach den abschnitt allgemein. für den firefox hohle dir noscript und adblock+ zusätzlich: hier gibt es noch filterlisten: Bekannte Filterlisten fr Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. auch den rest abarbeiten, aus dem abschnitt für alle computer. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. dies erreichst du, in dem du jetzt immer wenn du ins netz willst, auf sandboxed web browser klickst. |
Haben wir schon gemacht |
dann sind wir fertig. |
Dann danke ich dir vielmals. Finde es echt klasse was ihr anbietet. Ohne deine Hilfe hätte ich das wohl nie geschafft. VIELEN DANK! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board