TR/kazy.mekml.1 - OTL durchgeführt, wie gehts weiter
 

Hallo
Leider wurde ich auch von diesem Trojaner (TR/kazy.mekml.1) befallen und habe mich aus diesem Grund hier registriert.

Ich sehe ebenfalls keine Dateien mehr (jedoch nur bezogen auf meine Systemfestplatte), Desktop schwarz, häufige Warnmeldungen von antivir und Systemfehlermeldungen, zwischendurch startet der PC auch neu, wenn ich eine bestimmte Fehlermeldung wegklicke.

Die OTL-scans habe ich gemacht (im Anhang) und wäre äußerst dankbar, wenn mir jemand helfen könnte!

Vielen Dank!!

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Vielen Dank für die Antwort und Hilfe!!
Das ist gerade alles extrem ungünstig und ich wäre unbeschreiblich froh, wenn mir jmd. hilft diesen Trojaner wieder los zubekommen.

Der Report des Malwarebytes-Volldurchlaufs ist im Anhang.

Eine Frage:
Ich kann über die Suchfunktion im Startmenü konkrete Dateien finden. Besteht eine Gefahr der Übertragung des Trojaners, wenn ich die Dateien auf einen USB-Stick ziehe und diesen dann auf einen anderen PC kopiere?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ist es möglich Dateien bald wieder sichtbar zu machen? Ich will gar kein Stress machen, brauche aber heute unbedingt ein Dokument von meiner Festplatte...

Danke für die Mühen!

Hallo Arne,
Ich habe bei Leuten nachgelesen, denen du auch schon geholfen hast. Oft hast du in diesem Moment geraten kaspersky-tdsskiller auszuführen und ev. auch unhide, um dateien sichtbar zu machen.
Das habe ich getan, Dateien sind gottseidank wieder da!!! kaspersky hat auch funktioniert und meint, dass keine infizierten dateien vorhanden sind. Das bestätigt auch ein neuer Quickscan von malwarebytes(aktualisiert). Beide im Anhang

Ich weiß jetzt nicht, ob ich den virus noch hab oder nicht, weil ich gar nicht weiß, wann ich ihn entfernt hab und zB. mein startmenü noch leer ist.

Kann ich noch irgendwas sicherheitshalber nachprüfen?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

Danke nochmal für alles!!
Den neuen Thread habe ich aufgemacht, weil es ein anderes Thema war und ich dacht, es gibt vielleicht noch andere Leute, die die gleiche Frage haben. Sollte nicht gegen dich gehen. Es mag villeicht eine dumme Frage sein, aber ich weiß jetzt immer noch nicht, ob solche Trojaner auch durch Dateien übertragen werden können.

Du empfiehlst mir jetzt combofix auszuführen. Nach dem Leitfaden scheint es so, dass das Programm auch Risiken birgt. Macht das Sinn, wenn mein PC eigentlich schon wieder normal läuft?
Ccleaner soll auch ausgeführt werden, vor oder nach combofix?

schönen Gruß

Ja erst CCleaner und CF ausführen. Auch wenn du glaubst der Rechner läuft wieder normal. Man muss alle möglichen Ecken des PC abasten

[CODE]
Combofix Logfile:
--- --- ---



Da du wieder nicht auf meine Frage eingegangen bist, für die ich einen neuen Thread aufgemacht habe, gehe ich jetzt mal davon aus, dass keine Übertragungsgefahr besteht, wenn man Dateien auf einen anderen PC zieht:).

Gruß,
Johannes

Da geh ich später drauf ein!
Ich will dass du dich erstmal auf eine Sache konzentrierst und dich nicht in Nebenkriegsschauplätzen verzettelst!



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier die logdaten von gmer

OSAM muss man vor der installation entpacken. Hatte noch kein Entpack-Programm. Habe winzip bei chip runtergeladen, doch dann kommt bei der installation von winzip (als administrator ausgeführt) folgende fehlermeldung:
"Dieses Installationspaket konnte nicht geöffnet werden. Stellen Sie sicher, dass das Paket exisitiert und dass Sie darauf zugreifen können. Oder lassen Sie den Hersteller der Anwendung überprüfen, ob es sich um ein gültiges Windows Installer-Paket handelt."

Zum Entpacken musst du WinRAR oder 7Zip verwenden! => 7zip Download: mit 7-Zip Dateien packen und entpacken

OSAM

MBRCheck

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Vista installiert?
Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

Mein CD-Rom-Laufwerk ist kaputt und eine Vista-DVD habe ich leider auch nicht.

Kannst du mir bitte mal kurz sagen, was mbr fixen überhaupt bedeutet?

Warum meinst du, dass das notwendig ist? Zeigen die logs, die ich dir geschickt habe irgendwelche gravierenden Fehlern an?

Schön Gruß
Johannes

Dann musst du dir ein neues optisches Laufwerk besorgen.

Master Boot Record ? Wikipedia

Ja, ein unbekannter MBR ist ein Hinweis auf eine Manipulation, gerade jetzt kursiert eine neue TDSS-Variante, den den MBR schadhaft manipuliert - ohne Fix des MBR bekommt man den nicht weg!

Hallo Arne,

Ich hab keine Ahnung, wie ich jetzt weiterkomme. Habe über deinen Link das vista-notfall-recovery-iso runtergeladen (hat das "x86" am Ende des Dateinamens irgendwas zu bedeuten?).

Nun sollte ich einfach diese datei mit imgburn brennen, ohne vorher was auszuführen o.Ä.?
Habe imgburn geöffnet, die iso geöffnet und einen rohling ins laufwerk gepackt. Und nun weiß ich nich wies weitergeht, werde aus dem Programm nicht schlau. Würde dir gerne auch ein screenshot von dem ausführenden Programm beifügen, nur weiß ich leider nicht, wie man sowas hier einfügt oder als jpg abspeichern kann.

Danke für deine Hilfe..

Klick mal auf dem 2. Link in meiner Signatur, Datensicherung mit Ubuntu, da wird auch ein Beispiel gezeigt wie man eine ISO-Datei (Abbild) auf CD brennt.

Kann ich in meinem Fall den Rechner nicht auch von nem USB-Stick booten? Wenn ja, dann mach ich das wie in deinem signatur-link beschrieben

Gruß, Johannes

Ich würde vom Gang mit dem USB-Stick abraten. Aber wenn man es unbedingt machen will:

Frag mich aber nicht, wie man dieses unetbootin bedient, das Tool kenn ich nämlich nicht.
Und ob das Windows-ISO überhaupt von diesem Tool bearbeitet werden kann ist auch fraglich.

Warum rätst du denn davon ab? Welche Gefahren bestehen?
(Sorry, ich will jetzt keine Diskussion anfangen, aber ich hab keine wirklich Alternative, weil ich mir jetzt einfach kein cd-Rom-laufwerk leisten kann.)

Und noch eine Frage: Es ist ausdrücklich die Rede davon, dass man die iso nicht vom "verseuchten" PC brennen soll. Würdest du also mein PC als nicht-verseucht betrachten oder spielt das bei mir keine Rolle?

Grüße

Ich rate davon ab,weil es mit der CD unkomplizierter ist und sich diese Methode bewährt hat. Ich hab auch so keine pauschale Anleitung, das Rescue-Image von Windows auf einen Stick zu bringen, diesen bootfähig zu bekommen und dann den MBRfix damit zu machen...

Wir können den MBR-Fix aber auch erstmal sein lassen, ich seh das ganze ist hier schwierig.

Mach erstmal zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hey sorry hat wieder ein bisschen länger gedauert.

Malwarebyte
SuperAntiSpyware

Nur Cookies, harmlos.

Über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hat ganz schön lange gedauert, der scan.

Ist harmlos, dieses Setup der Nero-Trialversion wird ur angemeckert, weil das Setup eine AsToolbar mitinstallieren kann, wenn man es nicht abwählt.

Rechner wieder im Lot oder noch Probleme/andere Funde?

Der PC funktioniert, aber

Das antivira-Programm zeigt jetzt immer eine Fehlermeldung an
(„Dieses Programm vergügt über bekannte Kompatibilitätsprobleme.[…]Avira AntiVir ist mit der Windows-Version inkompatibel.“),
lässt sich dennoch ausführen.

Das windows-Startfenster ist leer/weiß (ist nicht schlimm, aber auch nicht normal)

Ich vermisse windows-paint, habe es nicht deinstalliert, kann jedoch auch nicht eindeutig bezeugen, dass es erst seit dem trojaner fehlt.


Meine Fragen außerdem:

Ist es sinnvoll diese vielen Programme, die ich im Lauf der Zeit für diverse scans brauchte auf dem PC zu halten?

Welche Standart Schutzprogramme sind wichtig, um soetwas wie diesen trojaner eher zu vermeiden (reicht avira und windows firewall?)


Vielen Dank und Viele Grüße
Johannes

Neu installieren oder anderen Virenscanner nutzen

Du meinst die Verknüpfungen in Startmenü, alle Programme?

Start, Ausführen => mspaint eintippen und ausführen - was passiert?

Die Programme können alle wieder runter.

Ja reicht. Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Nein, ich meine das linke Fenster, was direkt kommt, wann man auf start drückt (über dem "alle programme"-button) ist und bleibt leer.

Es wird geöffnet:), Es ist komischerweise im Ordner: C:\Windows\System32. Soll ich das da rauskopieren?

Wie macht man das?


Also ich möchte dir nochmal in aller Deutlichkeit ein dickes Dankeschön entgegenbringen:). Woher nimmst du dir die ganze Zeit, wenn du das mit zig Leuten auch noch machst?
Grüße

mspaint ist und war da schon immer drin!! Die Verknüpfung ist bei dir nur weg oder falsch.

Systemsteuerung => automatische Wiedergabe => überall deaktivieren (Haken entfernen bei automatische Wiedergabe verwenden)