Trojaner TR/kazy.mehm.1 wie nun weiter? otl.txt und extra.txt vorhanden.
 

Hallo,
also als erstes muss ich glaube mal erwähnen das ich in sachen pc nicht gerade dolle ahnung habe:) nun gut, auch ich wurde von dem Trojaner kazy.mehm.1 befallen.
symtome wie bei allen, schwarzer bildschirm, tausende warn meldungen, (festplatte beschädigt- daten sichern), und daten verschwunden bzw. versteckt wie ihr hier schreibt.
nach stunden langen belesen hier bei euch im forum habe ich es schonmal geschaft dank der OTl.exe die otl und extra textdatein zu bekommen was sich als äußerst schwiereig rausstellte, weil er jedes mal während des scannen einfach aus ging, beim 8mal ging es dann ohne probleme.

hier nun die datein die er mir ausgespuckt hat.
und wie geht es dann weiter?
ich dank euch für jede antwort mit der ihr mir helfen

otl:OTL Logfile:

extras: OTL EXTRAS Logfile:

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo,
danke schonmal, habe unhide geladen, nun habe ich ein schwarzes fenster, mit please be patient while your files are made visible again. ist das bis hier hin richtig? datein waren auch kurz zu sehen auf desktop.

nun muss ich malwarebytes runterladen und das ergebnis aus diesen scan posten ja?

mfg

hallo, danke schonmal.
habe unhide geladen, gestartet und meine symbole sind für kurze zeit aufm desktop sichtbar aber dann wieder weg:( dann kommt your files should now be visible

und was ist malwarebyte? das runterladen und dort auch ein scann machen?

mfg

so , das kam beim malwarebytes raus
habe quick scan gemacht war das richtich, also nur c: hat er durchsucht, mein pc hat aber festplatte c: und d:?

1.) Hast du Malwarebytes nicht aktualisiert, das nachholen über den Updatebutton
2.) Möchste ich danach einen Vollscan sehen
3.) alle Funde entfernen lassen

so habe das neuste update, vers. 6611 und vollscan läuft seid 19min und zeigt schon 5 funde . danach die log datei datei wieder posten?

Ja, Funde alle entfernen, das Log dann hier posten

so hier nun die log datei

es tat sich was fehlermeldungen sind weg und symbole sind wieder da nur noch der desktop ist schwarz.

mfg
Claudia

Einfach das Hintergrundbild manuell neu einstellen.
Ist das Startmenü vollständig?

Hm, was willst du mit diesen komischen Toolbars auf dem Rechner? Am besten alles entfernen wo Toolbar steht, was in der Systemsteuerung unter Software bzw. Programme und Funktionen zu sehen ist und bei zukünftigen Programminstallation immer die benutzerdefinierte Methode anklicken, damit man bei der Installation mögliche Toolbars abwählen kann.
Deinstalliere bei der Gelegenheit auch alle anderen unnötigen Programme über die Systemsteuerung.

Hallo, ja keine ahnung was das für toolbars sind, sag ja soviel ahnung hab ich net:).
es ist nur wenn ich auf start bzw windowszeichen links unten in der tastkleiste drücke, das die linke spalte leer ist aber gehe ich auf "alle programme" zeigt er alles an.
ist das problem jetzt beseitigt und kann den rechner wieder voll nutzen oder sollte ich ihn mal komplett formatieren und windows neu aufspielen?
mfg und schonmal nen dickes dankeschön bis hier her.

LG
Claudia

Deinstallier wie gesagt alle Toolbars. Dann gehts weiter, mach danach ein frisches OTL-Log.

so hier nochml die OTL Scan ergebnisse.

otl: OTL Logfile:

extras: OTL EXTRAS Logfile:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

so habe ich gemacht, nach dem neustart war dann dieses fenster offen.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

so gemacht, nichts gefunden schrieb er,
auf meine datein kann ich wieder zugreifen ist soweit i das einschätzen kann alles wieder da.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so auch das hab ich geschaft, puhh sind ganzschöne schritte die man hier so macht und dann ich noch als unwissende:)

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

hier schonmla osam

man ist das kompliziert, hätte ich nicht einfach meine paar daten jetzt runter ziehen können und den rechner dann formatiern können oder wäre das problem damit nicht weg?

mfg

Sieht ok aus, wir sind auch fast durch.
GMER ging nicht?

Wenn GMER nicht will mit den Kontrollscans weitermachen:

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

ne das ging net , gut also mache ich nochmal mit malwarebytes ein vollscan und mit dem anderen superantispyware , das wird ja bestimmt 2-3h in anspruch nehmen, werden das dann morgen posten das schaffe ich heute net mher.

gruß,
claudia

so das mit superantisyeware habe i noch gemacht, das programm ist vieleicht mal scheiße durchzusehen.

Und das andere Log?

hallo,
das andere mache ich jetzt.

so hier nun die andere mit geupdateter neuer version.

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

nein keine funde, rechner arbeitet auch wieder schön schnell, bloß eins ist noch, das wenn ich start drücke links alles leer ist, muss man bestimmt erst wieder was einstellen oder?
und welche software zur abwehr in zukunft sollte ich nutzen?

mfg

Durch die Infektion wurde dein Startmenü leergefegt, bei mir bisher bekannten Varianten verschiebt der Schädling alle Verknüpfungen nach %tmp%\smtmp

Eigentlich sollte unhide die Verküpfungen selbst zurück an die richtige Stelle kopieren. Wenn nicht, mach es selbst.

Deine Verknüpfungen sollten jetzt hier sein:

C:\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp

Sie müssen passend nach

C:\ProgramData\Microsoft\Windows\Start Menu\Programs

kopiert werden.

guten morgen,
bei C:\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp waren drei ordner drinne "1 2 3" hab die kopiert war bestimmt falsch wa, weil es immer nich nicht geht.

lg
Claudia

Ja, innerhalb dieser Unterordner musst du schauen - deswegen hab ich ja auch geschrieben "passend" kopieren.

hallo, aso gut werd ich schon irgenwie hinbekommen.
so nun bin ich ja wieder trojaner befreit und welches programm hilft mir in zukunft dagegen? zurzeit nutzte ich ja avira zur viren abwähr.

mfg
Claudia

Verabschiede dich von dem Gedanken, dass ein Virenscanner vor jedem Schädling hilft. Der Virenscanner ist nur eine Art Sicherheitsgurt, auch bei angelegtem Sicherheitsgut darf man die Verkehrsregeln nicht missachten.

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Rechner ansonsten wieder komplett ok?

Hallo,

alles klar danke für alles nochmal. der rechner ist soweit okay bis auf das startmenü das immernoch leer ist, aber das werd ich noch rausbekommen ;)

lg claudia

Wie gesagt muss das passend nach "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" zurückkopiert werden.


Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.