Hallo, liebe Trojaner-Board Gemeinde,

Habe da folgendes Problem.

Der seit einiger Zeit umhergeisternde BKA-Virus hat sich nun bei mir eingenistet. Nach etlichem Suchen bei Google und in diversen Foren habe ich die Informationen erhalten, dass dieser Virus per Kaspersky Rescue Disk 10 erkannt werden soll und anschließend der Rechner zumindest wieder gestartet werden kann, um die wichtigsten Daten zu retten. Habe gestern Abend die Rescue-CD erstellt und eingelegt, und mich an dem Leitfaden langgehangelt. Soweit hat alles geklappt, jedoch hat das Programm absolut nichts gefunden. Nachdem ich dann den Rechner aufgefordert habe, neu zu starten, war das Problem nach wie vor da. Kann es sein, dass es sich hierbei um eine ganz neue Version des BKA-Virus handelt, der bei der Kaspersky Rescue Disc noch nicht behandelt wird?

Vielleicht kann mir ja jemand einen Rat geben, wie ich zunächst die Daten retten kann, um anschließend das System neu aufzubauen.

System: Notebook Medion, Windows XP SP3

Vielen Dank im Voraus

Matze

Ach ja, hatte schon versucht im abgesicherten Modus zu starten, aber auch da kommt die Mitteilung der vermeintlichen Bundespolizei.

Habe mich mal auf eigene Faust daran gemacht OTL auf CD zu pressen und
den Rechner damit zu starten. Anschließend über das Programm OTLPE den
"Run Scan" Button gedrückt und das Ergebnis in der txt-Datei abgespeichert.

Ich hänge den Inhalt der OTL.txt mal hier an. Vielleicht kann ja jemand damit etwas anfangen, oder mir sagen was ich nun tun kann, um dieses Ding wieder loszuwerden.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2011/09/05 17:25:03 | 000,205,824 | ---- | M] (Fits Dwarf Reek Atomic Viii) -- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\jashla.exe
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\jashla.exe (Fits Dwarf Reek Atomic Viii)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus WebGuard) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo, und vielen Dank bisher,

die unerwünschte Nachricht ist entfernt. Kann allerdings noch nichts machen. Der Hintergrungbildschirm ist jetzt wieder da. Es sind aber noch keine Symbole auf dem Desktop, sowie die Startleiste fehlt. Über den Befehl Strg Alt entf. komme ich aber in den Taskmanager. Hilft das weiter?

Habe die angeforderte log-Datei mal mit hochgeladen.

Schöne Grüße

Starte mal über den Taskmanager oben links einen neuen Process => explorer.exe
Dann sollte der Desktop wieder normal da sein, zumindest erstmal bis zum nächsten Hochfahren. Da kümmern wir uns später drum, dass das dann auch dauerhaft so bleibt.

Wenn der Desktop wieder normal dadruch da ist, mal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom im normalen Windows-Modus (kein OTLPE!)


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Cosinus,

habe jetzt den Prozess explorer.exe gestartet. Bekomme jetzt das Explorerfenster angezeigt. Startleiste und Icons auf dem Desktop sind weiterhin nicht da. Soll ich trotzdem den Vollscan mit Malewarebytes machen?

Ja, mach trotzdem mit Malwarebytes und OTLCustom weiter.

Hallo Arne,

habe Malwarebytes und OTL durchgeführt.
Die jeweiligen Textdateien habe ich in den Upload gestellt.

Kann denn mein Rechner hinterher unter Umständen wieder weiterbetrieben werden, oder muss er hinterher platt gemacht werden und neu installiert?

Viele Grüße

Matze

Zitat:

c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.

Bei SpyEyes sollte man wirklich eine Neuinstallation in Betracht ziehen, v.a. wenn so was kritisches wie Onlinebanking gemacht wird. Hinterher alle Passwörter abändern, am besten jetzt schon von einem anderen sauberen System aus.

OK. Reicht es aus, ein Recovery zu machen, oder muss alles komplett formatiert werden?

Viele Grüße

Matze

Recovery sollte reichen.
Ich hab aber schon gesehen, dass man Recovery-Setups den MBR nicht neu schreiben. Mach daher nach dem Recovern bitte TDSS-Killer und aswMBR.

TDSS-Killer

=> http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.






aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

habe den tdss-killer und den aswMBR laufen lassen.
die Log-dateien sind angehängt.

Wie kann ich denn jetzt bevor ich die Windows-Updates fahre den Virenschutz auf den aktuellen Stand bringen? Ich denke mal, dass es vernünftig wäre, erstmal den Virenschutz zu aktualisieren, bevor ich mit dem Rechner ins Internet gehe oder?

Der MBR ist okay.

Zitat:

Ich denke mal, dass es vernünftig wäre, erstmal den Virenschutz zu aktualisieren, bevor ich mit dem Rechner ins Internet gehe oder?

Der Virenscanner ist zweitrangig und eher optional.
VIEL Wichtiger ist es, Updates wie das SP3 und IE8 möglichst OFFLINE einzuspielen.

Zitat:

Windows 5.1.2600 Service Pack 1

Mit diesem Stand (XP_SP1) darfst du keine Internetverbindung aufbauen! Besorg dir das SP3 und den IE8 von einem sauberen Rechner aus, pack es auf einen Stick und installier es auf diesem neu installierten Rechner:

1. Das SP3 von hier downloaden => Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler (und ja es ist das richtige Paket für dich)
   
2. Alle Programme beenden und Virenscanner abstellen!
   
3. SP3 installieren, Anweisungen folgen - Installation sollte ca. 15-20 Minuten dauern. Kann auch schneller gehen, bei älteren Rechnern dauert es ca. ne halbe Stunde - nach der Installation Rechner neu starten
   
4. IE8-Setup laden und ausführen => Internet Explorer 8 herunterladen - Microsoft Windows

Achte beim Setup des IE8 wieder dadrauf, dass vorher möglichst alle Programme beendet und der Virenscanner deaktiviert wurde. Im Setup selbst bitte nicht an dem Verbesserungsprogramm teilnehmen (oder wie MS das nennt) und auch KEINE Updates über das Setup installieren. Die installieren wir später, ich sag dir dann wie. Melde dich wenn der IE8 drauf ist.

So. Das Servicepack sowie der IE8 sind erfolgreich installiert.

Dann kannst du jetzt eine Internetverbindung herstellen. Windows-Firewall sollte ja aktiv sein.

Bitte abschließend auf weitere Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.