| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BKA-Trojaner und FolgeproblemeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.09.2011, 12:35
| #1 |
 |  BKA-Trojaner und Folgeprobleme Hallo zusammen, und ich habe gedacht mir könne nichts passieren wenn ich immer brav den Virenscanner (Avira) und mein BS (WinXPProf) aktuell halte. Weit gefehlt! Da war ich wohl zu naiv und blöd. Was ist passiert? Am 04.09. bekam ich die berühmte Bundeskriminalamt-Vorschaltseite mit der Aufforderung 100 Euronen zu bezahlen. Statt dem nach zu kommen habe ich sofort die Netzverbindung gekappt und den Rechner hart ausgeschaltet. Ich bin dann mit einem anderen Rechner ins WWW und habe ein wenig gegoogelt und mir die Desinfec't2011 CD, die sich bei mir im Haushalt befand, angesehen und mir überlegt wie ich vorgehen könnte. Ich habe dann im abgesicherten Modus mein Laptop neu gestartet und nach einer Datei jashla.exe (die wurde im Netz - wo erinnere ich leider nicht - als Verursacher genannt) gesucht, diese auch gefunden und gelöscht, ebenso wie den passenden Eintrag in der Registry. Danach habe ich rebootet und einen kompletten Avira-Suchlauf (ein Update war ca. 1 Stunde vor dem "Unfall" erfolgt) durch geführt. Als Ergebnis bekam ich folgendes: 1.) Die Datei 'C:\Downloads\Software\SWF\FlashConv\flashconv.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.djau' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5708b0.qua' verschoben! und 2.) Die Datei 'C:\Downloads\Software\SWF\FlashConv\flashconv.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.djau' [trojan]. Durchgeführte Aktion(en): Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004. Die Quelldatei konnte nicht gefunden werden. Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! Die Datei existiert nicht! Danach musste ich das Problem aus Zeitgründen ruhen lassen. Mit Hilfe der Desinfec't2011 CD habe ich dann einige Helferlein installiert: mit Secunia PSI fand ich erschreckend viel Software die sich nicht auf einem aktuellen und damit in einem angreifbaren Zustand befand. (Macromedia!) Komisch fand ich aber, dass sich Word nicht mehr öffnen lies, sondern mit Hilfe der InstallationsSource repariert werden musste. Ein erneuter Virenscan zeigte mir dann folgendes: 1.) In der Datei 'C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QIE95YF\readme[1].exe' wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.DU.42' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern 2.) Die Datei 'C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QIE95YF\readme[1].exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.DU.42' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c7770d9.qua' verschoben! 3.) In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp' wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden. Ausgeführte Aktion: Zugriff verweigern 4.) In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp' wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden. Ausgeführte Aktion: Zugriff verweigern 5.) In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp' wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden. Ausgeführte Aktion: Zugriff verweigern 6.) In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php' wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden. Ausgeführte Aktion: Zugriff verweigern 7.) In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php' wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden. Ausgeführte Aktion: Zugriff verweigern 8.) In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php' wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden. Ausgeführte Aktion: Zugriff verweigern 9.) Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp' enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c25f869.qua' verschoben! 10.) Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php' enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c61ffe1.qua' verschoben! 11.) Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php' enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit]. Durchgeführte Aktion(en): Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004. Die Quelldatei konnte nicht gefunden werden. Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! Die Datei existiert nicht! Außerdem fallen mir einige Unregelmäßigkeiten auf: das Hintergrundbild ist weg, hier und da gibt es farbige Veränderungen in Oberflächenelementen (z.B.: bei der cmd-Box sind die Elemente -, Kästchen und X blau) außerdem fehlen Ordner oder Files (z.B.: fehlt unter C: der Ordner RECYCLED - stattdessen existiert jetzt ein mit einem File gefüllter Ordner namens Recycle.Bi - einen neuen Ordner mit dem Namen RECYCLED darf ich allerdings nicht erstellen, angeblich existiert der ja schon) Nachdem ich gestern Abend einen Scan mit " Malwarebytes Anti-Malware " durchgeführt habe war ich deutlich verunsichert: mir wurden folgende Ergebnisse geliefert: 1.) Trojan.Agent Folder c:/programme/premieropinion No action taken 2.) Trojan.Agent File c:/programme/premieropinion/pmls.dll No action taken 3.) PUM.Hijack.StartMenu RegistryData HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs Bad: (0)Good  1) No action takenBeim erneuten Recherchieren bin ich hier beim Trojaner-Board gelandet. Ich habe mir srep.exe geladen und erhalte folgende shell.txt-Datei: Was kann/sollte ich tun um mein System wieder sauber zu bekommen? Ich weiß neu Aufsetzen wäre prima, möchte ich aber aus diversen Gründen vermeiden. Ich sage jetzt schon mal "Vielen Dank" für Eure Hilfe Rolf |
| Themen zu BKA-Trojaner und Folgeprobleme |
| 100 euro, aufsetzen, avira, blau, desinfec't, diverse, einstellungen, euro, explorer, fehler, geliefert, gelöscht, internet, malwarebytes, microsoft, namen, neu, neu aufsetzen, neue, nicht gefunden, nicht mehr öffnen, ordner, prima, problem, programm, quelldatei, scan, secunia psi, software, srep.exe, system, trojan, trojaner-board, virus, windows |
Baum-Darstellung