Hi zusammen,
Während des Surfens sperrte sich mein Laptop mit der Anzeige des BKA-Trojaners.

Was ich bisher versucht habe:
- mittels Taskmanager die ausführende Datei abschiessen.
- Rettungsdisc von Avira auf einem USB-Stick bootfähig gemacht.
Scan läuft durch, findet drei infizierte Dateien, sollten laut Einstellungen umbenannt werden
- Rettungsdisc von Avira per bootbarem USB-Stick auf höchste Suchstufe und "alles Verdächtige sofort und unwiderrufbar löschen" gestellt.
- Im abgesicherten Modus starten, von da den DE-Cleaner von Avira starten.
- Systemwiederherstellung auf die letzte als funktionierend bekannte Version.

Das alles hat leider nicht geholfen, der Trojaner startet sich dennoch immer schneller als ich Taskmanager oder Eingabeaufforderung benutzen kann.

Mir steht ein zweiter PC zur Verfügung, CDbrenner und Laufwerke sind vorhanden, haben aber früher schonmal Probleme bereitet, weswegen ich Lösungen mit USB Sticks bevorzugen würde.

Die wenigen Male, die ich Probleme mit Malware hatte, war ich immer in der Lage mit Lesen und Googeln selber das Problem zu lösen. Bei diesem bin ich mit meinem Latein am Ende, daher bitte ich Euch um Hilfe

Liebe Grüße
Bianca

hi, hast du die fundmeldungen von avira noch.
automatisch löschen ist keine gute idee, was ist wenn avira einen fehlalarm hatt?
Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht
mehr vorhanden sein.

• Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
• Solltest
  Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere
  es.
• Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".
  
  
  
  
  
  Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken
  
  
  
  Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.
  
  

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens
C:\).

• Leere den USB Stick auf den Du OTLPE erstellen willst.
• Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
• Drücke
  im DOS Fenster eine beliebige Taste.
• Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
  Für Drive Label: gib ein OTLPE.
  Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
  Setze ein Häckchen bei Enable File Copy.
• Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device
auswählen)

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt
  wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s)
  for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• 
  OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt
  und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste
  den Inhalt von C:\OTL.Txt und Extras.Txt.

Danke für die schnelle Antwort.
Die Logfiles von dem Avirascan habe ich leider nicht.
Das "alles löschen was verdächtig ist" habe ich erst angehakt nachdem der erste Scan mir gezeit hatte, was Avira findet und ich die Funde nicht einzeln behandeln konnte.

Ich bin bisher den Anweisungen gefolgt habe aber ein Problem beim Erstellen des Sticks.

Zitat:

Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
Für Drive Label: gib ein OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .

Statt des Laufwerkbuchstabens meines Sticks steht da "no USB Disks Found!" - auch, wenn ich "refresh" klicke.
Der Stick, den ich verwende ist 8GB groß und formatiert.
Was kann da falsch sein?

versuch mal den stick in nen anderen anschluss zu stecken oder nen andern stick verwenden

Das habe ich leider schon durch, habe den Stick an allen verfügbaren Ports angeschlossen. Ich kann aber normal drauf zugreifen, nur im USB prep cmd wird er nicht erkannt. Einen zweiten Stick habe ich nicht, habe aber einen MP3player versucht, der auch als Stick verwendbar ist, auch mit dem geht's nicht.
Was mit gerade aber aufgefallen ist: Ich habe auf dem Laptop zwar WinXP, auf dem PC mit dem ich den USB-Stick vorbereiten will aber Windows7. Ist das von Bedeutung?

nein.
dann versuchen wirs doch mit ner cd
download:
ISO Burner Download - ISO Burner 2.5
isoburner anleitung:
http://www.trojaner-board.de/83208-b...ei-cd-dvd.html
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html

• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
Kopiere nun den Inhalt in die
Textbox.
[code]
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe[/code
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

Okay, ich hab nun lang genug probiert um meine Bemühungen mal wieder zurück melden zu können (ich werde ganz wahnsinnig dabei).

1. CD erstellen: Ich habe im ganzen Haushalt noch genau eine CDRW gefunden, ich mache inzwischen halt alles über USB. Mein Brenner verweigert sich allerdings, die zu lesen. Auch andere CDs liest er nicht, also wird es wohl der Brenner sein. Da das nicht funktionierte habe ich mich nochmal dem Stick zugewandt:

2. Stick erstellen: Ich habe inzwischen ein bisschen über PeToUSB gegoogelt und rausgefunden, dass das nur Sticks bis zu einer Größe von 2gb unterstützt. Es liegt also sehr wohl am Stick. Einen Stick kann man ja nicht einfach so neu partitionieren, weswegen ich einiges in Bewegung gesetzt habe, eine Methode zu finden mit der es geht. Nach zig Versuchen habe ich nun mit dem soundsovielten Tool meinen Stick partitionieren können. Unglücklicherweise sind aber nur zwei gleich große Partitionen angelegt worden, die ich immernoch nicht im Gerätemanager angleichen kann, weswegen ich nun auf einem Stick mit 2x 4gb fest hänge, was immernoch zu groß für PeToUsb ist.

Ich habe für die Avira Rescue Disc unetbootin benutzt. Geht das möglicherweise auch für das OTL?
Es muss doch möglich sein, das auch auf Sticks zu bekommen die größer sind als 2gb, das ist doch heutzutage nix mehr

hi,
unetbootin
kenne ich nicht, aber du kannst es versuchen.
es sollt dann genauso wie bei dem andern programm klappen

Unetbootin stellt keine Fehler dabei fest, das Iso, was der PeToUSB auf den Stick bringen sollte, auf den Stick zu bringen.
Booten vom Stick hatte ja mit der Antivir Rescue CD schonmal geklappt, also weiß ich auch, dass ich dabei nichts falsch mache.
Das Ergebnis ist leider ein schwarzer Bildschirm auf dem nur der blinkende Eingabecursor zu sehen ist und sonst buchstäblich nichts. An dieser Situation ändert sich auch nach 5 min nichts. Falls ich zu ungeduldig bin, probiere ich es gern nochmal, aber ich würde sagen dieser Versuch war nix.
Ich suche jetzt noch nach weiteren Alternativen das Iso auf den Stick zu bringen und schaue, ob ich morgen einen kleineren Stick oder Rohline auftreiben kann. Es kann leider gut sein, dass auch das nichts wird, da ich zur Zeit krank und zudem mobilitätseingeschränkt bin
Ich versuche also zunächst noch ne Softwarelösung zu finden. Falls Dir noch was einfällt bin ich dankbar für Ideen.

dann brenne halt ne cd bei nem bekannten.

a ich sehe grad du kommst in den abgesicherten modus.
mach da mal folgendes:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Wieder lang genug her, hier ist der Zwischenstand:

Abgesicherter Modus hilft nix, ich kann zwar auf abgesichterten Modus starten gehen, aber sobald ich den Login-Screen hatte ist dahinter wieder der BKA-Trojaner-Screen.

Brennen hat nicht geklappt, sobald ich versuche die CD zu brennen bleibt mein System stehen, das gilt für mehrere CDs und DVDs und sowohl für Isoburner als auch ImgBurn.

Ich habe auch einen Stick 2gb besorgt, allerdings wird auch der nicht vom PeToUsb erkannt. Ich habe 5 USBPorts, mit der drahtlosen Maus getestet, funktionierten, dann den Stick angeschlossen, wurde vom System erkannt und angezeigt, aber PeToUsb fand den Stick nicht.

Mir fällt grad nix weiteres mehr ein.
Liebe Grüße

brenne das halt bei nem bekannten bleibt ja wohl kaum was anderes über.

YEHAW!
Einen Schritt weiter.
Ich habe eine CD nach Anweisung erstellen können. Der Reatogo-X-PE Desktop ist hochgefahren, der Code in Custom Scans eingetragen, Scan läuft. Ich poste die Logs sobald ich sie habe.
Kleine Fragen noch am Rande:
Mir ist aufgefallen dass beim Stick herstellen steht

Zitat:

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt
wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s)
for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.

wobei beim CD herstellen steht

Zitat:

• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

(Hervorhebung von mir)
Das hat mich verwirrt, ich hab mich jetzt an die Anleitung für den CD-Fall gehalten. Auch fehlt am Ende des custom codes vermutlich ne Klammer,

Zitat:

%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe[/code

die habe ich mir erlaubt hinzuzufügen weil ich nicht wusste, ob der Scan sonst schiefgeht.
Drücke nun die Daumen, dass alles glatt durchläuft.

1. klammer hinzugefügt und die anleitung ist auch angepasst, sorry :-)