Hey
Ich habe schon überall gesucht nach einer lösung für diesen BKA Virus...
Da ich viel positives über dieses Forum gehört habe wollte ich es mal probieren.
ich wollte gerade bleach gucken, doch als ich eine seite die ich in google gefunden habe, öffnete und 10 sekunden die werbung wegklickte sah ich das hier

(das bild habe ich aus google bilder)
ich hatte schonmal diesen virus aber die waren eher leicht wegzukriegen..
diesmal wollte ich was vorsichtiger sein da es ja anscheinend eine neuere version ist. das erste was ich gemacht habe ist auf den powerknopf zu drücken. als windows ein paar prozesse noch am beenden war habe ich auf abbrechen gedrückt und konnte wieder mein system kontrollieren. als erstes wollte ich den task manager starten jedoch war er wie verschwunden, deshalb nahm ich den von advanced systemcare 5 pro und konnte keinen unbekannten prozess finden!
das problem ist das ich keine lust habe irgentwelche bankdaten klauenden viren oder sonstiges auf meinem pc zu haben und es schwer ist die daten zu sichern weil es ne menge ist. falls es etwas gibt was noch in meiner macht liegt, bitte schnell melden!


Edit #1: habe jetzt die Systemwiederherstellung benutzt und der Virus scheint weg zu sein ich lade neue OTL Datei gleich hoch
Edit #2: 2. Logfile hochgeladen #2

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hier erstmal der MWB-AMW-Log,
Eset folgt noch!

Zitat:

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.09.07

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Larusso :: Larusso-HP [Administrator]

Schutz: Deaktiviert

09.01.2012 20:22:18
mbam-log-2012-01-09 (20-22-18).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 434690
Laufzeit: 1 Stunde(n), 2 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Larusso\AppData\Local\Temp\0.06581039305463432.exe (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Larusso\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\27a4f325-6207309b (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Eset ist seit 5 minuten auf 99%, und arbeitet weiter, warum kann es sein das alle programme bis 99% schnell sind und dann sehr lange brauchen?
jetzt sinds 10 minuten

Endlich...

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=41a8817114b9e542b535448ceaa2d9c8
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-09 08:46:04
# local_time=2012-01-09 09:46:04 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=768 16777215 100 0 32394603 32394603 0 0
# compatibility_mode=5893 16776573 100 94 0 77770904 0 0
# compatibility_mode=8192 67108863 100 0 80 80 0 0
# scanned=50926
# found=0
# cleaned=0
# scan_time=909
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=41a8817114b9e542b535448ceaa2d9c8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-09 10:00:25
# local_time=2012-01-09 11:00:25 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=768 16777215 100 0 32395591 32395591 0 0
# compatibility_mode=5893 16776573 100 94 0 77771892 0 0
# compatibility_mode=8192 67108863 100 0 1068 1068 0 0
# scanned=251604
# found=6
# cleaned=0
# scan_time=4383
C:\Program Files (x86)\JDownloader\backup\database_1293745865538.zip MSIL/Restamdos.AG trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\K-Lite Codec Pack\Tools\Xvid_Quant_Matrices.zip MSIL/Restamdos.AG trojan (unable to clean) 00000000000000000000000000000000 I
C:\Program Files (x86)\TechSmith\Camtasia Studio 7\Media\Studio\Swf\Preloaders\preloaders_src.zip MSIL/Restamdos.AG trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Larusso\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\6304e921-78c1078a multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Users\Larusso\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\1a31206d-5b0cb72b Java/Agent.DJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Larusso\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\75bb0ac9-58ac3681 Java/Exploit.CVE-2011-3544.S trojan (unable to clean) 00000000000000000000000000000000 I

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Habe keine anderen logs

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Text ist zu lang für Zitate
im anhang sind beide dateien verzippt

Zitat:

O4 - HKLM..\Run: [AdobeCS5.5ServiceManager]
O1 - Hosts: 127.0.0.1 activate.adobe.com

Sry aber eine legale Version muss aktiviert und das funktioniert nicht wenn man activate.adobe.com auf den localhost erdet

Zitat:

Zitat von cosinus

Sry aber eine legale Version muss aktiviert und das funktioniert nicht wenn man activate.adobe.com auf den localhost erdet

ich habe keine ahnung von dem zeugs? kannst du es besser erklären? außerdem hat das ein freund bei mir gemacht weil photoshop ca 20 minuten brauchte bis es startete... ich kanns löschen wenns probleme macht!

Ist eh nur die Testversion läuft bald ab, oder sollte zumindest abgelaufen sein habs lange nicht mehr benutzt

jo ist abgelaufen.., wieso war das denn ein problem?

Weil CS von Adobe oft illegal kopiert wird.
Deinstallieren (komplett!), Windows neu starten und wie o.g. ein neues OTL-CustomLog machen

Zitat:

Zitat von cosinus

Weil CS von Adobe oft illegal kopiert wird.
Deinstallieren (komplett!), Windows neu starten und wie o.g. ein neues OTL-CustomLog machen

okay mach ich!

hmm, wieder zu lang

OTL.txt (Pastebin.com) hxxp://pastebin.com/sEE55Xrm
Extra.txt (Pastebin.com) hxxp://pastebin.com/eQdeK1ZD

Zitat:

Computer Name: Larusso-HP | User Name: Larusso

Dein Username ist wirklich Larusso oder soll das deine Art der Unkenntlichmachung sein? Private Daten nur dann unkenntlich machen, wenn da sonst kompletter/realer Vor- und Nachname stünde!

Zitat:

Zitat von cosinus

Dein Username ist wirklich Larusso oder soll das deine Art der Unkenntlichmachung sein? Private Daten nur dann unkenntlich machen, wenn da sonst kompletter/realer Vor- und Nachname stünde!

fakename, da stünde sonst mein name, aber kann ich rückgängig machen, stand halt so in dem "vor dem posten tutorial"..