Meine Freundin hat sich diesen BKA-Trojaner eingefangen..."witzigerweise" ist das direkt vor meinen Augen passiert. Es war kein Anhang...es ging ein Popup oder irgendetwas auf und plötzlich merkt man wie der Laptop heftig werkelt und herunterfährt, bzw. in diesem Fall wie neustartet (schwierig zu erklären) und dann der BKA Screen kommt. Es ging nichts mehr, kein Task-Manager, nichts. Dann habe ich das Teil einfach mal neugestartet...danach hat man kurz die Icons gesehen und dann sofort wieder den BKA Screen.
Da es den Task-Manager und alles blockiert hat, hatte ich sofort im Gefühl, dass hier etwas übleres im Gange ist. Deshalb erstmal an den zweiten PC und gegoogelt. Da wurde mir das Ausmaß klar und ich habe den verseuchten Laptop sofort ausgeschaltet.
Das Problem wäre für mich nicht das System komplett platt zu machen und neu aufzusetzen (was ich sowieso machen werde), sondern sie hat leider kein Backup ihrer Daten (UND ICH HAB SIE IMMER GEWARNT ). Zum Glück habe ich wenigstens nach dem Neukauf des Laptops Wiederherstellungs-DVDs gemacht, sodass ich das System neu aufsetzen kann. Das wichtigste wäre die Rettung der Bilder und Dokumente!

Nachdem ich im abgesicherten Modus Malwarebytes Anti-Malware ausgeführt habe (Report ist unten), habe ich ein bisschen geschaut wie schlimm es aussieht. Im abgesicherten Modus habe ich jetzt kein einziges File gefunden bei dem der Name ein "locked" oder ähnliches davor hat. Öffnen konnte ich Bilder zwar nicht, weil Windows gesagt hat, dass das im abgesicherten Modus nicht möglich ist, aber in der Miniaturansicht konnte man sie in klein sehen (Wenn man die Ordneransicht auf "Kacheln" hat). Wenige Bilder habe ich gefunden die einen Buchstaben- und Zahlensalat haben, aber wie gesagt sehr wenige...zumindest bis jetzt. Weiß nicht wo genau sie überall ihr Zeug hat.

Des Weiteren, falls das als Info für euch wichtig ist, habe ich mittels der Bilder auf www.bka-trojaner.de gesehen, dass der Bildschirm nach dem Befall so aussah wie der der dort als Version 1.03 anbgegeben wird:
hxxp://blog.botfrei.de/wp-content/uploads/2012/01/bka-trojaner4.png
Kann ich damit sicher davon ausgehen, dass es der 1.03 ist?


Jetzt habe ich Malwarebytes Anti-Malware im Abesicherten Modus (inkl. Netzwerktreiber) ausgeführt nach eurer Anleitung. Überall wo ein Name stand wurde er von mir durch "XXXXXX" ersetzt, bei der Windowsbeschreibung und in den Dateipfaden.

Hier das Ergebnis:



Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.10.09

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
XXXXXX :: XXXXXX [Administrator]

Schutz: Deaktiviert

10.07.2012 16:34:21
mbam-log-2012-07-10 (16-34-21).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 215664
Laufzeit: 6 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run||52C7C6C7-D9F8-1C2E-B8D2-B4836F5C790B} (Trojan.Phex.THAGen1) -> Daten: C:\Users\XXXXXX\AppData\Roaming\Ycxo\meno.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\XXXXXX\AppData\Roaming\Ycxo\meno.exe (Trojan.Phex.THAGen1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Was kann/soll ich jetzt als nächsten Schritt machen?
Wie gesagt habe ich beim ersten durchschauen noch nicht viel verdächtiges in Sachen Verschlüsselung gefunden.


Vielen vielen Dank für eure Hilfe!!



PS: Habe einen neuen Thread geöffnet, weil der erste sinnlos zugemüllt war von mir mit viel unwichtigem, tut mir Leid. Habe auch einen neuen gemacht, weil ich im alten nichts mehr editieren konnte, speziell den Threadtitel...da ich jetzt neue Infos durch Malwarebytes Anti-Malware habe. Der alte kann gelöscht werden!

hier gehts weiter:http://www.trojaner-board.de/119042-...hensweise.html