Hallo Trojaner-Board Community,

Also gestern Abend habe ich mir den BKA Trojaner "Polizeivirus" eingefangen und war zunächst geschockt.. hatte meinen PC ausgeschaltet. Nach dem Einschalten hatte ich wieder zugriff auf meinen Desktop außer zum "Task-Manager" der innerhalb sekunden wieder weg war. Hab viel via Google versucht herauszufinden wie man diesen Trojaner beseitigt ohne den PC neu aufzusetzen. Erstmal den PC auf 2 Tage zurückgesetzt via Systemwiederherstellung. Nach der SWH war alles wie früher, alles hat funktioniert. Bin noch dran mit " Malwarebytes Anti-Malware (Freeware)" den PC zu durchsuchen. 14 Infizierte Objekte gefunden und die Laufzeit ist bei knapp 2 1/2 Stunden angelangt. Bislang hat AntiVir nichts gefunden.
Ich habe mir auch die verschiedenen Versionen vom BKA Trojaner angesehen bei bka-trojaner.de und anscheinend habe ich mir die "1.09 Version" eingefangen.
Was sollte ich nach dem Scan tun? Soll ich noch etwas unternehmen und bin ich danach sicher ??
Ich hoffe ihr könnt mir bei diesem Problem helfen, denn ich bin kein Genie was PC's angeht
Ich danke euch schonmal im vorraus für eure Zeit.

-Stereo

So hab nun die 2 Logs hier


Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.14.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Aleks :: ALEKS-PC [Administrator]

Schutz: Aktiviert

14.09.2012 13:21:08
mbam-log-2012-09-14 (16-43-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 472215
Laufzeit: 3 Stunde(n), 21 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\CLSID\{EF94624F-EAAE-47CA-BE5B-86FDBF0B2BBA} (Backdoor.Hupigon) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{5FD5723F-D6F6-4F31-A7D0-318E72D28E80} (Backdoor.Hupigon) -> Keine Aktion durchgeführt.
HKCR\Interface\{DF4F905C-0961-4464-8460-DD2A1F274D1F} (Backdoor.Hupigon) -> Keine Aktion durchgeführt.
HKCR\QMDispatch.QMFunction.1 (Backdoor.Hupigon) -> Keine Aktion durchgeführt.
HKCR\QMDispatch.QMFunction (Backdoor.Hupigon) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (PUP.MyWebSearch) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 4
HKCU\Environment|EVAPP (Rogue.Antivir2010) -> Daten: C:\Program Files\AV -> Keine Aktion durchgeführt.
HKCU\Environment|EVUNINST (Rogue.Antivir2010) -> Daten: C:\Program Files\Common Files\Uninstall\AV\Uninstall.lnk -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Daten: C:\Users\Aleks\AppData\Roaming\host32.exe -> Keine Aktion durchgeführt.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|AV (Rogue.Antivir2010) -> Daten: C:\Program Files\AV\Antivir.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Windows\QMDispatch.dll (Backdoor.Hupigon) -> Keine Aktion durchgeführt.
C:\Program Files\Ebner\Steig ein! 10.1\media\iMotorrad.exe (Spyware.Passwords.XGen) -> Keine Aktion durchgeführt.
C:\Program Files\Ebner\Steig ein! 10.1\media\iProtokoll.exe (Spyware.Passwords.XGen) -> Keine Aktion durchgeführt.
C:\Users\Aleks\Desktop\Sony Vegas 10 Crack\SonyVegasPro Patch.exe (RiskWare.Tool.HCK) -> Keine Aktion durchgeführt.
C:\Users\Aleks\Desktop\Sony Vegas 11 Crack\SonyVegasPro Patch.exe (RiskWare.Tool.HCK) -> Keine Aktion durchgeführt.

(Ende)



und der zweite...

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.14.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Aleks :: ALEKS-PC [Administrator]

Schutz: Aktiviert

14.09.2012 13:21:08
mbam-log-2012-09-14 (13-21-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 472215
Laufzeit: 3 Stunde(n), 21 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\CLSID\{EF94624F-EAAE-47CA-BE5B-86FDBF0B2BBA} (Backdoor.Hupigon) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{5FD5723F-D6F6-4F31-A7D0-318E72D28E80} (Backdoor.Hupigon) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{DF4F905C-0961-4464-8460-DD2A1F274D1F} (Backdoor.Hupigon) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\QMDispatch.QMFunction.1 (Backdoor.Hupigon) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\QMDispatch.QMFunction (Backdoor.Hupigon) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 4
HKCU\Environment|EVAPP (Rogue.Antivir2010) -> Daten: C:\Program Files\AV -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Environment|EVUNINST (Rogue.Antivir2010) -> Daten: C:\Program Files\Common Files\Uninstall\AV\Uninstall.lnk -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Daten: C:\Users\Aleks\AppData\Roaming\host32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|AV (Rogue.Antivir2010) -> Daten: C:\Program Files\AV\Antivir.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Windows\QMDispatch.dll (Backdoor.Hupigon) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Ebner\Steig ein! 10.1\media\iMotorrad.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Ebner\Steig ein! 10.1\media\iProtokoll.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Aleks\Desktop\Sony Vegas 10 Crack\SonyVegasPro Patch.exe (RiskWare.Tool.HCK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Aleks\Desktop\Sony Vegas 11 Crack\SonyVegasPro Patch.exe (RiskWare.Tool.HCK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Ich habe auch versucht OTL von Oldtimer zu benutzen ... hat nicht funktioniert. Wenn ich es als Admin starten will crasht die exe sofort.

Zitat:

RiskWare.Tool.HCK

C:\Users\Aleks\Desktop\Sony Vegas 10 Crack\SonyVegasPro Patch.exe
C:\Users\Aleks\Desktop\Sony Vegas 11 Crack\SonyVegasPro Patch.exe

Die Benutzung von Cracks und Keygens verstoesst gegen unseren Kodex.

Schon mal darueber nachgedacht, warum es Cracks gibt?
Mit Cracks & Co installiert man sich Hintertueren auf dem Rechner.
Kriminelle nutzen solche Rechner als Botnetz fuer ihre Machenschaften. Dein System ist als nicht vertrauenswuerdig einzustufen und du solltest keine sensiblen Sachen wie Homebanking an dem PC betreiben.

Zitat:

Spyware.Passwords.XGen

C:\Program Files\Ebner\Steig ein! 10.1\media\iMotorrad.exe
C:\Program Files\Ebner\Steig ein! 10.1\media\iProtokoll.exe

Zitat:

Backdoor.Hupigon

HKCR\CLSID\{EF94624F-EAAE-47CA-BE5B-86FDBF0B2BBA}
HKCR\TypeLib\{5FD5723F-D6F6-4F31-A7D0-318E72D28E80}
HKCR\Interface\{DF4F905C-0961-4464-8460-DD2A1F274D1F}
HKCR\QMDispatch.QMFunction.1
HKCR\QMDispatch.QMFunction
C:\Windows\QMDispatch.dll

Trojan.Vundo

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}

Backdoor.Bot

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}

Anleitungen zum Neuaufsetzen (bebildert) > Windows 7 neu aufsetzen > Vista > XP

1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.

Also die Cracks die auf meinen PC vorhanden waren sind gelöscht, obwohl ich das schon früher vorhatte. Hatte ich anscheinend vergessen.
Jetzt zum thema Homebanking, davon halte ich rein garnichts und vertraue dem auch nichts. Homebanking ist so ne Sache mit der ich nichts zu tun haben will und dem ganzen nicht vertraue.

Gibt es eventuell eine andere Lösung(en) wie ich meinen PC säubern kann ? Denn mein PC ist schon ziemlich alt und die Windows CD hab ich verlegt, was mir natürlich einen Strich durch die Rechnung macht.

Ja es ist ein fertig PC.

Systeminformationen
Betriebssystem: WIndows Vista Home Premium (6.0, Build6002)
Systemhersteller: Fujitsu Siemens
Systemmodell: MS-7379VP
BIOS: Default System BIOS
Prozessor: Intel(R) Core(TM) 2Quad CPU Q9400 @ 2.66GHz (4 COUs), ~2.7GHz

Danke schomal im vorraus für deine Hilfe!

Mit freundlichen Grüßen
-Stereo

Dein Vista ist nichteinmal gepflegt (SP2 fehlt)

Zitat:

Intel(R) Core(TM) 2Quad CPU

Geld war fuer Hardware da. Kaufe dir WIndows 7
Amazon.de: Neu und gebraucht: Windows 7 Home Premium 32/64 Bit

Der Rechner gehoert sofort getrennt vom Netz.

Also ist doch irgendwas am PC faul ... SP2 verstehe Bahnhof aber auch egal
Ich werd mir Win 7 besorgen. Danke !

Ja, sehr faul.

SP2 ist ene Sammlung von Windows Updates/Behebung von Sicherheitsluecken.
Wer einen Rechner online betreibt muss sofort die herausgegebenen Windows-Updates einspielen.

Melde dich mit Win7 wieder

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.