KBA-Trojaner mit unbekannter Vorgeschichte
 

Hallöle,

meine chefin hat mir ihren versauten laptop über ihren Urlaub in die Hand gedrückt, ich soll ihn wieder fitt machen. Sie konnte mir nicht exakt erklären, was sie so getrieben hat, aber zu guter Letzt hat sie sich den BKA-trojaner eingefangen, weil sie zuvor ihr Sophos ausgeschaltet hat um einen Virus zuvor zu löschen.
Ich hab mit OTLPENet ne StartCD erstellt, die wichtigsten daten gesichert und hier ist der Log, durch den ich aber nicht mehr durchsteige.
Wäre jemand so lieb, mir die fix-befehle schnell zu geben?

Nächste schritte, die ich durchführen würde, wären nach einem Start von Windoof den KK-Scanner von Kaspersky drüber lkaufen zu lassen und mit Hijackthis und der Logfileauswertung nochmal zu arbeiten.

Grüße und Dank im Vorraus, Ggw

Macht Chefin mit dem Gerät Onlinebanking? Wenn nicht aber bestimmt andere geschäftskritische Dinge? Bei sowas solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.

Das tut man wohl, aber da ein Haufen an Programmen installiert wurde - unter anderem spezielprogramme, die nur auf 3 Rechnern per USB-Beacon installiert werden können und einen haufen Geld kosten - möchte sie Retten, was zu retten ist.

Macht die EDV-Abteilung keine Images von solch wichtigen Geräten? :balla:

Die EDV popelt in der Nase. Wir sind hier in der Uni ... hier muss man selber ran.

Naja, die EDV in der Uni ist auch nicht für das Notebook von irgendeiner Cheffin zuständig, oder? :D

Warum wurde Ende Mai Combofix ausgeführt?

Sie hat ja versucht einen anderen Virus zuvor zu löschen. Um Combofix laufen zu lassen, hat sie sophos antivir ausgeschaltet (oder gar deinstalliert??) und sich den BKA-Trojaner eingefangen. So ihre erklärung.

Dank dir auf jeden fall!

Also ich hab die datein gekillt, dennoch kommt das beknackte Startfenster vom BKA :killpc:

Chefin ist ja Post-Doc und damit Angestellte der Uni.

Welche? Die von CF? Davon war nicht die Rede, dass du die löschen sollst!!

nein, die die du gepostest hast.

aber es scheint noch irgendwo im autostart zu schlummern und mindestens eine Keimzelle scheint ja noch zu schlummern.

Und wo stand was davon, dass du sie löschen sollst? :balla:
Mach bitte nicht einfach irgendwas, das kann bei späteren Anleitungen extrem nervig bis kontraporduktiv sein! :kloppen:

Ich hab die als Zitat nur zum Kenntlichmachen genutzt, dass da CF wirklich ausgeführt wurde, von Löschen hab ich nichts geschrieben!

aye aye sir! :o

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Fix durchlaufen gelassen.
_OTL als Zip in reatogo erstellt und Log als TXT umformatiert und beides im Anhang wie gewünscht.