Trojaner-Board - BKA-Trojaner hat zugeschlagen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BKA-Trojaner hat zugeschlagen (https://www.trojaner-board.de/102354-bka-trojaner-hat-zugeschlagen.html)

BKA-Trojaner hat zugeschlagen

Hallo zusammen,

auch bei mir hat der BKA-Trojaner heute abend zugeschlagen. Ich habe schon im Forum gesehen, dass ich nicht die einzige mit dem Problem bin.
Ich kann wegen des Tojaners nicht mehr auf mein Konto zugreifen und hab deshalb OTL über mein Gastkonto laufen lassen.
Zuvor habe ich mit Malwarebytes' Anitmal-Ware versucht den Trojaner in Quarantäne zu kriegen, was jedoch nichts bewirkt hat.

Ich hoffe auf baldige Hilfe, danke im Vorraus :)

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Bestätige den Disclaimer mit OK.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Vielen Dank für die schnelle Rückmeldung.

Leider hat es scheinbar bei mir nicht richtig funktioniert.
Als ich start srep.exe eingegeben habe, ist dann folgendes erschienen:

AutoIt Error
Line 9655 (File "F:\srep.exe"):
Error: Variable used without being declared.

Ich hab dann OK gedrückt. Ich hab dann über eine Stunde gewartet und es ist nichts mehr passiert.
In der Textdatei shell.txt steht auch nur WIN_7 X64.

Hätte ich einfach noch länger warten müssen?

Hat das Laufwerk die Bezeichnugn F?

ja, es hat die Bezeichnung F.

Schritt 1

Downloade Dir bitte OTL auf einen USB Stick.

Speichere folgenden Text aus der Code Box als fix.txt ebenfalls auf den selben USB Stick.

Code:

:reg

[HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="explorer.exe"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="explorer.exe"
 

:commands

[emptytemp]

Schritt 2

Starte deinen Rechner in den Abgesicherte Modus mit Eingabeaufforderung.

Während dem Hochfahren mehrmals F8 drücken. ( Kann bei mancheen Systemen auch eine andere F Taste sein )
Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter.
Logge dich im Administrator Konto ein.

Schritt 3

Nun ist etwas Handarbeit gefragt. Schließe den USB Stick an den infizierten Rechner an.

Du musst nun heraus finden, welchen Laufwerksbuchstabe der USB Stick hat.

Entferne alle anderen externen Medien von dem infiziertem Rechner.
Danach gibst du zB E: ein. Sollte folgende Meldung kommen

versuche einen anderen Buchstaben bis keine Fehlermeldung mehr kommt.
( USB Anschlüsse haben meist E oder F )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
notepad fix.txt
Dies wird ein Textdokument öffnen. Markieren den gesammten Inhalt, Rechtsklick kopieren
Das Fenster kannst Du wieder schließen.
Gib nun folgenden Text in das schwarze Fenster und drücke erneut Enter
start otl.exe
Dies wird OTL öffnen. Füge nun den vorher kopierten Text in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox ein und drücke Run Fix.

Der Rechner wird neu starten. Danach solltest Du wieder zugriff auf deinen PC haben.

Schritt 4

Starte OTL erneut und klicke auf den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread. ( Zu finden auf deinem USB Stick )

Diesmal hat alles funktioniert.

Schritt 1

Mehrere Anti-Virus-Programme

Code:

Norton AntiVirus

GData

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast und deinstalliere die anderen.

Schritt 2

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.http: ""

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.http_port: 0

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.no_proxies_on: "localhost, 127.0.0.1"

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.share_proxy_settings: false

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.socks: ""

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.socks_port: 0

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.ssl: ""

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.ssl_port: 0

FF - prefs.js..extensions.charles.settings.disabled.network.proxy.type: 5

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.http: "127.0.0.1"

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.http_port: 8888

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.no_proxies_on: ""

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.share_proxy_settings: false

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.socks: ""

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.socks_port: 0

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.ssl: "127.0.0.1"

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.ssl_port: 8888

FF - prefs.js..extensions.charles.settings.enabled.network.proxy.type: 1

FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170633FE}:21.1.10084.997

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Ich hab GData deinstalliert und den beschriebenen Vorgang ausgeführt.

Update MAlwarebytes und scanne, poste das Log.

Hier das Log von Malwarebytes.

Zitat:

d:\nero local autobackup

Entferne das backu von Nero und mache am Schluss ein neues.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.