BKA Trojaner win7 pro 64 Bit
 

Hallo zusammen,

ein vermeintliches Hdd-Rettungstool hat mir wohl das Virus ins System geladenhttp://www.trojaner-board.de/images/smilies/pfeiff.gif. Es äußerte sich folgendermassen:

nach dem Windows start erschien eine Benutzermaske mit dem ungfähren Inhalt ich solle 100€ Strafe überweisen wegen angeblicher illegaler Machenschaften. Ein Link war auf der GUI anklikbar über den man wohl das Geld hätte überweisen können.

Daraufhin habe ich an einem anderen PC eine Sophos Live Disc erstellt, von dieser gebootet und diese drei infizierte dateien (unter anderem im TEMP Verzeichnis) löschen lassen, woraufhin mein Pc wieder einwandfrei funktioniert.
Da ich aber in nächster Zeit das System neu und sauber aufsetzen wollte wäre es super wenn jemand nachsehen könnte ob noch Viren-Reste vorhanden sind, obwohl ich keine Daten von extremem Wert habe.hxxp://www.trojaner-board.de/images/smilies/dankeschoen.gif

hast du das tool noch welches das problem verursacht haben könnte?
falls ja,
File-Upload.net - Ihr kostenloser File Hoster!
lade es dort hoch und sende es mir als private nachicht, nicht hier im forum posten.
falls du den link hast, ebenfalls als private nachicht bitte.

Nein leider nicht. Ich hatte aufgrund eines wohl defekten chips probleme mit der Festplattenverschlüsselung bei einem notebook. Das Programm sollte die Festplatte analysieren und feststellen ob sie zu retten ist. Dazu musste ich das Programm (das ich mit Sophos vorher überprüft hatte) als Administrator ausführen und den Router Firewall deaktivieren, damit es Verbindung zu irgendeinem Server aufnehmen konnte.
Das war ziemlich dumm von mir allerdings dem Zeitdruck geschuldet einen Laptop für meine Schwester herzurichten.

jo, die info nützt mir leider nicht, trotzdem danke :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo,
nachdem ich gestern unter Benutzung von ComboFix die Fehlermeldung: ""\MicroLab\SearchEngin\" kann syntaktisch an dieser Stelle nicht verarbeitet werden." hatte, hat heute das "log-erstellen" funktioniert.

Mein trojaner könnte eventuell auch von einer gefakten , soweit ich mich erinnere 36 MB großen, Avira free personal version stammen.
Das sagt Sophos dazu:

Mal/FakeAV-CN, Mal/FakeAV-CN, Mal/Encpk-LZ, Mal/FakeAV-CN, Mal/FakeAV-CN
F:\Downloads\avira_antivir_personal_de.exe.part [versteckt]

leider kann ich auf die datei nicht zugreifen, auch nicht über die konsole. Vielleich ist sie ein Artefakt in Sophos.

Hier meine Log Datei von Combo fix:
Combofix Logfile:
--- --- ---

hi, öffne mal computer, c: qoobox, rechtsklick quarantain, mit winrar oder zip packen, hochladen:
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html
hast du den link noch, wo du die avira version laden wolltest, dann bitte als private nachicht an mich.

Hallo,
dafür bin ich wohl zu blöd oder das verzeichnis qoobox existiert bei mir nicht. Windows konsole kann das Verzeichnis auch nicht finden. Mit linux kann ich übrigens auch nicht die "fake av-datei" sehen und der Sophos "infected" order ist auch leer.:glaskugel::glaskugel2:

lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar

der ordner qoobox liegt direkt auf c:
sollte nach unhide auf jeden fall sichtbar sein

Hallo,
unhide hat nichts zu Tage gefördert:killpc:, auch nicht mit abgeschaltetem Sophos.
Solltest Du Interesse an den Sophos-Logfiles von meiner Sophos Boot CD Lösch-Session haben, kann ich Dir die auch posten oder schicken. Das untere Bild zeigt mein Laufwerk C mit den Logfiles(oben):

du hast doch windows ganz normal gebootet oder. wenn du jetzt auf computer, bzw arbeitsplatz klickst
und dort das laufwerk c: öffnest muss dort ein ordner qoobox sein, sollte ja nicht so viele einträge mit q geben, bzw die mit q beginnen

Hallo,
ich hab die datei hochgeladen. qoobox wurde wohl gelöscht als ich combofix deinstalliert hab:pfeiff:.

ja, super, hab ich was von deinstalieren geschrieben?
ich hab die malware daraus zur analyse benötigt, da ich dir jetzt auch nciht sagen kann was genau gelöscht wurde, müssen wir trotzdem zur sicherheit klären, machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

hallo,

mir war nicht klar, dass combofix mehr macht als eine log-datei zu schreiben.

Ich mach sowohl onlinebanking, als auch onlineshopping, wobei ich mich seitdem nicht mehr auf diesem rechner bei der Bank angemeldet habe.
Allerdings hab ich online mit kreditkarte eingekauft aber wohl keine Kreditkartennummer eingegeben.

Sophos hatte diese drei files gefunden und gelöscht:

>>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Local/Temp/0.3472579573876027.exe
>>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Local/Temp/jar_cache6280521374959359570.tmp
>>> Virus 'Mal/EncPk-AAT' found in file /mnt/sda1/Users/Odysseus/AppData/Roaming/0.3472579573876027.exe

also, für mich siehts danach aus als hast du ne malware die bank daten stiehlt.
deswegen, bank anrufen, sperren lassen.
dann daten sichern, wie bilder filme etc.
dann pc neu aufsetzen.
falls anleitung nötig bekommst du sie.
dann gebe ich dir ne anleitung wie man das system vernünftig absichert.

Hallo,
:dankeschoen:
seit dem Virenbefall hab ich von dem Computer aus nicht mehr ins onlinebanking eingeloggt (da sind auch keine bankdaten gespeichert) und es wurde auch nichts dubioses abgebucht. Ich hab auch keine Kreditkarteninformationen eingegeben. Aber natürlich werde ich wachsam bleiben.:aufsmaul:
Neu aufsetzen wollte ich den Pc eh. Deshalb würde es mich natürlich brennend interessieren, wenn Du mir sagen könntest, wie ich meine Daten auf den "frischen (mit partedmagic secure erasten)" pc "rüberbekomm" ohne ihn zu kompromittieren und wie infektiös die viren sind.
Nochmals vielen Dank.
P.S.:Es kann gut sein, dass der bka -trojaner nur meine kontodaten wollte, als er mich "überreden" wollte 100€ zu zahlen oder zu überweisen
:dankeschoen:.