BKA Virus - was ist noch befallen?
 

Hallo zusammen,

Ende letzter Woche wurde auch ich vom BKA-Trojaner heimgesucht und habe bereits eine ganze Reihe Schritte unternommen, nach denen ich hoffe (!), dass mein System wieder bereinigt ist. Ich traue dem Braten allerdings noch nicht und würde daher gerne nochmal einen fachmännischen Rat einholen (ein Bekannter hat mir dazu euer Forum empfohlen).

Folgendes habe ich bereits unternommen (Windows 7 Professional 64 bit):
- Viren-exe (mahmud.exe) nach Anleitung im abgesicherten Modus gesucht und gelöscht. Seitdem hatte ich zumindest keine Symptome mehr
- an verschiedener Stelle (z.B. hier) ist zu lesen, dass die Kaspersky Rescue Disk 10 das System komplett reinigen kann, daher diese CD runtergeladen und laufengelassen. Dabei wurden 18 infizierte Dateien gefunden und gelöscht.
- Ubuntu von CD gebootet und alle versteckten Ordner und Dateien auf meinem Stick gelöscht (das war möglicherweise eine Überreaktion, denn ich habe danach festgestellt, dass diese Dateien davor schon vorhanden waren.. ;) )
- Malwarebytes installiert und laufen gelassen. Dabei wurde die genannte mahmud.exe nochmal gefunden. An der Stelle wurde mir das ganze zu blöd und ich hab dann doch C formatiert und Windows neu installiert.
- nochmal Malwarebytes: Alles sauber.

Was mich jetzt noch beschäftigt, sind Partition D und mein USB-Stick, den ich zu dem Zeitpunkt des Befalls angeschlossen hatte. Eine Formatierung dieser Datenträger wäre für mich nur eine Option für den äußersten Notfall, da auf beiden einige wichtige aktuelle Dateien gespeichert sind (das letzte Backup, das ich auf einem anderen PC gemacht habe, ist 1 Monat alt). Das Problem ist, dass ich auf dem Stick auch u.a. meine Passwörter gespeichert habe (verschlüsselt) und ich mich jetzt nicht mehr traue
a) die Passwortdatenbank zu öffnen
b) den Stick an andere Rechner anzuschließen
c) Seiten wie etwa mein Online-Banking zu öffnen

Meine Frage ist daher:
1. wie ich herausfinden kann, ob der Stick und meine Dateien auf D sauber sind
2. was ich sicherheits- und datenklautechnisch alles zu befürchten hätte, wenn dem nicht so wäre.
3. Was ich jetzt noch für Maßnahmen ergreifen soll/muss, hinsichtlich Datenträgerbereinigung, Passwörtern, Onlinebanking etc. Im Nachbarthread habe ich das hier gelesen:

Soll ich das auch machen?


Von den oben genannten Prozessen hab ich leider keine Logfiles erstellt. Aber gemäß Checkliste habe ich eben Defogger und OTL benutzt und die mit *** bearbeiteten Logfiles angehängt. In Reaktion auf OTL hat sich übrigens Sophos beschwert ('Verdächtiges Verhalten von HIPS/RegMod...' o.ä.).


Vielen Dank schonmal für eure Hilfe und viele Grüße,
Morchel

Log hast du noch? Wenn ja posten

Von Malwarebytes auch alle Logs posten!!

100% Sicherheit gibt es nicht. Hat Malwarebytes auch Sticks und Datenpartitionen durchsucht? Alle Funde sofern welche da waren gelöscht?
Und am besten alles noch manuell löschen was nicht mehr benötigt wird.

Danke für die Antwort.

Malwarebytes hab ich angehängt, ist aber glaube ich nicht so ergiebig. Den Kaspersky-Log hab ich leider nicht mehr, das war noch vor Format C:...

Ja, wurde alles durchsucht und nichts gefunden. Ballast gelöscht habe ich auch bereits.
Dass 100%ige Sicherheit nicht zu gewährleisten ist, hab ich bereits befürchtet. Wie hoch würdest du denn die Sicherheit einschätzen, dass mein System wieder sauber ist? Ist bereits irgendwas darüber bekannt, was der BKATrojaner außer dem offensichtlichen Sperrscreen noch machen kann? Und kann ich den Stick jemals wieder guten Gewissens an einen anderen Rechner ranlassen?

Btw: Noch eine Frage zu dem OTL-extra-Log. Ohne tieferes Verständnis dessen, was da berichtet wird, ist mir aufgefallen, dass da ziemlich oft "Reg Error: Key error." steht. Ist das normal?

VG
Morchel

Wie jetzt, du hast erst bereinigt und dann formatiert?

Wenn du einen Stick anschließen willst, der möglichweise infiziert ist, deaktivierst du VORHER die automatische Wiedergabe komplett

Automatische Wiedergabe deaktivieren:

Auf dem (neuinstallierten) Windows-Rechner die automatische Wiedergabe (Autorun) auf allen Laufwerken deaktivieren:

Windows XP: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

Naja, wie oben erwähnt bin ich zum Zeitpunkt, als ich Kaspersky ausgeführt habe, ja davon ausgegangen, es könnte das system reinigen. Als ich danach allerdings durch den Fund von mahmud.exe durch Malwarebytes eines Besseren belehrt wurde, habe ich C formatiert und Windows neu installiert.

Autorun habe ich deaktiviert. Und jetzt?

Dann ist der Schädling auch entfernt in Sinne von => Betriebssystem ist (wieder) vertrauenswürdig

Dir ist klar wozu das ganze?
Hast du ALLE externen Datenträger mit Malwarebytes überprüft?

Wie meinst du das? Vielleicht haben wir hier ja etwas aneinander vorbeigeredet:

- Mein System sollte prinzipiell sauber sein, stimmt.
- es sei denn, es wurde durch den Inhalt auf D oder dem Stick (beide nicht formatiert wegen damit verbundenem Datenverlust) sofort neu infiziert.
- ich habe allerdings heute nochmal Malwarebytes einen Komplettscan durchführen lassen, wieder ohne Fund (Anhang).

Alles was ich an dieser Stelle wissen möchte, ist, ob mein Stick soweit wieder sauber ist und ich ihn wieder normal zum Arbeiten an verschiedenen Rechnern benutzen kann. Da du dazu gesagt hast, es gebe keine hundertprozentige Sicherheit, ist meine konkrete Frage:

- womit kann ich meine potentiell noch infizierten Datenträger scannen, um die Sicherheit auf ein annehmbares Maß zu erhöhen?
- muss ich dann trotzdem noch befürchten, dass irgendwann demnächst ein Desaster eintritt, z.B. mein Konto leer ist, der Virus auf meinen anderen Rechnern oder denen meiner Kollegen auftritt o.ä.? Dann würde ich nämlich die höchstmögliche Sicherheitsmaßnahme ergreifen, die mir einfällt, nämlich nochmal alles neu installieren, dann ZUERST Autorun ausschalten, den Stick anschließen, alle seit dem letzten sauberen Backup neu hinzugekommenen Daten runtersichern, Stick formatieren, Daten wieder rauf. Ich hab im Moment den Eindruck, dass das mit Kanonen auf Spatzen geschossen wäre, aber genau da würde ich eben gerne nochmal eine Expertenmeinung hören.

Oder ist das alles Blödsinn, was ich mir zu dem Thema denke?

Danke nochmal und viele Grüße,
Morchel

Mit scannern garnicht weiter.
Duch das deaktivierte Autorun (automatische Wiedergabe) kann kein Autorun-Schädling automatisch gestartet werden. Anschließend löschst du alles vom Stick oder besser: du speicherst nur das was noch vom Stick (bzw. externen Datenträger wie USB-Platte) noch benötigt wird auf der internen Platte zwischen und formatierst alle externen Datenträger nochmal neu.

Hab ich gemacht. Dann gehe ich jetzt also einigermaßen davon aus, dass mein System sauber ist, von meinen Devices keine Bedrohung mehr ausgeht und entspanne mich wieder...?