Trojaner-Board - BKA Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BKA Trojaner - OTL Logfile (https://www.trojaner-board.de/110632-bka-trojaner-otl-logfile.html)

BKA Trojaner - OTL Logfile

Hallo liebe Gemeinde,

ich habe hier ein Rechner von einer Kommilitonin die sich den
BKA-Trojaner eingefangen hat. Leider hat sie mit einem Kumpel
erst im Alleingang versucht das Ding zu löschen und dabei
irgendwelche Registry-Einträge und Bios-Einstellungen (Bios natürlich gleich alles zurückgesetzt) vorgenommen... :headbang:

Wie dem auch sei, das System läuft jetzt nicht mal mehr im Abgesicherten
Modus stabil, die Eingabeaufforderung startet nicht mehr...

OTL Boot-CD und der Log ist hier im Anhang.
Könnt ihr mir helfen? Ist das System noch zu retten...? Als ich es mal kurz in das System geschaft hatte (eine Systemwiederherstellung hat komischerweise die "BKA-Meldung" in den Hintergrund geschoben sodass ich für ein paar Minuten das System für mich hatte) hab ich in der Registry die Shell angeschaut, in welcher "explorer.exe" als Wert zu finden ist :heulen:

Also, wie gesagt, hier das OTL Logfile.

Vielen Dank für eure Hilfe,
Markus

hi,
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

F3:64bit: - HKU\sini_ON_D WinNT: Load - (C:\Users\sini\LOCALS~1\Temp\msxpskyn.scr) - D:\Users\sini\Local Settings\Temp\msxpskyn.scr (The cURL library)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Files

D:\Users\sini\Local Settings\Temp\msxpskyn.scr

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

edit: bei dir evtl. d:

Hallo markusg,

vielen Dank für deine Superschnelle Hilfe
und den Fix-Log.

Habe den Fix drüber laufen lassen, Systemneustart
hat danach nicht geklappt, Reatogo hat sich ebenfalls
beim Shutdown verabschiedet.

Der Fix hat geklappt, die Meldung ist immerhin weg!
Allerdings habe ich keine otl.txt bekommen. Ich habe
jetzt otl nochmal laufen lassen, allerdings nicht von der
Boot-CD aus sondern direkt aus dem System. Log und movedfiles.zip
sind via Uploadchannel hochgeladen.

Gruß,
Markus

ps: Da ich den Link zu dem Beitrag angeben musste nehme ich an du kommst
da jetzt ran, da ich kein Downloadlink oder ähnliches bekommen habe.

edit: Ich habe gleich Malwarebytes installiert, die Flash-Analyse hat ein worm.autorun in der
explorer.exe gefunden. Wurde entfernt, jetzt kommt ein Vollscan vom System dran.

sehr gut, hat geklappt.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

ComboFix hat sich beim Scan neu gestartet, nach dem neustart
hat sich von alleine AV und Firewall gestartet, habe diese gleich
wieder abgeschossen. Hoffe das ist nicht all zu wild.

Hier der Log.

Viele Grüße,
Markus

passt.
öffne malwarebytes, logdateien, poste alle berichte.

Yeah, super! Hier der mb log, sagt ebenfalls keinerlei Funde.
Ihr seit echt die Besten :party: Vielen lieben Dank Markus!
Und die allerbesten Grüße,
ebenfalls von Markus :daumenhoc

kannst du mal bitte, nach update, nen vollständigen scan machen, log ebenfalls posten

Ach, das hatte ich doch gemacht, nur den Log verpeilt, und den alten "neuen" natürlich gelöscht... *grml* Vorsichtshalber hier ein ganz frischer, Vollständiger Scan, ohne Befund :-)

Viele Grüße,
Markus

hi,
lade den CCleaner standard:
CCleaner Download - CCleaner 3.16.1666
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.