Trojaner-Board - Trojaner BKA1.13

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner BKA1.13 (https://www.trojaner-board.de/121863-trojaner-bka1-13-a.html)

Trojaner BKA1.13

Hallo

Bin leider Opfer dieses BKA Viruses geworden. Er hat bisher allerdings nur Auswirkungen auf meinen Benutzer. Die anderen Benutzer und der Administrator funktionieren noch. Laut divesen Foren handelt es sich bei diesem Virus um die Version 1.13. Ich kann leider nicht im abgesicherten Modus hochfahren. Da kommt sofort ein Bluescreen. Kann ich vom Admin aus auf diese Reg zugreifen, um zu sehen ob in der shell die explorer.exe steht? Wenn ja wie?
Was kann ich tun um das Teil loszuwerden? Wie kann ich die Registry wieder reparieren und den Virus entfernen?

Danke euch für eure Hilfe

:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Alles klar ich bin dabei.
Ich habe aus Spaß mal einen weiteren Benutzer angelegt und ihn so eingestellt, das ich wieder normal mit ihm arbeiten könnte. Es scheint also nur die Reg von meinem Benutzer gekillt zu haben. Hat also nicht mit Admin oder eingeschränktem User zu tun. Ich könnte theoretisch meinen Benutzer löschen und das System funzt wieder. Den Trojaner habe ich laut Virenprogramm und Anti Mailware Programm auch schon gelöscht. Ich müsste es nur wieder hinbekommen, das ich wieder im abgesicherten Modus hochfahren kann. Oder was meinst du dazu?

SO ich habe alles so gemacht, wie du beschrieben hast. Er hat allerdings nur die OTL.txt erzeugt, nicht aber die extras.txt. Was ist schief gelaufen? Anbei schon mal die OTL.txt

So habs doch noch hinbekommen.
Ich hoffe du kannst mir jetzt helfen

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

:OTL

DRV - File not found [Kernel | On_Demand] -- -- (zlportio) 

DRV - File not found [Kernel | On_Demand] -- -- (WDICA) 

DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) 

DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) 

DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) 

DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) 

DRV - File not found [Kernel | System] -- -- (PCIDump) 

DRV - File not found [Kernel | System] -- -- (lbrtfdc) 

DRV - File not found [Kernel | System] -- -- (i2omgmt) 

DRV - File not found [Kernel | On_Demand] -- -- (CPWUA2F) 

DRV - File not found [Kernel | System] -- -- (Changer) 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\Alex_ON_C\..\URLSearchHook: - Reg Error: Key error. File not found 

IE - HKU\Alex_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) 

IE - HKU\Alex_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\Alex_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box;192.168.178.1;*.local 

IE - HKU\Denise_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

O3 - HKLM\..\Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. 

O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. 

O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. 

O3 - HKU\Alex_ON_C\..\Toolbar\ShellBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. 

O3 - HKU\Alex_ON_C\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. 

O3 - HKU\Denise_ON_C\..\Toolbar\ShellBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. 

O3 - HKU\Denise_ON_C\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. 

O4 - HKLM..\Run: [KernelFaultCheck] File not found 

O4 - HKU\Alex_ON_C..\Run: [imldvsprsltgcon] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\imldvspr.exe () 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\Alex_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\Alexander_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\Denise_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.) 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) 

O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2008/11/12 11:55:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] 

O34 - HKLM BootExecute: (autocheck autochk *) - File not found 

 

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
 

[2012/08/11 10:32:57 | 000,000,051 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yjbmuaduulhqehk 

[2012/08/11 10:33:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drzlhfvjssyfrko 
 

[2012/02/10 12:15:00 | 000,000,398 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job 

:Files
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

So ich habe alles ausgeführt.
Nch dem ersten Neustart hat er sich nach dem anmelden mit dem infizierten Benutzer aufgehangen. Nach dem neustart habe ich erst einmal nachgesehn ob die beiden anderen Benutzer funktionieren. Das tun sie. Hab den Benutzer dan gewechselt auf den infizierten. Diesmal meldete sich an. Brachte aber gleich die Meldung, dass die explorer.exe und die drwtsn32.exe geschlossenwerden müssen. Hab den explorer per hand im Taskmanager neu gestartet. Jetzt läuft das System. Was mich nur wundert:
-die gesamte Oberfläche inkl. des Schemas der Fenster ist anders
-in der Regedit steht in dem Winlogon Fenster, dass ich als ein anderer User angemeldet bin. Ist das normal?
- Kann Outlook nicht starten.
Hast du eine Mischung aus verschiedenen Benutzern angelegt? Kommt mir irgendwie so vor.
Hab leider nicht die große Ahnung.
Im abgesicherten Modus starten geht leider nicht. Immer noch Bluesceen
Er hat sich auch komischerweise nach dem Neustart nicht meine Änderungen bzgl. der Startleiste gemerkt. Ich stell immer noch alles auf klassisch. Nach dem Neustart war alles wieder im XP style

Vielen Dank erstmal.
Wie gehe ich jetzt weiter vor? Systemscan usw.

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.