Trojaner-Board - Bildschirmblockierung durch BKA Trojaner, warscheinlich bekanntes Problem, hoffe auf Rettungsanleitung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bildschirmblockierung durch BKA Trojaner, warscheinlich bekanntes Problem, hoffe auf Rettungsanleitung (https://www.trojaner-board.de/131368-bildschirmblockierung-bka-trojaner-warscheinlich-bekanntes-problem-hoffe-rettungsanleitung.html)

Bildschirmblockierung durch BKA Trojaner, warscheinlich bekanntes Problem, hoffe auf Rettungsanleitung

Das ist mein Rechner:

Ich habe einen Extensa 5635Z
Prozessor: Intel Pentium Dual Core T4500 / 2.3 GHz
Grafikkarte: Intel GMA 4500MHD
Plattform: Microsoft Windows 7 Professional 64-Bit
Laufwerk: DVD±RW (±R DL) / DVD-RAM

Das ist mein Problem:

Ein Trojaner, getarnt als BKA-Ermittlung, der mir den Bildschirm blockiert. Ich komme an nichts ran. Kann allerdings auf den Gastaccount zugreifen, mit dem ich auch jetzt im Internet bin.
Avast hat einen Trojaner 4 min vor ausbruch in Quarantäne verschoben. Das könnte also dieser hier sein, frage mich dann allerdings, warum er ausgebrochen ist.

Avast-Quarantäne:
Name: 5707183.js ,ursprünglicher Ort: C:\ProgramData

Ich habe selbst jetzt noch nichts gemacht, da ich hier im Forum ziemlich große teils kompliziert wirkende Anleitungen für Hilfsaktionen gesehen habe. Ich hab jetzt schon von der Rettungssoftware über den USB-Stick von einem sauberen Rechner gelesen. Ich würde mich über Hilfe wirklich sehr freuen. Obwohl es warscheinlich ein Standartproblem ist, vielleicht gibt es ja auch eine Anleitung, die ihr mir empfehlen könnt, die bereits existiert.

Viele Grüße von Melanie

Eben habe ich MALBYTES laufen lassen und das sagt Folgendes:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.21.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Melanie :: HILDEGARD [Administrator]

Schutz: Aktiviert

21.02.2013 22:40:49
MBAM-log-2013-02-21 (22-53-49).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 229748
Laufzeit: 5 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\Users\Melanie\3817075.dll (Trojan.Ransom) -> Keine Aktion durchgeführt.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Hallo und :hallo:

Zitat:

C:\Users\Melanie\3817075.dll (Trojan.Ransom) -> Keine Aktion durchgeführt.

Bitte entfernen lassen!!
Prüfe danach ob der Rechner wieder funktioniert ohne Sperrung. Falls nicht den safemode testen und mir Bescheid geben ob der geht:

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Vielen Dank für die Antwort!
wie entferne ich das denn? Als ich Malware nochmal hab laufen lassen um die Datei zu finden, hat es ein anderes Ergebnis gezeigt, zeigt aber auch nicht das etwas in Quarantäne ist. Hat aber gemeldet, dass es zwei Objekte en´tfernt hat, allerdings nicht, welche. Hier der neue Bericht von heute:

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\ProgramData\Windows\ccdxmmde.dat (Malware.Trace) -> Keine Aktion durchgeführt.
C:\ProgramData\Windows\drss.dat (Malware.Trace) -> Keine Aktion durchgeführt.

Kann ich die Datei von gestern auch manuell suchen und entfernen, oder hat das Programm das selbst schon gemacht.
Gestern:
"C:\Users\Melanie\3817075.dll (Trojan.Ransom) -> Keine Aktion durchgeführt."

Viele Grüße

Wieso postest du die Logs unvollständig, welchen Sinn soll das ergeben?!

Bitte alle Logs immer vollständig posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Ich habe das jetzt gelöscht:

Code:

C:\ProgramData\Windows\ccdxmmde.dat (Malware.Trace) -> Keine Aktion durchgeführt.

C:\ProgramData\Windows\drss.dat (Malware.Trace) -> Keine Aktion durchgeführt.

Code:

Infizierte Speichermodule: 1

 (Trojan.Ransom) -> Keine Aktion durchgeführt.

Ich komme wieder rein, es scheint auch alles zu funktionieren. Beim ersten neuen Hochfahren hatte er ziemliche Schwierigkeiten, läuft jetzt aber.
Hat außerdem eine Systemmeldung geschickt, dass es Probleme beim Hochfahren gibt, weil die Datei "C:\Users\Melanie\3817075.dll" fehlt, was ja die Trojanerdatei ist.

Richtig gepostet? Danke für deinen Support.

Zitat:

Richtig gepostet? Danke für deinen Support.

Nein
Oder du verstehst etwas ganz anderes unter vollständig

Lesen => http://www.trojaner-board.de/125889-...tml#post941520

http://img.trojaner-board.de/alle-lo...-alle-logs.png

Code:

C:\Users\Melanie\3817075.dll (Trojan.Ransom) -> Keine Aktion durchgeführt.

sorry, also das hier ist die ganze datei

Code:

2013/02/21 22:39:08 +0100        HILDEGARD        Gast        MESSAGE        Executing scheduled update:  Daily

2013/02/21 22:39:23 +0100        HILDEGARD        Gast        MESSAGE        Starting protection

2013/02/21 22:39:23 +0100        HILDEGARD        Gast        MESSAGE        Protection started successfully

2013/02/21 22:39:23 +0100        HILDEGARD        Gast        MESSAGE        Starting IP protection

2013/02/21 22:39:35 +0100        HILDEGARD        Gast        MESSAGE        IP Protection started successfully

2013/02/21 22:39:54 +0100        HILDEGARD        Gast        MESSAGE        Starting database refresh

2013/02/21 22:39:54 +0100        HILDEGARD        Gast        MESSAGE        Stopping IP protection

2013/02/21 22:39:55 +0100        HILDEGARD        Gast        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.12.14.11 to version v2013.02.21.10

2013/02/21 22:39:56 +0100        HILDEGARD        Gast        MESSAGE        IP Protection stopped successfully

2013/02/21 22:40:04 +0100        HILDEGARD        Gast        MESSAGE        Database refreshed successfully

2013/02/21 22:40:04 +0100        HILDEGARD        Gast        MESSAGE        Starting IP protection

2013/02/21 22:40:17 +0100        HILDEGARD        Gast        MESSAGE        IP Protection started successfully

Code:

2013/02/22 11:52:01 +0100        HILDEGARD        Gast        MESSAGE        Starting protection

2013/02/22 11:52:01 +0100        HILDEGARD        Gast        MESSAGE        Protection started successfully

2013/02/22 11:52:01 +0100        HILDEGARD        Gast        MESSAGE        Starting IP protection

2013/02/22 11:52:13 +0100        HILDEGARD        Gast        MESSAGE        IP Protection started successfully

2013/02/22 12:31:09 +0100        HILDEGARD        Melanie        MESSAGE        Starting protection

2013/02/22 12:31:09 +0100        HILDEGARD        Melanie        MESSAGE        Protection started successfully

2013/02/22 12:31:09 +0100        HILDEGARD        Melanie        MESSAGE        Starting IP protection

2013/02/22 12:31:22 +0100        HILDEGARD        Melanie        MESSAGE        IP Protection started successfully

2013/02/22 12:32:05 +0100        HILDEGARD        Melanie        DETECTION        C:\Users\Melanie\3817075.dll        Trojan.Ransom        QUARANTINE

Ist das was du wissen musst?

Würdest du bitte mal meine Postings komplett und die verlinkten Artikel richtig lesen und umsetzen? Die Logs mit den Funden sind nicht alle vollständig gepostet

Danach machst du weiter mit GMER und MBAR:

GMER (<<< klick für Anleitung)

GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur MBAR aus.

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers