BKA-Trojaner aber keine Sperrungen
 

Hallo,
Ich kenne mich überhaupt nicht mit Computern aus und hoffe, dass mir jemand weiterhelfen kann.
Zum Thema:
Ich wollte mir gestern einen Film auf eine dieser Streaming-Seiten ansehen, auf denen man bekanntlich weitergeleitet wird, wenn man sich den Film angucken möchte. Als ich auf eine dieser Seiten war, erschien ein kleines, weißes Fenster im oberen mittigen Bereich der Seite und meinte, dass auf meinem PC illegales Material gefunden wurde und er gesperrt werden würde, wenn man keine 100 Euro zahlt. Die Anzeige war ohne großen Schnick Schnack nur das weiße Kästchen mit der in schwarz gedruckten Aufforderung und einer kleinen Leiste am unteren Ende in der man einen Code eingeben soll (vermutlich Kreditkarte? Habe keine) um das Geld zu überweisen/abzuziehen. Mir war natürlich klar, dass das nicht sein konnte und habe versucht es wegzuklicken, doch es kam immer wieder. Die Seite an sich und den Browser konnte ich vorerst auch nicht schließen, habe es dann aber mit Rechtsklick und 'Fenster Schließen' geschafft.

Als ich dann kurz darauf den Fall gegoogled habe, hat sich herausgestellt, dass es sich womöglich um den BKA-Trojaner handeln könnte, der sich bereits beim Betreten der Seite installiert, im Hintergrund herunterlädt und den Pc/Browser lahm legt bzw sperrt.

An meinem Computer kann ich aber bis jetzt immer noch keine Veränderung feststellen. Hatte gestern nach der Meldung auch sofort mein Virenprogramm angeschmissen und es entdeckte auch gleich zwei mittelschwere Bedrohungen die er aber auch gleich entfernt hat. Dennoch denke ich, dass sich ein solcher Trojaner nicht so einfach entdecken und entfenen lässt.

In einem anderen Forum wurde mir geraten Malwarebytes Antimalware herunterzuladen und meinen Laptop scannen zu lassen. Habe ich auch gleich gemacht und es kamen 82 Befunde heraus. Allerdings hatte mir dasProgramm erst nach dem Scan eröffnet, dass ich meine Datenbank aktualisieren sollte. Also schnell aktualisiert und nochmal durchlaufen lassen. Wieder 14 mal fündig geworden. habe sie erst einmal in Virenquarantäne gepackt und mir auf Anraten Malwarebytes Anti-Rootkit heruntergeladen und ebenfalls alles scannen lassen. Das Ergebnis konnte ich jedoch nicht mehr Einsehen, da mein PC sofort einen Neustart gemacht hat und danach noch einen zweiten, weil das Programm es für nötig Befunden hat, wie ich das aus der Englischen Anzeige lesen konnte, sie mir Windows kurz vor dem zweiten Neustart angezeigt hatte. Allerdings hat sich das Programm nach den Neustarts nicht wieder geöffnet oder mir sonst etwas angezeigt.

Jetzt weiß ich nicht mehr weiter :confused:
Da ich zum Zeitpunkt, als sich die Anzeige gezeigt hat, mein Adobe Reader und Flash Player nicht auf die neuste Version aktualisiert hatte, ist die Wahrscheinlichkeit doch groß, dass sich der Trojaner auf meinem Laptop befindet, oder? Doch wie und wo erkenne ich ihn und vor allem wie bekomme ich ihn wieder runter?

Falls es hilft: habe einen Windows 8.1 Lenovo Laptop, Adobe Reader und Flash Player sind mittlerweile aktualisiert, Java ist deaktiviert, Google Chrome (Hatte ich zum Zeitpunkt benutzt) befand sich ebenfalls auf dem neusten Stand, als Virenprogramm benutzte ich AVG (free, nicht PRO).

Es wäre wirklich großartig, wenn mir jemand (vielleicht mit viel Geduld :o ) helfen könnte. :)
LG!

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

Danke für deine Mitarbeit!




Alle Logdateien von MBAM mit Funden posten!!!



Zur ersten Analyse bitte FRST und TDSS-Killer ausführen:


Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.







Bitte poste mit deiner nächsten Antwort

• alle Logdateien von MBAM mit Funden,
• die Logdatei von TDSS-Killer,
• die beiden neuen Logdateien von FRST.

Hallo und danke für die schnelle Antwort! Leider auch schon das erste Problem: etwas stimmt mit unserer Internetverbindung nicht und wenn ich etwas runterlade dauert das eine Zeit und anscheinend hängt das manchmal auch mit der Seite zusammen. Auf jeden Fall startet der Download zu Farbar's Recovery Scan Tool bei mir einfach nicht. Es wird immer 0 Byte/s - 0 B von 2,0 MB angezeigt und es verändert sich nichts. Gibt es auch noch eine Möglichkeit es von einer anderen Seite zu Downloaden? Das gleiche Problem hatte ich mit dem malwarebytes Anti-Rootkit. Da konnte ich es auch nicht von FilePony runterladen und musste eine andere Seite suchen.

Okay hat wundersamerweise doch heruntergeladen Entschuldigung :)

Okay hier ist FRST.txt.

FRST Logfile:
--- --- ---


Auddition.txt.
[CODE]Additional
FRST Logfile:
--- --- ---


Der TDSSKiller hat jedoch nichts gefunden. Nach dem Scan heißt es 'No threats found' aber ich habe alle Schritte befolgt :confused:

Servus,


und was ist mit den Logdateien von MBAM?

Ich hatte dich doch gebeten, alle Logdateien mit Funden zu posten... :wtf:


In welchem Forum hast du denn um Hilfe gebeten? Bitte dazu einen Link posten.

Achso, stimmt! Ich war kurz verwirrt was mit MBMA gemeint ist. :wtf:

Wenn ich Malwarebytes Antimalware öffne, auf den Verlauf gehe steht da an oberster Stelle 'Schutz-log' und zwei mal darunter 'Suchlaufprotokoll'. Das ist jetzt das vom Schutz-log, ist das richtig? :confused:

Ich hatte mich vorher bei CHIP.de erkundigt:
hxxp://forum.chip.de/viren-trojaner-wuermer/bka-virus-trojaner-keine-veraenderung-1838152.html

Ich brauche beide Suchlaufprotokolle... :)



ok, danke für den Link.



Gibt es aktuell irgendwelche Einschränkungen/Probleme mit dem Rechner?

Achso Okay :)

Das erste Suchlaufprotokoll:

Das zweite:


Nein, mein Laptop funktioniert einwandfrei, genauso wie immer.

Servus,


da MBAM etwas Adware gefunden hat, schauen wir diesbezüglich nochmal nach, sollte relativ zügig gehen:




Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die Logdatei von JRT,
• die beiden neuen Logdateien von FRST.

Hat doch ein wenig länger gedauert als ich dachte :wtf:

Logdatei von AdwCleaner:
Von MBAM:
JRT:

Jetzt habe ich allerdings ein Problem. Als ich FRST64 starten wollte, hatte er zuerst nach Updates gesucht und ich konnte den Scan nicht starten. Das Programm hat sich aufgehangen und ich musste es schließen. Habe es dann noch einmal geöffnet und zu Ende nach Updates suchen lassen. Als es fertig war, konnte ich auf 'OK' drücken und wollte den Scan nun endlich starten, doch das Programm hat sich nur wieder aufgehangen und jetzt kann ich es gar nicht mehr öffnen. Wenn ich es versuche, zeigt mir Windows nur ein Fenster wo drin steht: 'Die App kann auf dem PC nicht ausgeführt werden. Wenden Sie sich an den Softwarehersteller, um eine geeignete Version für ihren PC zu finden.'
Neu herunterladen habe ich auch versucht aber es kommt immer die gleiche Meldung.

Ein weiteres Problem ist das ich in der Taskleiste nicht mehr auf das Startmenü und den PC App Store zugreifen kann. an der Stelle der Icons ist nur noch ein weißes Blatt mit Eselsohr. Ein Neustart konnte es auch nicht beheben. Habe ich etwas falsch gemacht? :( :confused:

Servus,


FRST löschen, nochmal herunterladen und einen Suchlauf durchführen.

Okay hat geklappt :)

FRST:

FRST Logfile:
--- --- ---


Addition:
[CODE]Additional
FRST Logfile:
--- --- ---



Hat das jetzt eigentlich, dass ich nicht mehr auf das Startmenü zugreifen kann etwas mit den Scans oder dem Trojaner zutun? :confused:

Servus,



Ich vermute eher mit den Scans... ich würde gerne noch ein paar Kontrollen durchführen und dann versuchen wir, dein Startmenü wieder hinzubekommen.





Wir entfernen die letzten Reste und kontrollieren nochmal alles. ESET kann länger (> 2 h) dauern.
Im Anschluss entfernen wir alle verwendeten Tools und ich gebe dir noch ein paar Tipps mit auf den Weg.




Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.






Schritt 4

• Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck,
• die beiden neuen Logdateien von FRST.

Hier ist alles :)

FRST-Fix:
ESET:
SecurityCheck:
FRST.txt.:

FRST Logfile:
--- --- ---


Addition.txt.:
[CODE]Additional
FRST Logfile:
--- --- ---

Servus,

• Lade Dir bitte Windows Repair - All in one http://www.deeprybka.trojaner-board....air/3.1/31.PNGvon tweaking.com hier herunter und installiere es.
• Deaktiviere bitte (wenn möglich) Dein Antivirusprogramm.
• Bedenke, dass die einzelnen Reparaturen einige Zeit benötigen. Starte keine anderen Anwendungen in dieser Zeit.
• Starte das Programm und führe die Punkte 1-7 durch. (Siehe Bildanleitung)
• Unter dem Punkt Repairs > Open Repairs setze zusätzlich einen Haken bei 11 - Repair start menu icons, folge ansonst der Anleitung.

Danach berichten, wie es mit dem Startmenü aussieht.

Das Programm ist fertig, hat auch heruntergefahren. Hab den Laptop dann wieder hoch gefahren aber es zeigt mir leider immer noch 'Verknüpfungsproblem. Die Laufwerk-oder Netzwerkverbindung, auf die sich die Verknüpfung "Start Menu.Ink" bezieht, ist nicht verfügbar. Stellen sie sicher, dass der Datenträger richtig eingelegt bzw. die Netzwerkressource verfügbar ist, und wiederholen sie den Vorgang.' an, wenn ich drauf klicke. Das Symbol hat sich auch nicht verändert :(

Servus,


dann lade dir das Startmenüprogramm neu herunter und installiere es.







Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Avast	MSE
	http://filepony.de/icon/emsisoft_anti_malware.png	http://filepony.de/icon/avast_antivirus.png	http://filepony.de/icon/microsoft_se...essentials.png

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/adblock_firefox.pngAdblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
http://filepony.de/icon/noscript.png NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/ghostery_chrome.pngGhostery Erkennt und blockiert Tracker, Web Bugs, Pixel und Beacons und weitere Scripte, die das Surfverhalten ausspähen/beobachten.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

So, DelFix hat alle Programme entfernt :)
Ein riesen :dankeschoen: für die tolle Hilfe, alleine hätte ich das mit Sicherheit nie hinbekommen :)
werde auf jeden Fall beim weiteren Surfen im Internet mehr acht geben und meinen Laptop besser schützen, danke daher auch für die Tipps zur Absicherung :)

Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.