BKA-Trojaner - mit OTLPE von CD gebootet - was nun?
 

Hallo zusammen,

auch ich bin leider seit kurzem vom BKA-Trojaner befallen. Weißer Bildschirm mit Zahlungsaufforderung und das komplette Betriebssystem gesperrt, ist ja mittlerweile allgemein bekannt.
Hatte schon ein wenig hier im Forum gelesen und bin auf eine Anleitung mit Starten im abgesicherten Modus mit Eingabeaufforderung und ausführen von srep.exe gestoßen. Das habe ich auch versucht, srep.exe hat bei mir aber leider nicht funktioniert.

Fehlermeldung von srep:
Line9671 (File"G:\srep.exe"):

Error: Variable used without being declared.

Danach habe ich es mit Booten per OTLPE-CD versucht, was geklappt hat. Den Scan habe ich bereits ausgeführt. Es wurde allerdings nur eine Datei OTL.txt ausgegeben und nicht extras.txt, die laut einer anderen Anleitung hier im Board normalerweise auch erstellt werden soll.

Anbei der Code der OTL.txt
Es wurde auch eine jashla.exe gefunden, die ja vom BKA-Trojaner stammt. Wurde diese nun schon gelöscht bzw unschädlich gemacht, oder muss ich noch andere Maßnahmen ergreifen? Was ist als nächstes zu tun, um dem Trojaner Herr zu werden?

Müsste mein infizierter Laptop mittlerweile zumindest wieder normal booten können? Habe es noch nicht ausprobiert und poste momentan von einem anderen PC.

Über eure Hilfe würde ich mich sehr freuen!

Vielen Dank im Voraus und viele Grüße
Hannes

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...;)
Ausserdem nicht nur trojanische Pferde oder andere Virentypen eine direkt Verbindung brauchen, sondern der Verwendung von µtorrent & Co, "telefonieren auch nach Hause", wenn auch noch keine Beweise vorliegen (zumindest teilweise nicht) und solchen Clients erlaubt, würde ich nicht empfehlen!http://www.world-of-smilies.com/wos_teufel/teu96.gif

2.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

gruß
kira

Hallo Kira,

vielen Dank für deine Antwort!

Danke, dass du mich auch auf Azureus hingewiesen hast. Wusste gar nicht, dass das so kritisch ist. In Zukunft werde ich es am besten überhaupt nicht mehr benutzen. Software oder gar Cracks etc. habe ich darüber allerdings sowieso nie geladen.

Habe OTL aus dem abgesicherten Modus heraus gestartet, der zum Glück funktioniert. Beim durch OTL ausgelösten Neustart habe ich es allerdings leider versäumt, rechtzeitig F8 zu drücken, so dass der Neustart nicht im abgesicherten Modus, sondern normal erfolgte. Daher wurde das System wieder durch den BKA-Trojaner gesperrt. Ich konnte allerdings das Logfile noch rechtzeitig sichern. Ist es möglich, dass OTL evtl. nicht richtig durchgelaufen ist?

Hier das Log:
Anscheinend bin ich dadurch glücklicherweise auch gleich die bescheuerte Vshare-Toolbar losgeworden. Ein Streaming-Programm, das ich vor einigen Monaten genau 1x benutzt habe und in Zukunft besser nicht mehr benutzen werde.

Danach habe ich Malwarebytes - nun wieder aus dem abgesicherten Modus - laufen lassen. Hier das Log:

Sieht das bisher gut aus und denkst du, ich kann das System nun wieder im normalen und nicht nur im abgesicherten Modus starten?

Die weiteren Schritte in deiner Anleitung werde ich heute im Laufe des Tages versuchen abzuarbeiten.

Bis dahin für deine Hilfe schonmal ein riesiges :dankeschoen:

Viele Grüße
Hannes

versuche bitte jetzt dein System im normalen Modus zu starten!:

1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Hallo Kira,

das System lässt sich jetzt wieder im normalen Modus starten und es treten keine Probleme auf.

Malwarebytes findet nichts mehr, hier der Log:

Als nächstes lasse ich OTL laufen und poste den Log dann gleich.

Viele Grüße
Hannes

Hallo Kira,

so, hier die beiden OTL-Logs (in zwei Posts, beide auf einmal reinzustellen klappt irgendwie nicht).

OTL.txt

Und hier die extras.txt

Wie ich sehe, ist dort ja auch schon eine Liste aller installierten Programme enthalten. Ist auch noch diverses älteres Zeug dabei, das eigentlich runterkann. Soll ich trotzdem noch Ccleaner downloaden und eine Programmliste von dort posten?

Viele Grüße
Hannes

Ja, mach das bitte!

ausserdem:

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Ccleaner Programmliste

OTL Fix Logfile:

Hatte allerdings leider vergessen, die im Hintergrund aktiven Programme (z.B. Virenscanner) vor dem Fix noch zu beenden. Könnte es sein, dass dies OTL in der Ausführung behindert hat? Soll ich den Fix ohne Hintergrundprogramme nochmal ausführen, bevor ich die weiteren angegebenen Schritte vornehme?

Danke und viele Grüße
Hannes

1.
- zwei gleichzeitig installierte und aktivierte Antivirenprogramme:
- Beide Scanner haben nämlich nur ein Ziel, dein System sinnvoll gegen Schädlingen zu prüfen/schützen.
Da aber laufen beide parallel, sie behindern sich gegenseitig und auch eine eine gewaltige Belastung für dein System! Die Folge kann ein Crash sein, oder im schlechtesten fall, kannst Du über eine komplette Neuinstallation freuen! Mehr AV Programme bedeutet nicht mehr Sicherheit!
Deinstalliere also eines der AV-Programme und lass nur noch eins auf deinem PC laufen!!
►[U] Removal Tools oder Deinstallationsanleitungen für diverse Antiviren Software :
-> Removal Tools oder Deinstallationsanleitungen für diverse Antiviren Software
► AV Deinstallations Hinweise
also Entscheide Dich für NUR einen Virenscanner und benutze diesen regelmäßig!

2.
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...;)
Ausserdem nicht nur trojanische Pferde oder andere Virentypen eine direkt Verbindung brauchen, sondern der Verwendung von µtorrent & Co, "telefonieren auch nach Hause", wenn auch noch keine Beweise vorliegen (zumindest teilweise nicht) und solchen Clients erlaubt, würde ich nicht empfehlen!http://www.world-of-smilies.com/wos_teufel/teu96.gif

3.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 26 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

6.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

-> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch
Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<


► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

1. Trend Micro gelöscht
2. Darauf hattest du mich Anfangs schon einmal aufmerksam gemacht (bei Azureus, wovon Vuze das Nachfolgerprogramm ist). Da zumindest das Programm selbst ja anscheinend keinen Schaden anrichtet, hatte ich das noch nicht gelöscht.
3. Erledigt
4. Erledigt

Schritt 5 und 6 folgen!

5. SUPERAntispyware: keine Funde

Log: Schritt 6 (ESET-Onlinescan) mache ich heute Abend.

Probleme mit dem Laptop gibt es momentan keine, es läuft alles störungsfrei.

ESET-Onlinescan schaffe ich heute leider doch nicht mehr, kommt dann morgen!

ist in Ordnung:)

So, ESET läuft jetzt, ist aber noch nicht durch. Das scheint eine mehrstündige Angelegenheit zu werden...

Hier nun das Log von ESET. Beim gestrigen Durchlauf hatte ich aus Versehen den PC ausgeschaltet, bevor ich Abends weggegangen bin, als der Scan noch nicht beendet war. Insofern gab es dann natürlich auch kein Log und ich musste den Scan heute nochmal ausführen. Gescannt wurden neben dem PC noch eine externe Festplatte und ein USB-Stick. Ich hatte zwar beim Anschluss jeweils Shift gedrückt gehalten, allerdings ist dann trotzdem ein Menü aufgepoppt, in dem ich Autostart-Optionen auswählen konnte. Allerdings wurde keine dieser Aktionen auch tatsächlich automatisch gestartet.

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:
- Zeitweise laufen lassen:-> Anleitung

2.
Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

3.
Wenn alles gut verlaufen und dein System läuft stabil,mache folgendes:
Systemsteuerung/System und Sicherheit/System/Computerschutz/Systemeigenschaften poppt auf und dann einen Sicherungspunkt erstellen
Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen
also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein!

4.
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

5.
Du hast jetzt, noch immer kein Service Pack installiert?! Der Internet Explorer ist nun auch technisch veraltet. All dies hat dann natürlich auch Auswirkungen auf die Systemsicherheit...
Windows updaten:-> - Microsoft Update hält Ihren Computer auf dem neuesten Stand!
► Windows Win 7 SP1 bitte aufspielen!
► Internet Explorer ebenfalls (Version 9 ist aktuell)

Hallo Kira,

da es ja jetzt so aussieht als wären wir mehr oder weniger durch, wollte ich mich nochmal für deine kompetente Hilfe bedanken!
Leider bin ich die nächsten Tage etwas arg im Klausurstress, so dass ich erst in ca. einer Woche dazu kommen werde, die finalen Schritte durchzuführen. Ich melde mich, sobald ich die Zeit gefunden habe alles abzuarbeiten.

Viele Grüße
Hannes

Okay, also bis danne:)