Trojaner-Board - BKA-Trojaner in explorer.exe ?!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BKA-Trojaner in explorer.exe ?! (https://www.trojaner-board.de/105723-bka-trojaner-explorer-exe.html)

BKA-Trojaner in explorer.exe ?!

Hallo Hoffnungsträger :)

Am 1.12 habe ich mir den BKA Trojaner auf meinem VAIO VPCEB1S1E eingefangen (Win7) und versuche seitdem mich durch zahlreiche Threats zu wurschteln und Lösungen zu finden.

Problem ist folgendes:
- Sobald Windows hochgefahren ist, erscheint der BKA Bildschirm und alle Anwendungen sind gesperrt
- auch Taskmanager & Avira Antivir reagieren nicht mehr

Ich arbeite derzeit mit einem Zweitcomputer, den ich auch für Downloads und zum Brennen benutzen kann.

Ich habe bereits:
- nachträglich Daten gesichert über ubuntu 10.10 wie hier hxxp://forum.chip.de/viren-trojaner-wuermer/notfall-live-system-datenrettung-webzugang-etc-1453431.html erklärt
- Windows im "abgesicherten Modus mit Eingabe" die registry geöffnet und...
... KEINE jashla.exe
... KEINE mahmut.exe
... in SHELL KEINEN Pfad gefunden. Da stand nur der Wert EXPLORER.EXE
(Das der Virus da stecken könnte hab ich ebenfalls aus anderen Foren, z.B. hier hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html)

Wenn ich das richtig interpretiere bedeutet dass, dass man den Virus nicht mehr lokalisieren kann, weil der Pfad dorthin in shell nicht angegeben ist, richtig? Wie kann ich den Ursprung jetzt finden und entfernen?

Meine Verzweiflung steigt, denn ich möchte unbedingt auf das Neuinstallieren von Windows verzichten. Zum einen, weil ich kein Windows 7 besitze (es war auf meinem Laptop vorinstalliert) und zum anderen, weil so viele Programme, VPN Clients und Spielstände auf meinem Computer sind, die ich alle nicht verlieren möchte :(

Wie man sicher schon gemerkt hat, bin ich kein Experte in Sachen Computer, bin aber gewillt mich in alles einzuarbeiten. Was BIOS, iso.dateien und registry ist, weiß ich mittlerweile immerhin, aber ich bitte um Rücksicht und möglichst präzise Anweisungen ;)

Es wäre großartig, wenn mir jemand helfen könnte! Ich stecke mitten in meiner Bachelorarbeit, einen schlimmeren Zeitpunkt hätte sich der Trojaner nicht aussuchen können...

VIELEN DANK bereits im Voraus!

hi,
das schaffen wir schon.
auf dem sauberen pc combofix laden:
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

auf den stick kopieren, stick in den infizierten pc, pc in den abges. modus mit eingabeaufforderung.
tippe:
d:\combofix.exe
enter
falls das nicht klappt:
e:\combofix.exe
enter
usw, bis das richtige laufwerk gefunden ist.
falls cf nun über ein laufendes av meckert, ok klicken.
falls cf den pc nicht neustartet nach abschluss, erledige du dies.
falls keine desktop symbole eingeblendet werden, rechtsklick auf desktop, ansicht, desktop symbole einblenden.
dann log posten

Guten Morgen!
Ich denke, dass ich alles hinbekommen habe. Im Anhang der log...

Mal schauen, was du da rauslesen kannst, bin gespannt.

na ich sehe zu mindest das dein pc wieder normal starten sollte

:-)

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Yippie, das sind ja schonmal gute Neuigkeiten :)

Also mache ich es wie schon mit combofix.exe: auf dem sauberen pc runterladen, auf einen Stick ziehen - und wo dann installieren? Im abgesicherte Modus?

nö kannst du denn nicht in den normalen modus?
falls ja von dort downloaden instalieren, updaten

:o der bka-screen ist weg!! Hat combofix das gemacht? Ich bin begeistert! danke schonmal dafür!! - jetzt kommt malwarebytes dran :)

Hier ist die Log Datei von Malwarebytes. Ist er jetzt endgültig weg? Was vermutest du, wie er auf meinen PC kam?

so siehts aus.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.13.1600
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Anbei die Cleaner Liste.
Alle Programme, deren Funktion ich nicht zuordnen konnte, habe ich mit "Unbekannt" gekennzeichnet. Ist durchaus möglich, dass darunter einige PC-Lebensnotwendigen Programme zu finden sind :) Diesen ganzen vaio-kram benutze ich nie, vielleicht ist es aber eben wichtig...

Weißt du wie der Trojaner auf meinen PC kam? Immer wenn sich windows startet will "jucheck.exe" auf meine festplatte zugreifen. Ich sag immer "nein", letzte woche hab ich aber versehentlich mal "ja" gedrückt. kann es was damit zu tun haben? Was ist jucheck.exe eigentlich?

deinstaliere:
Adobe Flash Player beide.
update laden:
Adobe - Andere Version des Adobe Flash Player installieren
deinstaliere:
Adobe Reader
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstalire
ArcSoft beide
Einstellungen für VAIO-Inhaltsüberwachung
Evernote
IrfanView
Java beide.
Download der kostenlosen Java-Software
downloade java jre
und instaliere es.
dann schau mal beim nächsten neustarten ob noch die meldung wegen der jucheck.exe kommt
deinstaliere:
Mozilla Firefox updaten:
Webbrowser Firefox auf Deutsch | Schneller, sicherer und anpassbar
deinstaliere:
MusicStation
pdfforge Toolbar
Shop for HP
Skype Toolbars
öffne skype, update es, version 5.x ist aktuell
deinstaliere:
VAIO Care
VAIO Content alle
VAIO Control Center
VAIO DVD
VAIO Energie Verwaltung
VAIO Entertainment
VAIO Event Service
VAIO Marketing
VAIO Media beide

VAIO Movie
VAIO Personalization
VAIO Premium
VAIO screensaver
VAIO Wallpaper
VAIO-Support
Windows Live falls du davon nichts nutzt, alle weg
bereinige mit dem ccleaner.

Er ist zurück gekehrt :( kann ich die gleiche Prozedur wie oben beschrieben noch einmal machen um meinen pc wieder zum laufen zu bringen und dann spiele ich win7 nochmal drauf? Hab ja scheinbar keine andere Wahl... danke!

Oh nein! Ich hab deinen Beitrag vom 5.12 erst jetzt entdeckt :( warum? Weil ich nicht gecheckt hab, dass es ne Seite 2 gibt. hab mich schon gewundert, warum du nicht mehr antwortest... sorry! Ich fange einfach nochmal von vorn an :( und mach das mit dem cleaner...

soll das spam sein oder warum schreibst du einen post 2 mal?
poste halt noch mal otl logs...

Nein, es wurde einfach doppelt gepostet... Und löschen konnte ich den Beitrag dann nicht mehr.

PC läuft wieder soweit, ging diesmal wesentlich schneller :) Hab alle Programme deinstalliert, wie du gesagt hast. CCleaner lief durch, sagt mir unter "analyse" aber, dass noch keine Dateien entfernt wurden...

dann bereinige die fehler mit dem ccleaner.

Hab ich gemacht denke ich. Als der Computer hoch fuhr, sah es auf jeden fall so aus, als würde ein Programm was tun.
Sind wir dann damit dann? Ich hab Angst nen film online zu gucken, beide Male kam der Trojaner dann... Trau dem Braten noch nicht.
Trotzdem nochmals vielen vielen Dank!

nen film online zu gucken ist illegal, wenn du kinofilme etc nutzt.
du bekommst den film zwar kostenlos zu sehen, musst aber wie du siehst trotzdem einen preis dafür bezahlen.
trojaner die deinen pc missbrauchen können und sensible daten steheln und deinen pc dann evtl. auch für straftaten verwenden.
was im schlimmsten falle zur folge hat das dein pc für weitere untersuchungen mitgenommen wird.

Ich habe lediglich für meine BA ne doku anschauen wollen... Meinst du denn, dass wir jetzt durch sind damit? Wenn ich "euch unterstützen möchte", kommt dir persönlich das dann auch zu Gute?

nein mir persönlich kommt das nicht zu gute und ich möchte auch nichts :-)
dies hilft uns die platform hier am laufen zu halten.
wenn du willst können wir den pc für die zukunft noch absichern,
wie du siehst ist das nötig um sich vor infektionen zu schützen

*Frohes Neues Jahr*
War eine Weile unterwegs, sorry. Klingt gut, ich würde meinen PC gerne sicherer machen... Wie?

gesundes neues.
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware

und du kannst vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser