BKA-Virus: "Auf meinem Rechner seinen Elemente von Gewalt und Kinderpornografie festgestellt"
 

Hallo Liebes Trojaner-Board,

Erstmal dies ist mein erster Post in diesem Forum, also nimmt es mir bitte nicht ganz übel wenn ich etwas falsch gepostet habe ect. :)

Ich habe folgendes Problem,
Auf einmal tauchte auf meinem Rechner eine Meldung auf die sich ausgab vom BKA zu sein, dass auf meinem Rechner "Elemente von Gewalt und Kinderpornografie festgestellt" worden sind und ich jetzt 100Euro an strafe zahlen solle.

Mir war klar bei den Rechtschreibfehlern und allgemein, das ist keine offizielle Meldung vom Staat. Also Da mein PC komplett gespert war und ich nix anderes machen konnte, erstmal mit Str.+Alt+Entf. den Task-Manager gestartet und versucht das Teil zu beenden (lief glaub ich über Java, auf jedenfall hatte sich Java geöffnet).
In meiner Panik da ich das net geschlossen bekommen hab, hab ich dann den Stecker gezogen :/

Egal, Windows im Abgesicherten Modus gestartet und mal "Malwarebytes Ant-Malware" einen Scan gemacht, wobei allerdings nichts rauskam.

Also nochmal "normal" gestartet und jetzt scheint diese Meldung schonmal nicht mehr zu kommen.

Nachdem ich dann gegoogelt hab, kam heraus das dieser Virus "TR/PSW.Papras.A.1" genannt wird und der wirklich gefählich werden kann. (Ob das wirklich stimmt keine ahnung?!)

Jetzt meine Frage: "Was soll ich jetzt tun, um den Virus zu entfernen? Möglichst ohne neuinstallation :/)

EDIT 1:

OK, ich habe im Forum etwas gestöbert und bin dann von hier:http://www.trojaner-board.de/105867-...ml#post730736, darauf gekommen: http://www.trojaner-board.de/105869-...89145-exe.html

Ich lasse gerade einen Malwarbytes-Fullscan durchlaufen mal sehen was so rauskommt :O

mfG

loligertyp

Diesen Betrag kann ich leider nicht mehr oben ins Hauptthema packen (60 Minuten Sperre)

Btw. ist mir sowieso schon etwas länger etwas aufgefallen:
Wenn ich auf mein "Antivir-Symbol" unten Links in der Leiste Klicke ist der Schirm IMMER zu. Zusätzlich steht dann da noch: "Guard: Aktiv, WebGuard: unbekannt".

Der Malwarebytes-Scan läuft noch, ich werde ihn bei gelegenheit hier rein posten.

EDIT 1:

Hier der Log:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 8005

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.12.2011 01:01:23
mbam-log-2011-12-07 (01-01-18).txt

Scan type: Full scan (C:\|)
Objects scanned: 645570
Time elapsed: 1 hour(s), 51 minute(s), 41 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

mfG

Max

Hallo liebes Team,

ich habe nun auch mit dem ESET Online Scanner meinen Rechner gescannt und es wurden 6 Bedrohungen festgestellt, hier der Logfile:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=96f9979835a1c64d9190bf38ee19a9eb
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-07 05:15:13
# local_time=2011-12-07 06:15:13 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1792 16777215 100 0 41616294 41616294 0 0
# compatibility_mode=5893 16776574 100 94 15832949 75671084 0 0
# compatibility_mode=8192 67108863 100 0 3805 3805 0 0
# scanned=388446
# found=6
# cleaned=0
# scan_time=12699
C:\Program Files (x86)\TrackMania United Forever\tmuf-dtn.iso probably a variant of Win32/Agent.JWALVLQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin-PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\76JHADTB\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin-PC\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\37c249d4-23a27f3b a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin-PC\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\17450ed6-64472a3e a variant of Win32/Kryptik.WSJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin-PC\AppData\Roaming\mahmud.exe a variant of Win32/Kryptik.WSJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Max\SoftonicDownloader_fuer_visual-basic-2008.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I

Frage nun, was zu tun ist.

EDIT 1:

Nach Recherche im Internet hab ich herausgefunden, das der Pfad im Regristrirungs-Editor bei "WinLogon, Shell" "explorer.exe" sein muss, so ist das auch bei mir, ich denke daher kommt die Bundespolizeimeldung nicht nach jedem Start.

mfG

Max

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.
Wenn der normale Modus gesperrt ist nimmst du den abgesicherten Modus mit Netzwerktreibern.

Hallo Arne,

jetzt kommt mir allerdings die Frage, wie ich Malwarebytes aktualisiere, unter dem Reiter Update kann ich die Schaltfläche "Check for Updates" nicht anklicken?

In den normalen Modus komme ich noch, der Pfad der exporer.exe wurde glücklicherweise nicht verändert.

Nun ich weiß, das der Trojaner von mahmud.exe ausgeht, besteht den die Möglichkeit, die Anwendung einfach manuell zu löschen?

Was habe ich hinsichtlich Datenschutz zu beachten, sind die Trojaner die ich auf meinem Rechner habe in der hinsicht ungefährlich oder sollte ich all meine Passwörter per anderem PC ändern?

mfG

Max

Man sollte unter Vista und Win7 die Programme per Rechtsklick als Administtrator mal ausführen...

Ah ok, ich Schussel natürlich, so jetzt Update ich mal werd dann später den Log nochmal posten.

mfG

Max

Hier der Malwarebytes Logfile:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8329

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.12.2011 22:10:07
mbam-log-2011-12-07 (22-09-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 693405
Laufzeit: 1 Stunde(n), 37 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avupdate (Trojan.Zbot.CBCGen) -> Value: avupdate -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\admin-PC\AppData\Roaming\mahmud.exe (Trojan.Zbot.CBCGen) -> No action taken.
c:\program files\rainmeter\Addons\rainbrowser\rainbrowser.exe (Trojan.AutoIT.Gen) -> No action taken.
c:\Users\admin-PC\AppData\LocalLow\Sun\Java\deployment\cache\6.0\22\17450ed6-64472a3e (Trojan.Zbot.CBCGen) -> No action taken.

mfG

Max

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.