Trojaner-Board - BKa Trojaner eigefangen,wie soll ich vorgehen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BKa Trojaner eigefangen,wie soll ich vorgehen? (https://www.trojaner-board.de/108762-bka-trojaner-eigefangen-vorgehen.html)

BKa Trojaner eigefangen,wie soll ich vorgehen?

Hallo

Ich habe mir diesen bekannten national cyber crimes unit trojaner einfangen,wie soll ich jetzt genau vorgehen um ihn zu entfernen?

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Hallo

ich habe mitlerweile den Rechner neu formatiert.Der Trojaner "scheint" weg zu sein.Sollte ich nochmal was überprüfen?

Mach einfach zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo

@cosinus

Danke erstmal für deine Hilfe.
Hier die die log.texte

Code:

Malwarebytes Anti-Malware (Test) 1.60.0.1800

www.malwarebytes.org
 

Datenbank Version: v2012.01.30.02
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

donut :: DONUT-PC [Administrator]
 

Schutz: Deaktiviert
 

30.01.2012 13:54:38

mbam-log-2012-01-30 (13-54-38).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 395121

Laufzeit: 46 Minute(n), 59 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 01/30/2012 at 04:40 PM
 

Application Version : 5.0.1142
 

Core Rules Database Version : 8178

Trace Rules Database Version: 5990
 

Scan type       : Complete Scan

Total Scan Time : 01:47:45
 

Operating System Information

Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 456

Memory threats detected   : 0

Registry items scanned    : 39541

Registry threats detected : 0

File items scanned        : 241859

File threats detected     : 4
 

Adware.Tracking Cookie

        C:\USERS\DONUT\AppData\Roaming\Microsoft\Windows\Cookies\Low\donut@atdmt[1].txt [ Cookie:donut@atdmt.com/ ]

        C:\USERS\DONUT\AppData\Roaming\Microsoft\Windows\Cookies\Low\donut@imrworldwide[2].txt [ Cookie:donut@imrworldwide.com/cgi-bin ]

        C:\USERS\DONUT\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\DONUT@DOUBLECLICK[2].TXT [ /DOUBLECLICK ]

        C:\USERS\DONUT\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\DONUT@C.ATDMT[2].TXT [ /C.ATDMT ]

nach dem zweiten durchlauf

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 01/30/2012 at 07:55 PM
 

Application Version : 5.0.1142
 

Core Rules Database Version : 8179

Trace Rules Database Version: 5991
 

Scan type       : Complete Scan

Total Scan Time : 01:38:23
 

Operating System Information

Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 453

Memory threats detected   : 0

Registry items scanned    : 39556

Registry threats detected : 0

File items scanned        : 241904

File threats detected     : 0

Code:

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=12

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=e90857f0e0f97844a508d1ff5db56616

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-30 07:32:31

# local_time=2012-01-30 08:32:31 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1280 16777215 100 0 26746 26746 0 0

# compatibility_mode=5893 16776573 100 94 22391170 79579968 0 0

# compatibility_mode=8192 67108863 100 0 3881 3881 0 0

# scanned=235303

# found=0

# cleaned=0

# scan_time=1854

ESETSmartInstaller@High as downloader log:

Can not open internetESETSmartInstaller@High as downloader log:

Can not open internetCan not open internetESETSmartInstaller@High as downloader log:

Can not open internetCan not open internetESETSmartInstaller@High as downloader log:

Can not open internetCan not open internetESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=12

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=e90857f0e0f97844a508d1ff5db56616

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-31 05:14:08

# local_time=2012-01-31 06:14:08 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 2

# compatibility_mode=1280 16777215 100 0 103216 103216 0 0

# compatibility_mode=5893 16776573 100 94 74529 79656438 0 0

# compatibility_mode=8192 67108863 100 0 80351 80351 0 0

# scanned=163432

# found=0

# cleaned=0

# scan_time=3481

Nur Cookies. Ich denke du bist überm Berg. Lass abernochmal den MBR checken:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo

Code:

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software

Run date: 2012-02-02 16:21:29

-----------------------------

16:21:29.969    OS Version: Windows x64 6.1.7601 Service Pack 1

16:21:29.969    Number of processors: 4 586 0x2A07

16:21:29.969    ComputerName: DONUT-PC  UserName: donut

16:21:31.451    Initialize success

16:21:34.212    AVAST engine defs: 12020201

16:22:11.012    Disk 0  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0

16:22:11.028    Disk 0 Vendor: ST9500325AS 0003SDM1 Size: 476940MB BusType: 11

16:22:11.059    Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-1

16:22:11.059    Disk 1 Vendor: ST9500325AS 0003SDM1 Size: 476940MB BusType: 11

16:22:11.137    Disk 1 MBR read successfully

16:22:11.153    Disk 1 MBR scan

16:22:11.153    Disk 1 Windows 7 default MBR code

16:22:11.168    Disk 1 Partition 1 00     07    HPFS/NTFS NTFS       476939 MB offset 2048

16:22:11.184    Service scanning

16:22:11.995    Service KL1 C:\Windows\system32\DRIVERS\kl1.sys **LOCKED** 5

16:22:11.995    Service kl2 C:\Windows\system32\DRIVERS\kl2.sys **LOCKED** 5

16:22:11.995    Service KLIM6 C:\Windows\system32\DRIVERS\klim6.sys **LOCKED** 5

16:22:11.995    Service klmouflt C:\Windows\system32\DRIVERS\klmouflt.sys **LOCKED** 5

16:22:13.196    Modules scanning

16:22:13.196    Disk 1 trace - called modules:

16:22:13.290    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 

16:22:13.306    1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8007e74790]

16:22:13.306    3 CLASSPNP.SYS[fffff88001a5143f] -> nt!IofCallDriver -> [0xfffffa8007bac520]

16:22:13.321    5 ACPI.sys[fffff88000e0b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xfffffa8007ba9680]

16:22:14.335    AVAST engine scan C:\Windows

16:22:21.886    AVAST engine scan C:\Windows\system32

16:24:23.394    AVAST engine scan C:\Windows\system32\drivers

16:24:32.193    AVAST engine scan C:\Users\donut

16:27:11.391    AVAST engine scan C:\ProgramData

16:28:32.031    Scan finished successfully

16:49:18.113    Disk 1 MBR has been saved successfully to "C:\Users\donut\Desktop\MBR.dat"

16:49:18.113    The log file has been saved successfully to "C:\Users\donut\Desktop\aswMBR.txt"

Auch der MBR ist ok :)
Noch Probleme?