Trojaner-Board - Wieder BKA- Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wieder BKA- Trojaner (https://www.trojaner-board.de/112478-bka-trojaner.html)

Wieder BKA- Trojaner

Der PC eines Bekannten ist nun auch mit dem BKA- Trojaner befallen. Es kam wieder die Aufforderung, 100 Euro zu bezahlen usw.
Ich habe mit einer Boot-CD von Kaspersky jetzt erstmal die unmittelbaren Auswirkungen des Trojaners behoben sodass ich jetzt erstmal ohne Abgesicherten Modus gegen den Trojaner vorgehen kann.
Ich hätte ja in den Anhang schon die OTL.txt Dateien hängen können aber ich wollte nichts blind drauf los tun ...
Vielen Dank

Hi,

mit dem verseuchten Konto booten, dann OTL:
OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Sooo hier jetzt das Log des Mbam scans und im anhang die .txt files des OTL scans:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.28.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Michael :: MICHAEL-NEU-B [Administrator]

Schutz: Aktiviert

28.03.2012 12:24:30
mbam-log-2012-03-28 (12-24-30).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 311950
Laufzeit: 1 Stunde(n), 5 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hi,

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:



:OTL

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05D195EC
 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = dword:0x00
 

:Commands

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Sonst sieht es ganz vernünftig aus...

Zur Sicherheit:
TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:
http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg
Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Ok ich glaub ich hab ein Problem:

Während des Fix Prozesses, kam eine Meldung von Mbam welche den Prozess unterbrochen hat. Das System hat sich aufgehängt und ist abgestürzt.Beim Neustart führte Windows XP im Moment auf dem infizierten PC irgendeinen Scan durch. Sind die Daten sicher?!
Bitte um Hilfe

Edit: Keine Ahnung hatte irgendwie voll Panik bekommen, aber Windows hat nach dem Scan einfach ganz normal weiterfunktioniert, Logs kommen bald

Hi,

dann hat wahrscheinlich MAM versucht den Zugriff von OTL zu stoppen...
Wahrscheinlich lief danach eine Datenträgerüberprügung...

chris

Okaaaay, wie lange sollte denn dieser Fix dauern? Denn ich habe das jetzt nochmal gemacht und nun sehe ich nurnoch das OTL- Fenster welches mir immer noch die Meldung gibt: Killing Processes DO NOT INTERRUPT. Keine Taskleiste mehr , keine anderen Programme und das sieht schon seit einiger Zeit so aus.

Hi,

dann legt sich ein Prozess per..

Bitte in den abgesicherten Modus booten (F8 beim Booten), alle Scanner abschalten (vom INetz trennen) und noch mal probiren, sonnst gleich MAM losjagen...

chris

Bin jetzt erstmal eine Woche im Urlaub sorry :applaus:
Bitte nicht den thread aus den Benachrichtigungen nehmen ich mach in einer Woche weiter :abklatsch: