|
Neu hier und probleme mit dem BKA trojaner Hallo zusammen, ich bin neu hier und habe Probleme mit dem BKA-Trojaner auf dem Rechner meiner Eltern. Also, der Rechner meiner Eltern ist infiziert und ich bin gebeten, ihnen zu helfen. Als erstes habe ich mich mal im Internet schlau gemacht wie ich das Problem beheben könnte. Auf der Seite hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html habe ich mich als erstes informiert und mich durchgearbeitet. Also habe ich den Rechner im abgesicherten Modus hochgefahren und dann in der Regedit Punkt 6. bis 8. durchgearbeitet. 6. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist. 7. Hier muss man sich durch das Verzeichnis klicken. Ziel der “Reise” ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen). 8. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der “Wert” dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann. Sollte hier bereits “explorer.exe” stehen, dann zuerst die Hilfestellungen von Simon beachten (Punkt 8 sowie Punkte 1 bis 6). Diese Hilfestellung sollen einem helfen den explorer auszutauschen. Hab ich also auch gemacht und danach neu gestartet. Aber das Problem war immer noch da. Dann kam mir die die Seite https://www.botfrei.de/ueber.html in die Hände und ich habe mir den DE-Cleaner powered by Avira heruntergeladen und auf einem Stick instaliert und über den Rechner meiner Eltern im abgesicherten Modus laufen lassen. Siehe da, der rechner war mit einer Datei infiziert. Ich habe nach anweisungen des cleaners gehandelt und dann den rechner neu gestartet, aber das Problem war immer noch da. Jetzt war erst mal schluß und ich unterhielt mich mit einem Kollegen und dieser machte mich auf Eure Seite aufmeksam. Hier bin ich also nun und benötige Hilfe. Als letzte idee kam mir heute den Rechner im Abgesicherten Modus mit Netzwerktreibern hochzufahren und dort als erstes mal eine Systemwiederherstellung zu machen. das hat geklappt, der rechner schein frei vom Trojaner. aber war das eine gute Idee und wenn ja, was jetzt, findet Malwarebytes Anti-Malware den jetzt oder eben nicht, ich bin etwas ratlos Also ich habe wie gesagt den Rechner zurückgesetzt und danach das von Euch empfohlene Malwarebytes Anti-Malware drüberlaufen lassen. hier nun das Ergebniss des Scan: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.18.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.11 ak-mk :: A-MK [Administrator] Schutz: Aktiviert 18.06.2012 19:03:12 mbam-log-2012-06-18 (19-03-12).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 214700 Laufzeit: 14 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 18 HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Fun Web Products (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\MyWebSearch (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\FocusInteractive (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Fun Web Products (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00A6FAF1-072E-44CF-8957-5838F569A31D} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MyWebSearch (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 8 C:\Programme\FunWebProducts\Shared (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\MyWebSearch\bar (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\MyWebSearch (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\FunWebProducts (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\FunWebProducts\ScreenSaver\Images (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\FunWebProducts\ScreenSaver (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\MyWebSearch\bar\Settings (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\MyWebSearch\bar\History (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 3 C:\Programme\FunWebProducts\ScreenSaver\Images\0010B008.urr (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\MyWebSearch\bar\History\search2 (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\MyWebSearch\bar\Settings\s_pid.dat (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board
