BKA-Trojaner 1.03 - AppData\Roaming\Ozzey\somu.exe (Spyware.Zeus)
 

Hallo,

habe gestern abend, kurz nachdem ein popup aufging, den Sperrbildschirm des Trojaners bekommen. Habe dann erstmal neu gestartet, nach kurzem Laden des Desktops, kam sofort wieder der Sperrbildschirm. Habe den Laptop dann ausgeschaltet und komplett vom Netz genommen. Bin dann an einem anderen Rechner zur Internetrecherche zum Thema übergegangen.

Habe dann schnell herausgefunden, dass es ja ein weit verbreitetes Problem ist. Laut der Übersicht auf bka-trojaner.de handelt es sich um Version 1.03, da mir genau dieses Bild angezeigt wurde (allerdings nicht in einem Browserfenster mit der rot umrandeten IP-Adresse, sondern als Vollbild).

Ich habe dann auf dem zweiten Rechner Malwarebytes heruntergeladen und auf einen USB-Stick kopiert. Den Laptop dann im abgesicherten Modus gestartet, in der Eingabeaufforderung 'msconfig' aufgerufen und im Reiter Systemstart nach einem unbekannten, mir verdächtigen Programm gesucht (wie es auf botfrei.de von einigen empfohlen und wohl gemacht worden war).

Habe dort dann dies gefunden: C:\Users\XXXXXX\AppData\Roaming\Ozzey\somu.exe

Nachdem ich das Häkchen entfernt und die Einstellungen übernommen hatte, kam ich nach dem Neustart wieder ganz normal auf meinen Desktop.

Ich habe dann vom USB-Stick Malwarebytes kopiert und installiert. Habe die externe Festplatte, die zum Zeitpunkt des Auftretens des Sperrbildschirmes angeschlossen war, wieder angeschlossen und mit Malwarebytes einen vollständigen Suchlauf der Festplatte des Laptops und der externen Festplatte gestartet:

Avira fand außerdem folgendes:

Nach dem folgenden Neustart gab es zunächst keine weiteren Probleme mehr und ich kann, soweit ich es getestet habe auch auf alle meine Dateien zugreifen.

Als ich heute abend nach Hause kam, habe ich nochmal einen Quick Scan mit Malwarebytes durchgeführt:

Mich beschäftigen nun vor allem folgende Fragen:

1.) Kann ich feststellen, ob ich diesen Trojaner wirklich los bin? Besteht dafür überhaupt die Chance? Die Dinger sind ja meiner Recherche zufolge extrem schwer zu beseitigen und letztlich bringt nur eine Neuinstallation Gewissheit.

2.) Wenn ich Windows nun schon früher neu aufsetzen muss (ich wollte das eigentlich erst gegen Ende des Jahres wieder machen), kann ich sicherstellen, dass Dateien, die ich nun auf eine externe Festplatte sichere nicht auch bereits infiziert sind? Sonst würde ich den Trojaner ja nur wieder mit aufs neu aufgesetzte System bringen. Von den meisten wichtigen Dateien habe ich bereits Back-ups, es sind aber einige aktuellere Videoaufnahmen vom Sport und neuere Fotos auf dem Laptop, die ich noch nicht gesichert hatte.

Vielen lieben Dank schonmal vorab für Eure Hilfe!

:hallo:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe
- Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
- Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
- Unter Extra Registry, wähle bitte Use SafeList
- Klicke nun auf Run Scan links oben
- Wenn der Scan beendet wurde werden 2 Logfiles erstellt
- Poste die Logfiles hier in den Thread.

Hallo t'John,

zunächst einmal danke für die schnelle Antwort!

Hier der Log von Mawarebytes:

Beim Scan mit OTL habe ich folgende Fehlermeldung erhalten:

Die Statusanzeige in der Fußzeile von OTL zeigte zu diesem Zeitpunkt:

Soll ich den Scan nochmal starten?

Es wurde jedenfalls nur ein OTL-Log erstellt:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo t'John,

nochmals danke für die rasche Antwort!

Hier der OTL-Log:

Und dann hab ich noch eine Frage:
In meiner relativ großen Ahnungslosigkeit habe ich, nachdem ich wieder Zugriff auf meinen Desktop hatte, mein Mobiltelefon angeschlossen, um eine handvoll Fotos auf den Rechner zu kopieren. Muss ich mir diesbezüglich Sorgen machen?

Vielen Dank für die große Hilfe!

Nein, keine Sorge.

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo t'John,

danke für die schnelle Antwort.

Windows lädt gefühlt etwas schneller :)

Hier sind die Logs:

Eine allgemeine Frage: Welches Programm würdest du denn empfehlen, um im Firefox derartige Pop-ups in Zukunft zu verhindern? AdBlock? Oder ein anderes?

Sehr gut! :daumenhoc

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Super, danke!

Hier die beiden neuen Logs:

Mir ist noch etwas eingefallen: Avira blockiert zur Zeit immer wieder den Autostart der angeschlossenen externen Festplatte. Das machte es aber auch immer schon bei manchen USB-Sticks, deswegen hab ich mir bislang nichts dabei gedacht.

Sehr gut! :daumenhoc


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

"Can not get update. Is proxy configured?"

Heißt das ich habe noch irgendetwas an, das verhindert, dass es updaten kann?

Falsche Proxy Einstellungen entfernen

• Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
• Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
  wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

http://www.trojaner-board.de/attachm...ntfernen-3.pnghttp://www.trojaner-board.de/attachm...ntfernen-4.jpg

Hi t'john,

super, danke. Jetzt hat es geklappt. Hier ist der Logfile:

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schaedlinge ueber Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen muessen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von SingularLabs herunter und entpacke es auf den Desktop. Nimm die Windows Binary. JavaRA ist geeignet fuer Windows Windows 9x, 2k, XP, Vista, 7. Vista und Windows 7-User muessen die Benuterkontensteuerung deaktivieren, Anleitung siehe unten.

• Schliesse alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache Deutsch auswaehlen und klicke "Select".
• Klicke auf Weitere Funktionen, mache Haken bei Unnoetige JRE Dateien loeschen und Sun Download Manager loeschen.
• Klicke auf Start und jeweils auf Ok/Ja und schliesse das Fenster "Additional Tasks" wieder.
• Klicke auf aeltere Versionen loeschen, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Ja wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geoeffnet, bitte speichern und spaeter hier posten.
• Rechner neu starten.[/B]

Downloade nun die aktuelle Offline-Version von Java von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also waehrend der Installation den Haken bei der Toolbar entfernen.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Alles klar soweit, danke!

Hier ist die Logdatei von JavaRa:

Der Sun Download Manager war auch das einzige, das immernoch aufpoppte als mir der Sperrbildschirm angezeigt wurde. Hab ich damit eventuell was installiert, das der Trojaner haben wollte?

Bei den Einstellungen von Java wird mir im Moment kein Reiter Update bzw. Aktualisieren angezeigt. Ich nehme an, das liegt daran, dass die Version momentan aktuell ist.