0_0u_l.exe - BKA Trojaner /wie PC endgültig virenfrei machen?
 

Hallo,
offensichtlich hat sich auch auf meinem Rechner der BKA Virus eingenistet.
Beim Hochfahren erscheint die RUNDLL-Meldung: "Fehler beim Laden von 0_0u_l.exe. Modul wurde nicht gefunden"

Der Virus wurde von Antivir erkannt und unter Quarantäne gestellt.

Doch wie nun den PC virenfrei machen?

Da es beim Durchlesen verschiedener Postings verschiedene Möglichkeiten gibt (und jede ist individuell) hab ich mal vorsichtshalber nichts angestellt, da ich kein wirklicher Experte bin.

Wende mich daher an die wahren Experten hier im Forum mit der Bitte um Hilfe. Scanreport von Avira hab ich im Anhang beigefügt.

Danke vorab für die Hilfe und Unterstützung!

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

• Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Wähle Scanne Alle Benuzer
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
• Unter Extra Registrierung, wähle bitte Benutze SafeList
• Klicke nun auf Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo,

habe nun lt. Anleitung den Scan mit Malwarebytes durch und 1 Datei mit dem Trojaner wurde unter Quarantäne gestellt. Weiters ist der OTL Scan durch; dessen beiden Logdateien finden sich im Anhang.

Um Inkonsistenzen vorzubeugen habe ich während der Scanvorgänge den Echtzeitscanner von Antivir deaktiviert.

Danke für die Unterstützung!

Bitte das Malwarebytes Logfile posten!
(Reiter Logberichte)

Hallo, hier das Logfile.

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.03.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MeinPc :: MICROSOF-5D1618 [Administrator]

Schutz: Aktiviert

03.09.2012 20:40:30
mbam-log-2012-09-03 (20-40-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 247073
Laufzeit: 14 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\MeinPc\Startmenü\Programme\Autostart\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

-------hhhh

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo, habe nun den OTL Fix laufen lassen - schön das Script beginnend mit :OTL reinkopiert; Malwarebytes, Avira, Internet beendet. Sonst keine Programme am Laufen.

Es erscheint im unteren Balken von OTL "Procecces killing - do not interrupt...".
Sonst passiert aber gar nichts. Nach 15 min habe ich dann versucht, OTL via Task-Manager zu beenden. Doch es erfolgt bei OTL "keine Rückmeldung". Also blieb nur noch die Hammer-Methode - Rechner abschalten.

Wie gehts nun weiter? (Logfile von OTL wurde klarerweise auch keins produziert)
Bitte auch um Info wie dies mit "den "Code-Tags" hier im thread posten" gemeint ist. Irgendwie blick ich nicht durch wie dies funktioniert.:o

Neustarten, nochmal versuchen.

Hallo, 3x versucht - ohne Ergebnis. Nach wie vor in der untersten Zeile "Killing processes, DONT INTERRUPT...."

Nach jeweils 30 min, nachdem nichts geschehen war, nur letzte Möglichkeit PC abschalten, da sich OTL nicht beenden lässt (keine Rückmeldung). Auch nicht via Task-Manager.

Hier mal meine Einstellungen von OTL:

Processes -> use safelist
Modules -> No company name
Services, Drivers, Standard Registry -> use safelist
extra registry -> none
File created, files modified -> file age

Wie gehts nun weiter? *ratlos bin*

Fix angepasst, nochmal versuchen.

Hallo, nach 2 Versuchen leider wieder ohne Ergebnis.
Es tut sich gar nichts - OTL beenden geht auch nicht (keine Rückmeldung).

Hallo,
da ich die nächsten Tage unterwegs bin, muss ich den Bereinigungsprozess anhalten. Ich melde mich sobald wir fortsetzen können. Danke!

Alles klar, versuche dann den Fix:

Hallo John,
so nun diesen Fix versucht. Leider auch erfolglos - es passiert auch mit dem Fix nichts.
Beenden von OTL wieder nur auf die harte Tour möglich.

Wie schnell ist denn ersichtlich, ob der Fix läuft oder nicht? Nehme mal an sofort? oder erst nach mehreren Minuten?

Gruß

Paar Minuten sollte man schon Warten!
10 Minuten mindestens.

Hallo, auch nach 15 min erfolglos.
ich befürchte, neu Aufsetzen wird unumgänglich sein...?

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.