BKA Trojaner Virus mit Windows lock eingefangen
 

Hallo ,
habe mir eine BKA Virus eingefangen bei dem nach dem Systemstart die obligatorische Fake- Seite aufgeht in der auf die rechtlichen Konsequenzen hingewiesen wird. Zudem natürlich die Auforderung 100 € zu zahlen, damit der Rechner wieder freigegeben wird. Überflüssig zu erwähnen, dass weder Taskmanger noch cmd- Eingabe reagierten ...

Habe dann nach einigem googlen das Kaspersky unlocker tool gefunden und drüber laufen lassen. Es hat auch eine Datei gefunden und diese entfernt. Nach dem Neustart das gleiche Spiel - Kein Zugriff.

Hab das System dann über einen Wiederherstellungspunkt auf den Tag zuvor zurückgesetzt, mit der Hoffnung, dass dann wieder alles i.O. ist. So war es dann (zumindest augenscheinlich) auch, konnte/ kann wieder ohne Windowslock frei arbeiten. Die Sache hat mich aber totzdem weiterhin beschäftigt und so wollte ich sicher gehen, dass wirklich alles clean ist.

Hab mich dann weiter auf die Suche gemacht und die Tools "Malwarebytes" und "adwcleaner" gefunden, die dann auch einiges an weiteren Viren aufgestöbert haben. Dummerweise habe ich diese bereits entfernt. Die Log-Dateien hab ich mal vorsichtshalber aufgehoben.

Habe nach weiterer Recherche gelesen, dass sich der o.g. Virus im MBR festsetzt und ohne Neuinstallation das System nie sauber sein wird. Da das Neuaufsetzen leider nicht ohne weiteres möglich ist (diverse Lizenzierungsschlüssel, die nur kostenpoflichtig erneuert werden können), wollte ich eure Hilfe und eure tatkräftige Unterstützung...:pfeiff:

Maxx

Dann zeig uns zunächst mal deine Logfiles:

Hallo Ryder vielen Dank für die schnelle Antwort,

Hier log von Malware:
und noch die logfiles von adwcleaner:
und nach dem Neustart:
Vielen Dank vorab:rolleyes:

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.


Gelesen und verstanden?


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Laufwerksemulationen abschalten mit Defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop und starte es:

• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully ... Continue?" bestätige dies mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Poste bitte die defogger_disable.txt von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort, möglichst in CODE-Tags.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Schritt 2:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke auf Change parameters, setze einen Haken bei Detect TDLFS file system und bestätige mit OK.
• Drücke Start Scan
• Warnung:
  Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread (bitte dringend in CODE-Tags mit dem #-Symbol im Editor).

Schritt 4:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Hallo Ryder,

na dann mal los :crazy:

Schritt 1 erledigt. Habe jedoch noch nicht den Re-enable Button gedrückt. Soll ich vermutlich auch erst tun wenn du es sagst. (Hab ich zumindest so verstanden)
Wenn ich den Rechner nach dem letzten schritt runterfahre, muss ich beim Neustart, dann wieder den Defogger ausführen und disablen?

Gruß Maxx

hier die Defogger.txt :

---------------

Sorry Ryder,

wer lesen kann ist klar im Vorteil... Dachte jeder Schrit in einem Post. Also noch mal von vorn.
Schritt 1 erledigt.
Den Re-enable Button nach dem Ausführen aller Schritte noch nicht gedrückt. Soll ich vermutlich auch erst tun wenn du es sagst. (Hab ich zumindest so verstanden).
Wenn ich den Rechner nach dem letzten schritt runterfahre, muss ich beim Neustart, dann wieder den Defogger ausführen und disablen?
Bzw. wenn ich mit dem PC arbeite, kann ich Probleme bekommen, wenn disabled wurde?

Hier Code zu Step 1:
Step 2 hat wie du schon angedeutet hattest beim Quickscan abgebrochen. Habe dann mit der Einstellung "None" noch einmal ausgeführt:
Step 3 TDSSKiller:
Zuletzt Step 4:
dds.txt
DDS Logfile:
DDS Logfile:
--- --- ---

--- --- ---


und noch das Attach.txt File:
wie immer "DANKE"

Maxx

Kurz gefragt: Ist das ein gewerblich genutzer Rechner?

Weil nämlich ....
http://www.trojaner-board.de/108422-...-anfragen.html

Hallo Ryder,

in der Tat ist es ein PC in unserer Firma. Da wir keine IT-Abteilung haben (zu klein) und auch meine Kenntnisse sehr begrenzt sind habe ich mich an euch gewandt. Leider kenn ich mich mit Logfiles und spez. dem Inhalt, den ich dir geschickt habe nicht aus und weiß auch nicht ob und wie hier sensible Daten drin sind die ausgespäht werden könnten.
Wenn dem so ist müsstest du den Thread bitte umgehend rausnehmen...:balla: , damit hier nicht jemand auf dumme Gedanken kommt. Beim durchscrollen ist mir augenscheinlich nichts aufgefallen. Bin aber eben nur Laie.

Maxx

Nun es gelten die folgenden Spielregeln.



Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Ryder,

combifix ist im 2. Anlauf durchgelaufen, beim ersten Mal Bluescreen (jedoch zu schnell weg um mit zu schreiben)
Anbei die Logfile:
[CODE]

Combofix Logfile:
--- --- ---


Gruß Maxx

Na grossartig ... da hat es uns irgendwas zerstückelt. Mit ein Grund warum wir ungern gewerblich genutzte Rechner bereinigen.

Was für ein Programm war das? und war dieser Ordner wichtig?

Hallo Ryder,

alles easy, war (nur) unsere eigene Software. Die Setup-Dateien für eine Neuinstallation liegen im Safe :Boogie:
Ist ein Minimalaufwand von 10 minuten, keine wichtigen/wiederherstellbaren Daten betroffen.

*seufz*

DAS sind die Momente die mir das Leben schwer machen :)

Dann fangen wir mal an ein wenig sauber zu machen.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, FireJump, SearchAnonymizer

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:
Schritt 5:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo Ryder,

die Scans liefen am Freitagabend bis spät in die Nacht und ich habe diese dann sich selbst überlassen... Ich werde morgen früh die Posts einstellen. Entschuldige bitte, dass ich mich nicht gemeldet hatte. Natürlich möchte ich den Weg bis zu Ende gehen, sonst wäre ja alles vermutlich umsonst gewesen. :eek:

Gruß Maxx

PS: Ich weiß, dass du morgen Ruhetag hast. Meld dich einfach sobald du meine Postings gecheckt hast.

Vielen Dank

so, nächste Runde. Hausaufgaben erledigt :rolleyes:

Step 1:
keinerlei solcher Progs/ Toolsbars etc vorhanden (die schmeiße ich grundsätzlich immer runter), mit Ausnahme von Java, das werde ich am Ende wieder installieren.

Step 2 adwcleaner log:
AdwCleaner Logfile:
--- --- ---


Step 3 malwarebytes:
habe hier den Quickscan ausgeführt, da per Default eingestellt und von dir keine andere Anweisung kam. Den Full-Scan habe ich schon vor 2 Tagen gemacht und dir ja bei meinem 2. Posting die Log-Datei gepostet.
Sollte ich nochmal einen Full-Scan benötigen, bitte kurz posten.
keine infizierten Files gefunden, jedoch in Quarantäne-Tab sind 243 Files drin. Soll ich diese löschen?
hier das Logfile:

Step 4 Eset Online hat folgende 2 Viren gefunden:
Step 5 security Check Logfile:
Gruß Maxx

Hallo Ryder,

wollte nur nachfragen wie der Stand der Dinge ist.

Gruß Markus

Hallo Ryder,

habe leider immer noch nix von dir gehört und bin bis nächsten Monatg(abend) nicht im Büro. Vielleicht könnten wir ab Dienstag noch die restlichen notwednigen Schritte abarbeiten. Wäre super.
Danke Maxx

Hallo Ryder,

hast du mich noch auf dem Schirm?
Gruß Maxx

Tut mir leid. Keine Ahnung was da schief ging, aber wir waren ja auch praktisch fertig.

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: jetzt auf re-enable klicken.
2. Falls Combofix benutzt wurde: Windowstaste + R > Combofix /Uninstall (eingeben) > OK (Alternativ in uninstall.exe umbenennen und starten)
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Schritt 3:
Update: Adobe Reader

• Deinstalliere deine alte Version von Adobe Reader (Systemsteuerung > Programme > Deinstallieren).
• Lade dir die aktuelle Version hier herunter: get.adobe.com/de/reader/
• Entferne dabei den Haken:
  http://www.trojaner-board.de/picture...&pictureid=320

- oder -

Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:

• Lade dir den Foxit Reader von www.foxitsoftware.com/downloads/ .
• Starte die Installation und entferne dabei die folgenden Haken:
  http://www.trojaner-board.de/picture...&pictureid=321

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Hallo Ryder,

vielen Dank für deine Hilfe, hoffe ich bin jetzt wieder clean...
Habe an unsere Chefs weitergegeben, wo sie sich beim Board erkenntlich zeigen können.:taenzer:

Habe alles gemäß deinem letzten Post abgeschlossen und werde deine Tips für die Zukunft an unserer Mitarbeiter entsprechend verpackt weitergeben.

Bis (hoffentlich nicht) bald

Gruß Maxx

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/