BKA Trojaner auf Win 7
 

Hallo!
Mein Dad hat sich auf seinem PC den BKA Trojaner eingefangen. Jetzt versuche ich dieses Ding wieder loszuwerden, was aber irgendwie nicht funktioniert.
Habe schon versucht im Abgesicherten Modus hochzufahren, fährt aber wieder selbständig runter.
Kann nicht auf den Desktop zugreifen, weil sich die Seite des Trojaners nicht schließen läßt. Somit weiß ich auch nicht, wie ich irgendein Logfile erstellen soll. Sogar die Startleiste unten ist weg. Kurz: es funktioniert gar nichts mehr.
Mein Problem noch dazu: Plattmachen möchte ich nicht, weil auf dem PC noch wichtige ungesichterte Daten sind.

Ich hoffe, ihr könnt mir helfen...

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:


Danke für deine Mitarbeit!






Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Hallo Matthias!
F8 funktioniert nicht. Da ich den PC nicht runterfahren kann, kann ich ihn auch nicht richtig hochfahren. Es heißt dauernd "windows wird fortgeführt"

USB mit FRST anstecken, Rechner ausschalten, Rechner anschalten, nach dem BIOS mehrmals die F8-Taste drücken (bevor "Windows wird gestartet" erscheint), dann kommst du in ein Menü, in dem du die Reparaturoption auswählen kannst... lies dir nochmal alle Anleitungen durch... das hat schon tausendfach funktioniert. :)

Ok, hat geklappt, jetzt bin ich dabei frst.exe einzugeben. kommt aber nur "das zum unterstützen des abbildtyps erforderliche subsystem ist nicht vorhanden". Muß ich vor frst.exe das "x:\windows\system 32" weg machen?

Steht eigentlich alles in der Kurzanleitung meines 1. Posts... du musst erst mal wissen, welchen Laufwerksbuchstaben dein USB-Stick hat... z. B. e:\frst.exe bzw. e:\frst64.exe... lies dir halt bitte die Anleitung nochmal in Ruhe durch. ;)

Klappt trotzdem nicht. Bei notepad wird Laufwerk F angezeigt, wenn ich f:\frst.exe eingebe kommt gleiche Meldung wie oben. :heulen:

Hat geklappt, hatte die falsche Version.


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Servus,




Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.





Berichte mir, ob du nach dem Fix im Recovery Mode deinen Rechenr wieder normal starten kannst (wir sind dann aber noch nicht fertig). :)

Rechner startet wieder normal!

Sehr gut gemacht! :daumenhoc :applaus:



FRST im normalen Modus auf dem Desktop abspeichern und von dort starten:



Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

FRST vom USB-Stick auf den Desktop verschieben oder neu herunterladen und auf dem Desktop abspeichern.

FRST starten, Haken setzen bei Addition.txt und Scan drücken, beide Logdateien (FRST.txt und Addition.txt) posten.

Oh, ok. Sorry. Hier nochmal:


Ich seh grad das 2. ist wieder von F.
Kommt gleich nach von c.


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Antivir hat jetzt übrigens selbständig irgendwas gefunden. "TR/Dropper.Gen" Soll ich da auf entfernen klicken, oder den sicherheitshinweis einfach schließen?

Poste mir die Logdatei von Avira, ansonsten ist diese Info quasi wertlos, weil das alles Mögliche bedeuten kann...










Schritt 1

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 2
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.






Bitte poste mit deiner nächsten Antwort

• die Logdatei von ESET,
• die Logdatei von SecurityCheck.