HalliHallo,

Jetzt hat mich der BKA-Trojaner in der Österreich Version erwischt! Ich kann im abgesicherten Modus starten, hab auch versucht laut Anleitung den Trojaner zu entfernen. Allerdings steht bei "shell" schon "explorer.exe", also komm ich da nicht weiter. Hat jemand von euch schon Erfahrungen gemacht mit dieser offensichtlich neuen Österreich Version???
Bitte um Hilfe!!!
Anmerkung: Habe kein DVD Laufwerk, kann deshalb nix mit einer CD oder DVD starten...
Gruß und Danke im Voraus,
Steffl

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Ja, abgesicherter Modus hat funktioniert, hab den Schei** Trojaner dann mit dem Viren-Programm killen können! ;-) Danke für die Antwort!
Gruß,
Steffl

Sry das reicht so nicht, auf deinem System kann immer noch mehr drauf sein

Zitat:

Trojaner dann mit dem Viren-Programm killen können

Logs dazu?

Ok, aber beim System Check findet das Virenprogramm nix mehr, alles funktioniert wieder wie gewohnt... Wie kann ich dann feststellen, ob mein Computer sauber ist?
Gruß,
Steffl.

Log Datei vom ersten Scan hab ich noch, hab aber abbrechen vorzeitig abbrechen müssen. Ein erneuter kompletter Check hat aber auch nix mehr finden können. --->




Beginn des Suchlaufs: Sonntag, 24. Juni 2012 18:41

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MovieColorEnhancer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YCMMirage.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\steve\AppData\Roaming\AcroIEHelpe092.dll
[FUND] Ist das Trojanische Pferd TR/Offend.kdv.580984.1
C:\Windows\Sysnative\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Die Registry wurde durchsucht ( '1378' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Users\steve\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98ZIEA95\about[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Users\steve\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98ZIEA95\readme[1].exe
[FUND] Ist das Trojanische Pferd TR/Kazy.isd
C:\Users\steve\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I52ZAG6N\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\steve\AppData\Local\Temp\plugtmp-2\plugin-ap2-1.php
[0] Archivtyp: PDF
--> pdf_form_0.avp
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.cwk
C:\Users\steve\AppData\Local\Temp\plugtmp-2\plugin-ap2.php
[0] Archivtyp: PDF
--> pdf_form_0.avp
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.cwk
C:\Users\steve\AppData\Roaming\AcroIEHelpe092.dll
[FUND] Ist das Trojanische Pferd TR/Offend.kdv.580984.1

Beginne mit der Desinfektion:
C:\Users\steve\AppData\Local\Temp\plugtmp-2\plugin-ap2.php
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.cwk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5510e5b0.qua' verschoben!
C:\Users\steve\AppData\Local\Temp\plugtmp-2\plugin-ap2-1.php
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.cwk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d87ca17.qua' verschoben!
C:\Users\steve\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98ZIEA95\readme[1].exe
[FUND] Ist das Trojanische Pferd TR/Kazy.isd
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1fcc90c0.qua' verschoben!
C:\Users\steve\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98ZIEA95\about[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79e5df07.qua' verschoben!
Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6764C5ED-CEE4-42ae-8F31-23F02A3A661F}\> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_CLASSES_ROOT\CLSID\{6764C5ED-CEE4-42ae-8F31-23F02A3A661F}\> wurde erfolgreich entfernt.
C:\Users\steve\AppData\Roaming\AcroIEHelpe092.dll
[FUND] Ist das Trojanische Pferd TR/Offend.kdv.580984.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3c6ef23a.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6764C5ED-CEE4-42ae-8F31-23F02A3A661F}> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1228698728-3804201729-1754486052-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6764C5ED-CEE4-42ae-8F31-23F02A3A661F}> wurde erfolgreich repariert.


Ende des Suchlaufs: Sonntag, 24. Juni 2012 19:14
Benötigte Zeit: 32:51 Minute(n)

Der Suchlauf wurde abgebrochen!

15424 Verzeichnisse wurden überprüft
297499 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
297490 Dateien ohne Befall
3079 Archive wurden durchsucht
3 Warnungen
5 Hinweise

Aja, spybot hab ich auch noch laufen und killen lassen... ;-)

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo, den Scan mit Malwarebytes hab ich abgeschlossen, hier das Log dazu erstmal:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.02.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
steve :: STEVE-PC [Administrator]

02.07.2012 17:31:07
mbam-log-2012-07-02 (17-31-07).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 317652
Laufzeit: 1 Stunde(n), 12 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCR\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent) -> Daten: C:\Users\steve\AppData\Roaming\appconf32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Den Eset Scan muss ich noch durchführen, poste dann das log...
Danke!
LG

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Nein, hab davor noch nie mit Malwarebytes gescannt.
Gruß,
Steffl

P.S: Den Scan mit ESET dennoch durchführen? Was macht der genau?

Es steht doch da, dass das ein Online Virenscanner ist?!
Preisfrage: Was macht ein Virenscanner wohl?