| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BKA/GEMA Trojaner eingefangenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.07.2012, 20:06
| #1 |
 |  BKA/GEMA Trojaner eingefangen Hallo, Ich habe mir einen sogenannten BKA Ukash Trojaner eingefangen. Habe schon probiert es selbst zu bereinigen aber nichts funktioniert. Wie soll ich vorgehen? LG Edit: Habe den infizierten PC in den Abgesicherten Modus gebracht und das empfohlene Programm von Filepony.de "Malwarebytes Anti Malware" ausgeführt derzeit 4 infizierte Objekte hier das Logfile hoffe das ist so richtig Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.29.09 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 Fränki :: FRÄNKI-PC [Administrator] 29.07.2012 21:21:13 mbam-log-2012-07-29 (22-19-05).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 298976 Laufzeit: 56 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|unruldijzkfdboi (Trojan.Ransom) -> Daten: C:\ProgramData\unruldij.exe -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\ProgramData\unruldij.exe (Trojan.Ransom) -> Keine Aktion durchgeführt. C:\Users\Fränki\ms.exe (Trojan.Ransom) -> Keine Aktion durchgeführt. (Ende) hier noch der Logfile von Avira Antivirus Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 29. Juli 2012 22:32 Es wird nach 4001986 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista (TM) Home Premium Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : Fränki Computername : FRÄNKI-PC Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 09.05.2012 05:40:02 AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 05:40:02 LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 05:40:03 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 05:40:03 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 06:34:24 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 20:13:12 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 11:41:12 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 09:05:53 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 09:05:53 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 09:05:53 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 09:05:53 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 09:05:54 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 09:05:54 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 09:05:54 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 09:05:54 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 09:05:54 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 15:44:52 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 15:44:52 VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 10:21:46 VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 19:34:12 VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 19:43:24 VBASE019.VDF : 7.11.36.45 118784 Bytes 13.07.2012 19:45:54 VBASE020.VDF : 7.11.36.107 123904 Bytes 16.07.2012 19:11:04 VBASE021.VDF : 7.11.36.147 238592 Bytes 17.07.2012 19:11:04 VBASE022.VDF : 7.11.36.209 135168 Bytes 19.07.2012 04:24:23 VBASE023.VDF : 7.11.37.19 116224 Bytes 21.07.2012 04:24:24 VBASE024.VDF : 7.11.37.79 149504 Bytes 23.07.2012 19:05:06 VBASE025.VDF : 7.11.37.137 992256 Bytes 25.07.2012 19:05:08 VBASE026.VDF : 7.11.37.195 120832 Bytes 26.07.2012 06:14:21 VBASE027.VDF : 7.11.37.196 2048 Bytes 26.07.2012 06:14:21 VBASE028.VDF : 7.11.37.197 2048 Bytes 26.07.2012 06:14:21 VBASE029.VDF : 7.11.37.198 2048 Bytes 26.07.2012 06:14:21 VBASE030.VDF : 7.11.37.199 2048 Bytes 26.07.2012 06:14:21 VBASE031.VDF : 7.11.37.242 105472 Bytes 28.07.2012 08:48:22 Engineversion : 8.2.10.120 AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 19:34:15 AESCRIPT.DLL : 8.1.4.36 459131 Bytes 28.07.2012 06:14:36 AESCN.DLL : 8.1.8.2 131444 Bytes 18.03.2012 20:13:26 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 19:13:21 AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37 AEPACK.DLL : 8.3.0.18 807287 Bytes 28.07.2012 06:14:32 AEOFFICE.DLL : 8.1.2.42 201083 Bytes 23.07.2012 04:24:28 AEHEUR.DLL : 8.1.4.80 5075318 Bytes 28.07.2012 06:14:28 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:59:50 AEGEN.DLL : 8.1.5.34 434548 Bytes 23.07.2012 04:24:25 AEEXP.DLL : 8.1.0.72 86389 Bytes 28.07.2012 06:14:37 AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 19:34:15 AECORE.DLL : 8.1.27.2 201078 Bytes 11.07.2012 19:34:14 AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33 AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 05:40:02 AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 05:40:02 AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 05:40:03 AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 05:40:02 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 05:40:02 SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 05:40:03 AVSMTP.DLL : 12.3.0.15 63440 Bytes 09.05.2012 05:40:02 NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 05:40:03 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 09.05.2012 05:40:02 RCTEXT.DLL : 12.3.0.15 98512 Bytes 09.05.2012 05:40:02 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Sonntag, 29. Juli 2012 22:32 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ipmGui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmdSync.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ASScrPro.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ImpWiFiSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StkCSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ADSMSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1891' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <VistaOS> C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IENT_S1.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IENT_S2.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IENT_S3.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IENT_S4.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IENT_S5.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IE_S1.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IE_S2.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IE_S3.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IE_S4.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\lexware\setups\quicksteuer_deluxe_se_2010\Data\IE6\IE_S5.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\TuneUp Utilities 2012\data\VistaDefault.tbs [WARNUNG] Der Archivheader ist defekt C:\Program Files\TuneUp Utilities 2012\data\VistaDefault.tla [WARNUNG] Der Archivheader ist defekt C:\Program Files\TuneUp Utilities 2012\data\VistaDefault.tls [WARNUNG] Der Archivheader ist defekt C:\Users\Fränki\Downloads\avira_free_antivirus_898de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Windows\SoftwareDistribution\Download\574d40afdd62d2cfaff60e68c4fba36c\BITA562.tmp [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Windows\SoftwareDistribution\Download\7c623aee2d74976e5001739555827e40\BIT2876.tmp [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Windows\SoftwareDistribution\Download\83c7a12e78580e756a5f4d5b9857e9ce\BIT5679.tmp [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Windows\SoftwareDistribution\Download\bea6467cb3a3da6b45e3574fa53107c8\BITE8D9.tmp [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Windows\SoftwareDistribution\Download\c0722b1990b9ac3b619a5128a6ecba88\BITA35F.tmp [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Windows\SoftwareDistribution\Download\caf4b01622dcc717eeff41234c2e0966\BIT76D4.tmp [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UMC5QGNP\IE9-vista[1].msu [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Beginne mit der Suche in 'D:\' <DATA> Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Ende des Suchlaufs: Sonntag, 29. Juli 2012 23:40 Benötigte Zeit: 1:08:52 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 27330 Verzeichnisse wurden überprüft 342751 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 342751 Dateien ohne Befall 3569 Archive wurden durchsucht 21 Warnungen 0 Hinweise Geändert von xXFenrizXx (29.07.2012 um 20:36 Uhr) |
|
30.07.2012, 09:23
| #2 |
| /// Helfer-Team  | BKA/GEMA Trojaner eingefangen 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten. 2. Schritt Systemscan mit OTL (bebilderte Anleitung)
__________________ |
|
19.08.2012, 18:52
| #3 |
| /// Helfer-Team | BKA/GEMA Trojaner eingefangen Fehlende Rückmeldung
__________________Gibt es Probleme beim Abarbeiten obiger Anleitung? Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen. Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema. http://www.trojaner-board.de/69886-a...-beachten.html Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.
__________________ |
|
| Themen zu BKA/GEMA Trojaner eingefangen |
| bereinige, bereinigen, bka trojaner malware, bka ukash, ccc.exe, eingefangen, funktionier, gefangen, gen, mom.exe, nichts, probiert, troja, trojaner, trojaner eingefangen, ukash, ukash trojaner, verweise, vorgehen |
