Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BKA Virus - was ist noch befallen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.11.2011, 14:42   #1
Morchel
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Hallo zusammen,

Ende letzter Woche wurde auch ich vom BKA-Trojaner heimgesucht und habe bereits eine ganze Reihe Schritte unternommen, nach denen ich hoffe (!), dass mein System wieder bereinigt ist. Ich traue dem Braten allerdings noch nicht und würde daher gerne nochmal einen fachmännischen Rat einholen (ein Bekannter hat mir dazu euer Forum empfohlen).

Folgendes habe ich bereits unternommen (Windows 7 Professional 64 bit):
- Viren-exe (mahmud.exe) nach Anleitung im abgesicherten Modus gesucht und gelöscht. Seitdem hatte ich zumindest keine Symptome mehr
- an verschiedener Stelle (z.B. hier) ist zu lesen, dass die Kaspersky Rescue Disk 10 das System komplett reinigen kann, daher diese CD runtergeladen und laufengelassen. Dabei wurden 18 infizierte Dateien gefunden und gelöscht.
- Ubuntu von CD gebootet und alle versteckten Ordner und Dateien auf meinem Stick gelöscht (das war möglicherweise eine Überreaktion, denn ich habe danach festgestellt, dass diese Dateien davor schon vorhanden waren.. )
- Malwarebytes installiert und laufen gelassen. Dabei wurde die genannte mahmud.exe nochmal gefunden. An der Stelle wurde mir das ganze zu blöd und ich hab dann doch C formatiert und Windows neu installiert.
- nochmal Malwarebytes: Alles sauber.

Was mich jetzt noch beschäftigt, sind Partition D und mein USB-Stick, den ich zu dem Zeitpunkt des Befalls angeschlossen hatte. Eine Formatierung dieser Datenträger wäre für mich nur eine Option für den äußersten Notfall, da auf beiden einige wichtige aktuelle Dateien gespeichert sind (das letzte Backup, das ich auf einem anderen PC gemacht habe, ist 1 Monat alt). Das Problem ist, dass ich auf dem Stick auch u.a. meine Passwörter gespeichert habe (verschlüsselt) und ich mich jetzt nicht mehr traue
a) die Passwortdatenbank zu öffnen
b) den Stick an andere Rechner anzuschließen
c) Seiten wie etwa mein Online-Banking zu öffnen

Meine Frage ist daher:
1. wie ich herausfinden kann, ob der Stick und meine Dateien auf D sauber sind
2. was ich sicherheits- und datenklautechnisch alles zu befürchten hätte, wenn dem nicht so wäre.
3. Was ich jetzt noch für Maßnahmen ergreifen soll/muss, hinsichtlich Datenträgerbereinigung, Passwörtern, Onlinebanking etc. Im Nachbarthread habe ich das hier gelesen:

Zitat:
6.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

-> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch
Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Soll ich das auch machen?


Von den oben genannten Prozessen hab ich leider keine Logfiles erstellt. Aber gemäß Checkliste habe ich eben Defogger und OTL benutzt und die mit *** bearbeiteten Logfiles angehängt. In Reaktion auf OTL hat sich übrigens Sophos beschwert ('Verdächtiges Verhalten von HIPS/RegMod...' o.ä.).


Vielen Dank schonmal für eure Hilfe und viele Grüße,
Morchel
Angehängte Dateien
Dateityp: txt defogger_disable_xxx.txt (470 Bytes, 148x aufgerufen)
Dateityp: txt Extras_xxx.txt (25,7 KB, 325x aufgerufen)
Dateityp: txt OTL_xxx.txt (78,4 KB, 161x aufgerufen)

Alt 02.12.2011, 13:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Zitat:
Dabei wurden 18 infizierte Dateien gefunden und gelöscht.
Log hast du noch? Wenn ja posten

Zitat:
Malwarebytes installiert und laufen gelassen. Dabei wurde die genannte mahmud.exe nochmal gefunden. An der Stelle wurde mir das ganze zu blöd und ich hab dann doch C formatiert und Windows neu installiert.
Von Malwarebytes auch alle Logs posten!!

Zitat:
1. wie ich herausfinden kann, ob der Stick und meine Dateien auf D sauber sind
100% Sicherheit gibt es nicht. Hat Malwarebytes auch Sticks und Datenpartitionen durchsucht? Alle Funde sofern welche da waren gelöscht?
Und am besten alles noch manuell löschen was nicht mehr benötigt wird.
__________________

__________________

Alt 02.12.2011, 15:30   #3
Morchel
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Danke für die Antwort.

Malwarebytes hab ich angehängt, ist aber glaube ich nicht so ergiebig. Den Kaspersky-Log hab ich leider nicht mehr, das war noch vor Format C:...

Zitat:
100% Sicherheit gibt es nicht. Hat Malwarebytes auch Sticks und Datenpartitionen durchsucht? Alle Funde sofern welche da waren gelöscht?
Und am besten alles noch manuell löschen was nicht mehr benötigt wird.
Ja, wurde alles durchsucht und nichts gefunden. Ballast gelöscht habe ich auch bereits.
Dass 100%ige Sicherheit nicht zu gewährleisten ist, hab ich bereits befürchtet. Wie hoch würdest du denn die Sicherheit einschätzen, dass mein System wieder sauber ist? Ist bereits irgendwas darüber bekannt, was der BKATrojaner außer dem offensichtlichen Sperrscreen noch machen kann? Und kann ich den Stick jemals wieder guten Gewissens an einen anderen Rechner ranlassen?

Btw: Noch eine Frage zu dem OTL-extra-Log. Ohne tieferes Verständnis dessen, was da berichtet wird, ist mir aufgefallen, dass da ziemlich oft "Reg Error: Key error." steht. Ist das normal?

VG
Morchel
__________________
Angehängte Dateien
Dateityp: txt mbam-log-2011-11-28 (14-48-15).txt (1,0 KB, 164x aufgerufen)

Alt 02.12.2011, 19:41   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Zitat:
Den Kaspersky-Log hab ich leider nicht mehr, das war noch vor Format C:...
Wie jetzt, du hast erst bereinigt und dann formatiert?

Wenn du einen Stick anschließen willst, der möglichweise infiziert ist, deaktivierst du VORHER die automatische Wiedergabe komplett

Automatische Wiedergabe deaktivieren:

Auf dem (neuinstallierten) Windows-Rechner die automatische Wiedergabe (Autorun) auf allen Laufwerken deaktivieren:

Windows XP
: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.12.2011, 10:22   #5
Morchel
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Naja, wie oben erwähnt bin ich zum Zeitpunkt, als ich Kaspersky ausgeführt habe, ja davon ausgegangen, es könnte das system reinigen. Als ich danach allerdings durch den Fund von mahmud.exe durch Malwarebytes eines Besseren belehrt wurde, habe ich C formatiert und Windows neu installiert.

Autorun habe ich deaktiviert. Und jetzt?


Alt 05.12.2011, 14:14   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Zitat:
habe ich C formatiert und Windows neu installiert.
Dann ist der Schädling auch entfernt in Sinne von => Betriebssystem ist (wieder) vertrauenswürdig

Zitat:
Autorun habe ich deaktiviert. Und jetzt?
Dir ist klar wozu das ganze?
Hast du ALLE externen Datenträger mit Malwarebytes überprüft?
__________________
--> BKA Virus - was ist noch befallen?

Alt 06.12.2011, 13:44   #7
Morchel
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Zitat:
Dir ist klar wozu das ganze?
Wie meinst du das? Vielleicht haben wir hier ja etwas aneinander vorbeigeredet:

- Mein System sollte prinzipiell sauber sein, stimmt.
- es sei denn, es wurde durch den Inhalt auf D oder dem Stick (beide nicht formatiert wegen damit verbundenem Datenverlust) sofort neu infiziert.
- ich habe allerdings heute nochmal Malwarebytes einen Komplettscan durchführen lassen, wieder ohne Fund (Anhang).

Alles was ich an dieser Stelle wissen möchte, ist, ob mein Stick soweit wieder sauber ist und ich ihn wieder normal zum Arbeiten an verschiedenen Rechnern benutzen kann. Da du dazu gesagt hast, es gebe keine hundertprozentige Sicherheit, ist meine konkrete Frage:

- womit kann ich meine potentiell noch infizierten Datenträger scannen, um die Sicherheit auf ein annehmbares Maß zu erhöhen?
- muss ich dann trotzdem noch befürchten, dass irgendwann demnächst ein Desaster eintritt, z.B. mein Konto leer ist, der Virus auf meinen anderen Rechnern oder denen meiner Kollegen auftritt o.ä.? Dann würde ich nämlich die höchstmögliche Sicherheitsmaßnahme ergreifen, die mir einfällt, nämlich nochmal alles neu installieren, dann ZUERST Autorun ausschalten, den Stick anschließen, alle seit dem letzten sauberen Backup neu hinzugekommenen Daten runtersichern, Stick formatieren, Daten wieder rauf. Ich hab im Moment den Eindruck, dass das mit Kanonen auf Spatzen geschossen wäre, aber genau da würde ich eben gerne nochmal eine Expertenmeinung hören.

Oder ist das alles Blödsinn, was ich mir zu dem Thema denke?

Danke nochmal und viele Grüße,
Morchel
Angehängte Dateien
Dateityp: txt mbam-log-2011-12-06 (12-17-28).txt (1,1 KB, 191x aufgerufen)

Alt 06.12.2011, 13:52   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Zitat:
- womit kann ich meine potentiell noch infizierten Datenträger scannen, um die Sicherheit auf ein annehmbares Maß zu erhöhen?
Mit scannern garnicht weiter.
Duch das deaktivierte Autorun (automatische Wiedergabe) kann kein Autorun-Schädling automatisch gestartet werden. Anschließend löschst du alles vom Stick oder besser: du speicherst nur das was noch vom Stick (bzw. externen Datenträger wie USB-Platte) noch benötigt wird auf der internen Platte zwischen und formatierst alle externen Datenträger nochmal neu.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.12.2011, 10:26   #9
Morchel
 
BKA Virus - was ist noch befallen? - Standard

BKA Virus - was ist noch befallen?



Hab ich gemacht. Dann gehe ich jetzt also einigermaßen davon aus, dass mein System sauber ist, von meinen Devices keine Bedrohung mehr ausgeht und entspanne mich wieder...?

Antwort

Themen zu BKA Virus - was ist noch befallen?
blöd, checkliste, dateien, e-banking, ebanking, festgestellt, festplatte, formatierung, forum, frage, infizierte, infizierte dateien, kaspersky, logfiles, malwarebytes, maßnahme, neu, ordner, problem, prozesse, rechner, scan, seite, seiten, sophos, stick, system, virus, windows



Ähnliche Themen: BKA Virus - was ist noch befallen?


  1. xp : Virus; abgesicherter Modus auch vom Virus befallen
    Log-Analyse und Auswertung - 28.10.2013 (7)
  2. System noch mit Schadsoftware befallen? Scan-tools um dies auszuschließen und wirklich sicher zu gehen
    Plagegeister aller Art und deren Bekämpfung - 04.05.2013 (2)
  3. Laptop mit GVU/BSI-Virus befallen
    Plagegeister aller Art und deren Bekämpfung - 29.01.2013 (22)
  4. Rootkit mit Malwarebytes richtig gelöscht? Oder ist das System noch befallen?
    Log-Analyse und Auswertung - 27.01.2013 (1)
  5. PC von Virus befallen
    Log-Analyse und Auswertung - 23.10.2012 (7)
  6. Netzwerk vom Virus befallen?
    Log-Analyse und Auswertung - 01.09.2012 (15)
  7. Bin von dem 50 Euro-Virus befallen.
    Plagegeister aller Art und deren Bekämpfung - 18.01.2012 (28)
  8. winsvc.exe - Laptop befallen - Auf USB- Stick nur noch Verknüpfungen
    Log-Analyse und Auswertung - 15.11.2011 (28)
  9. Vom BKA Virus befallen
    Log-Analyse und Auswertung - 16.08.2011 (1)
  10. Pc mit Virus befallen
    Plagegeister aller Art und deren Bekämpfung - 21.05.2011 (13)
  11. Logs zur auswertung, bin ich noch befallen?
    Log-Analyse und Auswertung - 18.10.2010 (1)
  12. PC wahrscheinlich von Virus befallen
    Log-Analyse und Auswertung - 11.01.2010 (3)
  13. Ist mein System noch befallen?
    Log-Analyse und Auswertung - 08.01.2009 (16)
  14. TR/Trash.Gen & andere Schädlinge - PC noch befallen&was tun?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2008 (0)
  15. Nach vermeintlicher Desinfizierung PC sehr langsam --> noch Befallen?
    Log-Analyse und Auswertung - 26.12.2008 (2)
  16. PC nach vermeintlicher Reinigung langsam-> noch befallen?
    Mülltonne - 25.12.2008 (0)
  17. Noch zu retten? 6 Rechner befallen....
    Plagegeister aller Art und deren Bekämpfung - 11.11.2005 (3)

Zum Thema BKA Virus - was ist noch befallen? - Hallo zusammen, Ende letzter Woche wurde auch ich vom BKA-Trojaner heimgesucht und habe bereits eine ganze Reihe Schritte unternommen, nach denen ich hoffe (!), dass mein System wieder bereinigt ist. - BKA Virus - was ist noch befallen?...
Archiv
Du betrachtest: BKA Virus - was ist noch befallen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.