Halllo !
Ich versuche seit 1 Tag den BKA-Trojaner los zu werden.
Es handelt sich um Version 2.0 unter win 7. Ich kann mit mehr oder weniger Problemen in die Maschine hinein, mit Ubuntu, Pmagic manchmal auch im abgesicherten Modus. Ich bin dabei nach blog.botfrei.de/2012/01/bka-trojaner-1-03-entfernen-windows-7-wimndows-vista/ vorgegangen (mehrfach) es läßt sich aber Schritt 8 dieser Anweisung nicht machen, da der erwartete Registry-Eintrag "DisableTaskMgr" nicht vorhanden ist. Ich habe ihn erstellt, aber dann harzt es im nächsten Schritt: die gesuchte Datei *.dll-lnk" ist nicht vorhanden.
Ich kann auch mit der Maschine arbeiten wenn ich mich als spezieller Administrator (Icon taucht erst auf wenn ich "Benutzer wechseln" anklicke) anmelde. Der normale user, der, der sich den Trojaner eingefangen hat, ist zwar auch administrator, aber wenn sich der anmeldet kommt sofort der BKA-Schirm.
Avira und Norton Power Eraser melden ein intaktes System.
Jetzt habe ich OTL Laufen lassen und lege das Ergebnis bei.
Könnt ihr mir helfen das Ding komplett loszuwerden ?
Vielen Dank im Voraus,

hi
prinzipiell ja, ohne logfiles, nein. :-)

Danke für die tasche SAntwort.
Tja da scheint was schief gegangen zu sein: ich hatte ein file angehängt. Aber ein txt-file. Hier nochmal, heisst OTL_20120317-2.txt.
Log-file da tu ich mich schwer, es gibt keines in direktem Zusammenhang: ich habe mal eines gefunden: TDSSKiller.2.7.20.0_17.03.2012_14.18.54_log.txt scheint aber auch ein txt-file zu sein.
Noch eines, aber von gestetrn: 03152012_225928.log
Ich hab aber den Eindruck dass die nicht alle richtig hochgeladen werden ?

das ist immernoch nicht das otl ergebniss, bitte anhängen :-)

Tja, wie gesagt da habe ich offenbar ein Bedienungsproblem:
Büroklammer - Durchsuchen - Hochladen - aha: da ist das Problem: er sagt "Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 104,0 KB groß. " Das scheine ich gestern übersehen zu haben.
Da nehme ich halt eine andere, die ist von etwas früher, gibt aber vielleicht auch den erwarteten Aufschluss.
Ist aber eine txt-Datei und keine log, aber die einzige die mit "OTL" markiert ist.
Ich hoffe es passt. Danke für die Geduld...

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hier die Datei combofix.txt

öffne malwarebytes, logdateien, poste alle berichte

Ich nehme mal an nur jene die nach dem Trojaner-Auftritt erstellt wurden. Und da gibt es nicht viel:
03152012_225928 ist von OTL, aber der upload sagt :
03152012_225928.log: "Ungültige Datei". Die habe ich umbenannt auf 03152012_225928TXT.txt und da geht es.

In c:\programdata\Malwarebytes finde ich nur ignore.dat und da erhalte ich die Meldung "Das Hochladen der Datei ist fehlgeschlagen".

Die NTUser.log1 sind nicht von Interesse nehme ich an.

Und wie suche ich "Berichte" ? Ich habe mal alle Dateien mit Datum nach dem Trojaner-befall mitgeschickt.

Ich habe jetzt Malwarebytes nochmal runtergeladen und laufen lassen. Beiliegend die log-Datei

du sollst malwarebytes öffnen, auf die registerkarte logdateien bzw berichte gehen und dort alle berichte öffnen und deren inhalt posten.

Also eine dieser Dateien (mbam-log-2012-03-18 (20-22-19)) habe ich gestern gepostet, hier die beiden anderen: protection-log-2012-03-18 und mbam-log-2012-03-19, die standen wo anders.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Danke, mache ich, dauert aber ein bissl...
Grundsätzlich habe ich alle Möglichkeiten: mehrere PCs (dort sitzt auch meine mailbox für deine Antworten) und am "verseuchten" kann ich unter "administrator" so gut wie alles machen (von dem schicke ich auch alles weg). Nur der benutzer "Angelika" ist verseucht,
Also, frohes Schaffen, bis gleich

ja ich brauche aber nen scan vom infizierten nutzer :-) deswegen otl von cd