Vorgehensweise nach Entfernung von BKA Trojaner Clone + weitere Fragen

Ov3rk1ll

Hallo,

im Vorraus schon mal sorry wenn ich hier irgend etwas falsch mache oder zu viel poste, ist mein allererster Post hier und ich gebe mein Bestes die 7 goldenen Regeln zu befolgen.

nach rund 4 Jahren aktiver Internetnutzung hatte ich nun zum ersten mal auch das Pech mir ein wirklich ernstes Problem einzufangen, eine Clone Variante des BKA Trojaners auf einem Windows 7 Home Premium 64bit System.

In meinem Fall wurde aber einfach nur der Bildschirm schwarz und in dicker fetter roter Schrift stand dort "Aus Sicherheitsgründen wurde ihr Windows System blockiert" sowie die Schaltfläche "Upgraden und Bezahlen"

Ich habe den PC dann aus- und wieder eingeschaltet woraufhin diese Meldung verschwand, beschloss aber vorerst Offline zu bleiben und habe in der MSconfig im Systemstart gesehen dass sich dort 2 Programme aktiviert hatten die ich dort noch nie zuvor gesehen habe und welche sich auch nicht mehr deaktivieren ließen, bzw. der Haken ließ sich entfernen, aber nach schließen und wieder öffnen des MSconfig Fensters war der Haken wieder da, die beiden Verdächtigen waren SkypePM.exe und ein Verzeichnis das eine lange Buchstaben- & Zahlenfolge in eckigen Klammern war.

AntiVir Vollscan fand dann auf einen Schlag 17 Viren und hat diese in Quarantäne gestellt.

Habe mir dann über ein anderes, nicht infiziertes System (genauer gesagt meine PS3) noch Malwarebytes Anti Malware runtergeladen und selbiges im Vollscan durchlaufen lassen.

Dieses Fand dann auch einen Trojaner und einen geänderten Registry Wert(Logfile poste ich im Anschluss an diesen text) und hat ihn in Quarantäne gestellt / Registry repariert, das führte schon mal dazu dass die SkypePM.exe aus dem Autostart in der MSconfig verschwunden war, das andere Ding war aber noch drin und ließ sich nach wie vor nicht ausschalten.

Nachdem ich dann heute wieder Online war habe ich mit msconfig, Taskmanager Aktive Prozesse / Dienste / Leistungen usw. und "cmd" -> netstat-befehl alles so gut überwacht wie ich als Laie kann, stutzig gemacht hat mich das netstat permanent einen langen sich wiederholenden kryptischen Code ausgegeben hat obwohl ich nichts anderes als Google und Skype offen hatte.

Ich habe dann gerade die Malware Bytes Datenbank aktualisiert und nochmal einen Quickscan gemacht, dabei wurde nun auch die gefälschte SkypePM.exe nun erkannt und entfernt, Neustart des Rechners auch ausgeführt wie von Malwarebytes Anti-Malware angegeben. Seitdem ist es in der Netstat auch wieder "ruhig" und zeigt mir nur die normalen Kommunikationen an. Auch sind die Dateien und Verzeichnisse in denen die gefälschte SkypePM.exe und der Kiuvva-Virus zu finden waren nun leer und werden bei Malware Bytes Anti Malware als erfolgreich entfernt und oder in Quarantäne angezeigt.

So, hier poste ich nun die beiden Logfiles dazu, habe danach aber noch eine letzte Frage. Also, die beiden Logfiles mit Funden:

Logfile 1:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Chris :: CHRIS-PC [Administrator]

23.04.2012 15:15:33
mbam-log-2012-04-23 (15-15-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1047626
Laufzeit: 4 Stunde(n), 43 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Chris\AppData\Roaming\Aca\kiuvva.exe (Trojan.ZbotR.Gen) -> 2180 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{DC736266-0F31-4B18-0FB1-ECD9C8BABBF9} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Chris\AppData\Roaming\Aca\kiuvva.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Chris\AppData\Roaming\Aca\kiuvva.exe (Trojan.ZbotR.Gen) -> Löschen bei Neustart.

(Ende)

Logfile 2

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.25.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Chris :: CHRIS-PC [Administrator]

25.04.2012 22:02:37
mbam-log-2012-04-25 (22-02-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 250783
Laufzeit: 2 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Chris\AppData\Local\Skype\SkypePM.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hoffe habe das richtig gemacht soweit mit dem Posten der Logfiles, falls nicht sorry und gelobe Besserung.

Hier noch meine letzte Frage:

Mir ist aufgefallen dass ich im Task Manager unter Prozesse 2 mal iexplore.exe*32 aktiv habe und habe dazu auch Google bemüht, jedoch habe ich dort nur entweder veraltete Threads oder Threads gefunden in denen nur Leute dieses Problem hatten die den Internet-Explorer gar nicht nutzen.

Ich habe allerdings seit ich den PC neu habe schon immer 2 Explorer darauf gehabt, einen für 32, den anderen für 64 Bit und nutze mal den Einen, mal den Anderen, kann es also sein dass es in meinem Fall legitim ist dass ich den Prozess dort 2 mal habe?

Wenn ich im Kontextmenü "Dateipfad öffnen" wähle führt es mich auch beide male zum selben Speicherort, nämlich Acer (C > Programme(x86) > Internet Explorer. Einer der beiden Prozesse benutzt um die 64.000k Arbeitsspeicher, der andere um die 10.000k. Ist dies legitim in der wie oben beschrieben Situation oder hab ich da noch ein anderes Problem?

Die CPU Auslastung liegt jedenfalls unter 2 % und beide Prozesse starten auch nur dann wenn ich den Internet Explorer öffne und beenden sich wieder wenn ich ihn schließe.

Wenn ich den einen beende schließt sich der Explorer auch komplett, beim Schließen des Anderen stellt sich die gerade geöffnete Registerkarte wieder her.

So last but not least hoffe ich dann dass mir irgendjemand freundlicherweise helfen kann in einem, wenn nicht gar allen Punkten und ob ich mein System besser neu aufsetzen sollte oder jetzt soweit alles wieder ok ist.

Vielen Dank schon mal an jeden der sich die Zeit genommen hat sich durch die Wand an Text zu lesen und hoffe dass, wenn ich Fehler gemacht haben sollte diese mir bei meinem allerersten Post hier nachgesehen werden.

Dann warte ich mal auf Antworten und Hilfe. Danke =)