BKA-Trojaner OTLPE-Log-Auswertung
 

Hallo liebe Problemlöser,

es wird Euch womöglich schon langweilen, aber auch ich plage mich mit dem BKA-Trojaner herum. Mit der Kaspersky Rescue Disk 10 gelang es mir, wieder auf den Laptop zugreifen zu können, auch einen Scan mit OTLPE konnte ich durchführen.

Hier das Log:

Wie geht's jetzt weiter?

Danke für Eure Hilfe!

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Schau nach, ob Windows danach wieder normal startet. Wenn ja, stellst du uns bitte den Quarantäneordner von OTL zur Verfügung. Bitte dabei so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht behindern!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo Arne,

vielen Dank fuer Deine Antwort!
Den ersten Schritt habe ich soeben ausgefuehrt, hier ist erstmal das entstandene Logfile:

Der Rest wird sofort erledigt.

So, ich bin in Windows drin, alles scheint normal zu funktionieren, Komplikationen gab es bisher keine.

Den MovedFiles-Ordner habe ich erfolgreich hochgeladen.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom - im normalen Windows, nicht über OTLPE.


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Malwarebytes hat nichts gefunden, hier das Log:

Ich mache weiter wie oben beschrieben.

Hier das Log von OTL:

OTL Logfile:
--- --- ---

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png



Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst oder Verküpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista- und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hier das Log vom TDSSKiller:

War skippen richtig?

Zugriff habe ich, soweit ich erkennen kann, auf alles.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, hier nun, was ComboFix geliefert hat:

Combofix Logfile:
--- --- ---

Sieht soweit ok aus aber dein Patchstand geht garnicht. Nichtmal SP1 ist installiert! :pfui:
Wurde der Rechner erst vor kurzem recovert (neu aufgespielt) oder gurkt der schon seit Jahren mit diesem jungfräulichen Vista so rum?
Und der IE ist noch in Version 7, aktuell sind wir beim IE9! Dazu aber mehr noch später. Sprich mich nochmal drauf an falls ich es vergesse.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Es ist mir zwar direkt etwas peinlich, aber der Laptop wurde zugegebenermaßen recht stiefmütterlich behandelt, da er anfangs gar nicht online gehen sollte. Da hätte ich mich wirklich längst drum kümmern sollen. Blöde Nachlässigkeit von mir.

GMER läuft nicht, ist einmal sogar mit Bluescreen und Neustart abgerauscht.

OSAM liefert das hier:

OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index[/QUOTE]

MBRCheck sagt das hier (tippe ich ab):

Was davon soll ich machen?

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Vista installiert?
Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

Außer Vista ist kein Betriebssystem installiert.

Zwecks Datensicherung: Ich habe soeben eine neue externe Festplatte gekauft. Kann ich die bedenkenlos mit Daten vom Laptop füllen, ohne dass ich den Trojaner oder evtl. andere Malware mitkopiere?

EDIT: Mir ist aufgefallen, dass Malwarebytes, das ich im Zuge Deiner Anleitung installiert habe, nicht mehr automatisch gestartet wird. Das dürfte so sein, seit GMER das zweite Mal abgestürzt ist, jedenfalls ist es mir vorher nicht aufgefallen.

Ausserdem wollte ich mich zwischendrin schon mal für Deine fabelhafte Anleitung herzlich bedanken!

Ja, sichere aber nur reine Datendateien. Am sichersten über eine Live-CD wie Ubuntu (2. Link in meiner Signatur)

Wird gemacht. Kann aber etwas dauern, da akute Krankheit mich ziemlich ausbremst...

EDIT: Mit reinen Datendateien meinst Du nichtausführbare Dateien, oder?

Ja, persönliche Dokumente, Musik, Videos usw
Gute Besserung!

Danke, ganz langsam wird's besser.

Ich habe soeben den manuellen Fix durchgeführt, hier ist das Ergebnis vom MBR-Scan:

GMER versuche ich jetzt, vielleicht klappt's diesmal.

EDIT: GMER hat 2mal hintereinander während des Scans zu Bluescreen und Neustart geführt.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Als erstes das Log von Malwarebytes:

Der Rest folgt.

So, der nächste Scan lieferte nichts als 56 Tracking Cookies:

Der Online-Scan wird gleich gestartet.

Bisher keine Funde! :daumenhoc

Aber jetzt! Ich bin ziemlich überrascht.

Dürften Fehlalarme sein => AOL?
Rechner ansonsten wieder ok?

Ansonsten kann ich nichts Eigenartiges oder Fehlerhaftes entdecken.

Von AOL war von Anfang an Software installiert, die ich nie restlos entfernen konnte. Womöglich hat das den Alarm ausgelöst, dass die Software nur eine Ruine ist?

Nein das ist ein Fehlalarm.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Vielen herzlichen Dank für deine ausführliche Hilfe!
Das freut mich wirklich sehr, dass die Bereinigung noch möglich war und dank dir auch so gut funktioniert hat!
Ich beginne nun mit den letzten Schritten und werde dieses Forum sehr gerne empfehlen und selber weiterhin mitlesen!

So, ich habe jetzt deine Liste abgearbeitet und mich an alles gehalten. Combofix ließ sich aber nicht über "Ausführen" entfernen, denn es konnte nicht gefunden werden. Ist das ein Problem?
Ansonsten hat alles geklappt und ich kann insgesamt auch keine Fehler entdecken, die Bereinigung hat also wunderbar geklappt. Hast du jetzt vielleicht noch Tipps, was ich machen sollte oder vielleicht auch Anleitungen, wie ich die Sicherheit erhöhen könnte?
Zudem überlege ich, ob ich als zweites Betriebssystem Ubuntu installieren sollte, da Ubuntu ja aufgrund des Sicherheitskonzepts Windows überlegen sein soll, ich Vista aber behalten möchte. Macht das Sinn?

Viele Grüße!

Versuch es mit cofi /uninstall - ansonsten einfach nur den Ordner C:\Qoobox löschen, wirklich stören die Dateien von CF nicht.


Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Kann man, muss man aber nicht. Wenn du dich damit mal näher beschäftigen willst, musst du im Vorfeld Bescheid wissen, dass Ubuntu (Linux) und Windows auf völlig verschiedene Weisen funktionieren. Natürlich ist Ubuntu mittlerweile recht intuitiv zu bedienen, aber systemintern funktioniert es völlig anders.

Hm, Combofix will nicht, der Ordner lässt sich auch nicht löschen. Ist aber wohl ziemlich unwichtig?

Der Thread ist hiermit ansonsten abgeschlossen, denke ich.
Ich danke dir herzlich für deine Hinweise und vor allem die ganze Hilfe!

Notfall müsste man diesen Ordner mit dem Unlocker oder über eine Live-CD wie Ubuntu löschen :)

Hallo cosinus,

gestern schlug Antivir Alarm und meldete 'TR/Crypt.XPACK.Gen'. Ich bin da skeptisch, da ich in den letzten Tagen die Sicherheit massiv erhöht und definitiv keine zweifelhaften Seiten angesurft habe. Ich denke also, dass das ein Fehlalarm ist - auch weil Malwarebytes die von Antivir als befallen gemeldete Datei für sauber hält (bevor ich die Datei in Quarantäne verschieben liess, habe ich den beinhaltenden Ordner gescannt). Hier das Log von Antivir:

Malwarebytes-Vollscan starte ich jetzt.

Viele Grüße,
christinar

edit: Was für einen erneuten Befall spricht: Seit vorgestern kann ich von diesem Laptop aus nicht mehr auf meinen Router zugreifen, wegen angeblich falscher Anmeldedaten. LAN klappt aber anstandslos. Von anderen Laptops aus geht der Zugriff auf den Router problemlos.

Das ist ein Fehllalarm - der SPTD-Treiber wird zB von Daemon-Tools für virtuelle optische Laufwerke benötigt.

Sieht auch eher nach einem Fehalarm aus. Aus welche Quelle stammt dieses Spiel? Original? :pfeiff:

Überleg dir gut, ob du in Zukunft weiterhin bei AntiVir bleiben willst. Die haben eine sehr fragwürdige Entscheidung getroffen, was nicht gerade seriös wirkt => http://www.trojaner-board.de/100374-...e-und-ask.html

Das Spiel liegt aus nostalgischen Gründen sogar noch auf Diskette hier rum und ist auf diesem Laptop seit 4, 5 Jahren installiert und zumindest von mir trotzdem nie gespielt worden. :)

AntiVir den Rücken kehren würde ich auch, nur wüsste ich jetzt nicht, womit ich's ersetzen sollte. Avast vielleicht?

Danke für deine Antwort und einen schönen Sonntag!

edit: Wie ich im verlinkten Thread sehe, rätst du zu MSE. :)
Gucke ich mir gleich mal an.

Nimm Avast oder MSE.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ich folge deiner Empfehlung, denn deine Anleitung hat mir bereits enorm geholfen. Da wird dein Tipp nicht verkehrt sein. :)

Das Router-Problem macht mir jetzt nur noch Sorgen...

Updates sind bereits drauf, Secunia läuft auch und meldet 100%, jetzt wende ich gleich den Unlocker an, um ComboFix auszutreiben und sage vielen Dank!

Und das Router-Problem ist jetzt auch gelöst: "Websites mitteilen, dass ich nicht verfolgt werden möchte" im Datenschutzbereich von Firefox 5 verträgt sich nicht mit der EasyBox 602. Damit ist alles in Ordnung und ich verabschiede mich nach der erfolgreichen Operation!