Trojaner-Board - BKA-Virus,PC in Ursprungszustand versetzt,Logfile Auswerten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BKA-Virus,PC in Ursprungszustand versetzt,Logfile Auswerten (https://www.trojaner-board.de/105855-bka-virus-pc-ursprungszustand-versetzt-logfile-auswerten.html)

BKA-Virus,PC in Ursprungszustand versetzt,Logfile Auswerten

Hallo,
mich hats vor ein paar Tagen auch erwischt,bzw meine Freundin hat mein Laptop beim surfen damit infiziert :pfui:

Hab einiges gelesen und um sicher zu gehen habe ich den PC neu aufgesetzt,mittels Samsung Recovery Solutions III wurde der Laptop in den Ursprungszustand versetzt.
Hier dann auch meine erste Frage dazu,reicht das so aus?
Oder muss ich wirklich erst so die Festplatte Formatieren ?
Die Recovery Daten sind auf einer versteckten Partition auf dem Laptop.

Ich habe vorher einige Daten mittels externer Festplatte gesichert,war das ein Fehler?
Muss ich jetz befürchten das auf der Externen Festplatte der Virus ist?

Habt ihr sonst noch irgendwelche Tipps für mich was ich noch tun sollte?
Ich nutze den Rechner für alles,Banking etc. darum will ich wirklich sicher sein das er jetzt wieder "Sauber" ist.

Zu guter letzt habe ich dann noch eine Hijackthis Logfile erstellen lassen und würde euch bitten diese mal Auszuwerten,ich habe es schon auf der HP von Highjackthis machen lassen,da wurde nix erwähnt was gefährlich sein könnte.

Hier ist mal die Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:41, on 05.12.2011
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\xxx\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp:\\www.samsungcomputer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

--
End of file - 4054 bytes

MfG Andreas

Zitat:

Hier dann auch meine erste Frage dazu,reicht das so aus?

Normalerweise ja. Man sollte den MBR aber noch checken.
In Zukunft BITTE KEINE Hijackthis-Logs mehr posten!!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Moin,habe den Scan gerade durchgeführt,hier ist die Log-File....

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-06 11:47:47
-----------------------------
11:47:47.497 OS Version: Windows 6.0.6001 Service Pack 1
11:47:47.497 Number of processors: 2 586 0xF0D
11:47:47.497 ComputerName: ARNE-PC UserName: Arne
11:48:09.353 Initialize success
11:48:18.370 AVAST engine defs: 11120501
11:48:26.762 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
11:48:26.762 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
11:48:26.778 Disk 0 MBR read successfully
11:48:26.778 Disk 0 MBR scan
11:48:26.778 Disk 0 unknown MBR code
11:48:26.794 Disk 0 scanning sectors +625139712
11:48:26.872 Disk 0 scanning C:\Windows\system32\drivers
11:48:35.108 Service scanning
11:48:36.450 Modules scanning
11:48:47.120 Disk 0 trace - called modules:
11:48:47.136 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
11:48:47.136 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x852bc7f8]
11:48:47.136 3 CLASSPNP.SYS[8a1a3745] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x84802028]
11:48:48.244 AVAST engine scan C:\Windows
11:48:52.003 AVAST engine scan C:\Windows\system32
11:50:48.613 AVAST engine scan C:\Windows\system32\drivers
11:51:01.717 AVAST engine scan C:\Users\Arne
11:51:52.916 AVAST engine scan C:\ProgramData
11:51:59.266 Scan finished successfully
11:52:14.554 Disk 0 MBR has been saved successfully to "C:\Users\Arne\Documents\MBR.dat"
11:52:14.569 The log file has been saved successfully to "C:\Users\Arne\Documents\aswMBR.txt"

Gruss Andreas

Zitat:

11:47:47.497 ComputerName: ARNE-PC UserName: Arne
11:52:14.554 Disk 0 MBR has been saved successfully to "C:\Users\Arne\Documents\MBR.dat"
11:52:14.569 The log file has been saved successfully to "C:\Users\Arne\Documents\aswMBR.txt"

Wieso heißt deiner Benutzername "Arne" wo dein Vorname doch Andreas ist? :wtf:

Weil Andreas mein richtiger Name ist,mich aber alle Arne nennen :D

Zitat:

11:48:26.778 Disk 0 unknown MBR code

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Hi,
habe deb MBR gefixt und die neue Logfile erstellt.
Vielen Dank erstmal für deine Hilfe

Hier ist die neue Logfile.
MfG Andreas

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-07 16:24:43
-----------------------------
16:24:43.118 OS Version: Windows 6.0.6001 Service Pack 1
16:24:43.118 Number of processors: 2 586 0xF0D
16:24:43.118 ComputerName: ARNE-PC UserName: Arne
16:24:44.397 Initialize success
16:24:50.637 AVAST engine defs: 11120700
16:24:56.222 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
16:24:56.238 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
16:24:56.300 Disk 0 MBR read successfully
16:24:56.300 Disk 0 MBR scan
16:24:56.316 Disk 0 Windows VISTA default MBR code
16:24:56.331 Disk 0 scanning sectors +625139712
16:24:56.862 Disk 0 scanning C:\Windows\system32\drivers
16:25:16.268 Service scanning
16:25:18.998 Modules scanning
16:25:31.899 Disk 0 trace - called modules:
16:25:31.930 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
16:25:31.946 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x852a3780]
16:25:31.946 3 CLASSPNP.SYS[8a1a9745] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x84800028]
16:25:32.991 AVAST engine scan C:\Windows
16:25:36.501 AVAST engine scan C:\Windows\system32
16:27:09.462 AVAST engine scan C:\Windows\system32\drivers
16:27:21.286 AVAST engine scan C:\Users\Arne
16:27:45.919 AVAST engine scan C:\ProgramData
16:27:53.781 Scan finished successfully
16:28:02.580 Disk 0 MBR has been saved successfully to "C:\Users\Arne\Documents\MBR.dat"
16:28:02.595 The log file has been saved successfully to "C:\Users\Arne\Documents\aswMBR.txt"
16:28:43.072 Disk 0 MBR has been saved successfully to "C:\Users\Arne\Documents\MBR.dat"
16:28:43.088 The log file has been saved successfully to "C:\Users\Arne\Documents\aswMBR2.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset