Französische Version des Bka ransome trojaner
 

Ich hab mir die französische Version des BKA Trojaners eingefangen, mit dem Kaspersky Virus removal tool hab ich das bild das bild beim öffenen weg gebracht;
ich kann aber nur über den Taskmanager "in den PC" => keine Desktop icons und kein "Windowsbalken Start".

Ich hab jetzt einmal einen OTL Log durchgeführt und die Log Files angehängt und brauche Hilfe...

Danke im Vorraus

Wo ist das Log dazu?

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Guten Abend

Den Log dazu gibt es leider nicht.

Gruß
DEWEY

Wieso gibt es da kein Log zu
Was meinst du mit Kaspersky Removal Tool, das klingt sehr allgemein

Hallo,

Ich hab die infizierte Festplatte an einen zeiten Pc angeschlossen und das Virus Removal programm (hxxp://www.kaspersky.com/antivirus-removal-tool?form=1) drueber laufen lassen, es hat mir zwei probleme angezeigt die ich wie empfohlen geloescht hab. Ich hab aber leider den Log nicht gespeicher, und auch nicht herausgefunden ob der Log eventuell irgendwo automatisch gespeichert wurde.

Gruss
DEWEY

Vllt ist das Log dann auch auf dem anderen Rechner zu finden?

Morgen,

Ich hab jetzt alles durchsucht und den alten Log nicht gefunden, leider.

Ich hab das Tool noch einmal drueber laufen lassen, der Log ist nur ein endloses txt. file wenn das i wie weiter hilft kann ich das versuchen zu reduzieren.
Hier nur ein kurzer Auszug vom Anfang des File

ein weiteres File ist einesmit den gefunden Schwachstellen:
Ich hoffe das hilft i wie weiter.

Gruss
DEWEY

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Bitte sehr die checks

ich hab den ESET scan am zweiten PC ausgefüht weil der infizierte PC nicht ins Internet kommt. Malwarebytes hab ich manuel upgedated

Eset Scan

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier das neu OTL Log

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ich hab OTL mit den Code laufen lassen. Da ist aber gegen schluss schätze ich die Meldung aufgetreten.
Can not creat file:
C:\Windows\System32\drivers\etc\Hosts

ich hab Otl dann weiter laufen lassen aber es passierte nichts mehr.
Als ich Otl dann schloss cam dieses Log:

Mach den Fix im abgsicherten Modus mal

Guten Morgen

Im abgesicherten Modus hat es funktioniert hier das Log des Fix

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Guten Morgen

Hier das TDSS Log

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Guten Morgen

Ich hab das ComboFix im abgesicherten Modus laufen lassen weil es sonst nicht geht. Hier ist das Log:

Wieso das? Hattest du die Internetverbindung gekappt? Wenn im abgesicherten Modus warum nicht in dem mit Netzwerk? :balla:

Wir brauchen die Wiederherstellungskonsole:

Gehe auf die Microsoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.

http://i94.photobucket.com/albums/l8...ungskonsol.png

Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab (bzw. cofi.exe wenn umbenannt)

http://i94.photobucket.com/albums/l8...onsole_ani.gif

Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.

Guten Morgen,

Ich komme mit dem infizierten PC leider nicht ins Netz deswegen muss ich alles über einen USB transferieren. Warum das so ist weiss ich nicht :crazy:

Aber ich hab die Wiederherstellungskonsole installiert und hier ist das Log:

Grüße
DEWEY

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

GMER spukt keinen Log aus, nur die Meldung:
GMER hasen't found any system modifications

Das OSAM Log:
das asw Log:
Der AVAST download hat nicht funktioniert weil ich nicht ins Netzkomme,
wenn ich den Download brauche muss ich es wieder manuell machen

Weil Avast nicht ins INternet kommt oder der ganze Rechner nicht? Bitte genauer beschreiben

Der ganze Rechner kommt nicht ins Internet. Wenn ich versuche die Netzwerkverbindungen aufzumachen bekomme ich nur eine Fehlermeldung das diese nicht gefunden wurden. Bis jetzt hab ich alles immer auf einen Memorystick gespielt und von diesem aus auf dem infizierten Rechner gestartet.

Und das obwohl du im normalen Modus bist bzw. im abgesicherten Modus mit Netzwerktreibern?
Wie genau stellst du die Verbindung ins Internet mit diesem Rechner her?

ja es funkioniert in deiden modi nicht. Ich gehe über ein modem ins Hausinterne Netz. Im Netz muss ich mich dann einloggen und kann dann surfen. Von der hausverwaltung sind dann einige Seiten gesperrt aber das meiste funktioniert. Im Taskmanager ist wird die Lan Verbindung als in Betrieb gemeldet aber im Firefox kommt immer die Fehlermeldung das kein Netzvorhanden ist.
Nachdem ich den Virus eingefangen hab bin ich ein zwei mal kurz ins Inernet gekommen dann aber jedemal wieder rausgeflogen/ rausgeschmissen worden, sprich die verbindung wurde zurück gesetzt.

Ich hoffe das hilft weiter

Nicht wirklich. Wie genau die Einwahl funktioniert, welches Modem das ist oder ob da noch ein Router im Spielt ist etc. pp. ist noch offen

Ich hab ein ganz einfaches Zylex Modem, dieses ist über die Hausinterne Telefonleitung am Netz angeschlossen. Wie das Haus interne Netz ausschaut weiss ich leider nicht (An der Steckdose ist das Telefon für Telefonate zwischen den Hausbewohnern und für den Türöffner angesteckt und über einen extra Stecker wird ein ADSL Abzweigung angebracht). Das Modem ist den direkt über ein LAN Kabel mit der Ethernetkarte verbunden. Wenn ich dann das Internet (Mozilla Firefox oder I-Explorer) öffnen kommt eine Authentifizierungsseite auf der ich mich einlogge und damit das Internet für eine bestimmte Zeit freischalte.
Das funktioniert auch einwandfrei mit meinem uninfiziertem Pc mit dem Infzierten PC aber nicht. Im normalen Modus steht im Taskmanager das die LAN-Verbindung in betrieb ist aber wenn ich dann Firefox oder den Explorer starte bekomme ich nur die Meldung die Verbindung könne nicht hergestellt werden. Im abgesicherten Modus steht im Taskmanager, dass keine Ethernetkarte gefunden wurde.

Ich haffe das hilft jetzt etwas weiter, und es tut mir leid, dass ich nicht mehr über unser Hausinternes Netz weiss.

Und das auch im abgesicherten mit Netzwerktreibern?! OHNE Netzwerktreiber ist ja logisch dass da nichts gefunden werden kann!

Mach mal im normalen Modus

• Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen"
  
  
• Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden
  
  
• Falls dem so ist, diese neue Verknüpfung per Doppelklick starten => schwarze Eingabeaufforderung öffnet sich
  
  
• Tipp dort ein:
  Code:

  ---

  ipconfig /all > c:\ipconfig.txt

  ---

  und bestätige mit enter.
  
  
• Öffne die Datei c:\ipconfig.txt und poste den Inhalt hier mit CODE-Tags umschlossen

Hier die IP-Config

Also dein Rechner zieht sich eine IP-Adresse von einem lokalen DHCP-Server, aber ob die Enstellungen so richtig sind kann ich nicht beurteilen :confused: die Proxysettings hast du geprüft?

Ja, wird wohl am Proxy liegen, den hab ich mit OTL gefixt :stirn:
Du musst in allen Browser den Proxy auf 10.0.0.5 auf Port 8080 setzen, dann sollte das wieder klappen mit dem Seitenaufbau

Hallo,

Ich hab versucht den Proxys im Firefox zu ändern, dann komm ich aber leider auch nicht ins Netz. Wenn ich alle Proxys auf setze bekomm ich nicht mal die Verbindung fehlgeschlagen Seite.
Da kommt nur eine leere Seite.

Dann musst du mal deinen Netzwerkadmin fragen welche Einstellungen man bei euch da im Netz benötigt