![]() |
BKA Trojaner lässt sich nicht entfernen Halllo ! Ich versuche seit 1 Tag den BKA-Trojaner los zu werden. Es handelt sich um Version 2.0 unter win 7. Ich kann mit mehr oder weniger Problemen in die Maschine hinein, mit Ubuntu, Pmagic manchmal auch im abgesicherten Modus. Ich bin dabei nach blog.botfrei.de/2012/01/bka-trojaner-1-03-entfernen-windows-7-wimndows-vista/ vorgegangen (mehrfach) es läßt sich aber Schritt 8 dieser Anweisung nicht machen, da der erwartete Registry-Eintrag "DisableTaskMgr" nicht vorhanden ist. Ich habe ihn erstellt, aber dann harzt es im nächsten Schritt: die gesuchte Datei *.dll-lnk" ist nicht vorhanden. Ich kann auch mit der Maschine arbeiten wenn ich mich als spezieller Administrator (Icon taucht erst auf wenn ich "Benutzer wechseln" anklicke) anmelde. Der normale user, der, der sich den Trojaner eingefangen hat, ist zwar auch administrator, aber wenn sich der anmeldet kommt sofort der BKA-Schirm. Avira und Norton Power Eraser melden ein intaktes System. Jetzt habe ich OTL Laufen lassen und lege das Ergebnis bei. Könnt ihr mir helfen das Ding komplett loszuwerden ? Vielen Dank im Voraus, |
hi prinzipiell ja, ohne logfiles, nein. :-) |
Danke für die tasche SAntwort. Tja da scheint was schief gegangen zu sein: ich hatte ein file angehängt. Aber ein txt-file. Hier nochmal, heisst OTL_20120317-2.txt. Log-file da tu ich mich schwer, es gibt keines in direktem Zusammenhang: ich habe mal eines gefunden: TDSSKiller.2.7.20.0_17.03.2012_14.18.54_log.txt scheint aber auch ein txt-file zu sein. Noch eines, aber von gestetrn: 03152012_225928.log Ich hab aber den Eindruck dass die nicht alle richtig hochgeladen werden ? |
das ist immernoch nicht das otl ergebniss, bitte anhängen :-) |
Tja, wie gesagt da habe ich offenbar ein Bedienungsproblem: Büroklammer - Durchsuchen - Hochladen - aha: da ist das Problem: er sagt "Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 104,0 KB groß. " Das scheine ich gestern übersehen zu haben. Da nehme ich halt eine andere, die ist von etwas früher, gibt aber vielleicht auch den erwarteten Aufschluss. Ist aber eine txt-Datei und keine log, aber die einzige die mit "OTL" markiert ist. Ich hoffe es passt. Danke für die Geduld... |
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
Hier die Datei combofix.txt |
öffne malwarebytes, logdateien, poste alle berichte |
Ich nehme mal an nur jene die nach dem Trojaner-Auftritt erstellt wurden. Und da gibt es nicht viel: 03152012_225928 ist von OTL, aber der upload sagt : 03152012_225928.log: "Ungültige Datei". Die habe ich umbenannt auf 03152012_225928TXT.txt und da geht es. In c:\programdata\Malwarebytes finde ich nur ignore.dat und da erhalte ich die Meldung "Das Hochladen der Datei ist fehlgeschlagen". Die NTUser.log1 sind nicht von Interesse nehme ich an. Und wie suche ich "Berichte" ? Ich habe mal alle Dateien mit Datum nach dem Trojaner-befall mitgeschickt. |
Ich habe jetzt malwarebytes nochmal runtergeladen und laufen lassen. Beiliegend die log-Datei |
du sollst malwarebytes öffnen, auf die registerkarte logdateien bzw berichte gehen und dort alle berichte öffnen und deren inhalt posten. |
Also eine dieser Dateien (mbam-log-2012-03-18 (20-22-19)) habe ich gestern gepostet, hier die beiden anderen: protection-log-2012-03-18 und mbam-log-2012-03-19, die standen wo anders. |
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. Lade ![]()
Bebilderte Anleitung: OTLpe-Scan
|
Danke, mache ich, dauert aber ein bissl... Grundsätzlich habe ich alle Möglichkeiten: mehrere PCs (dort sitzt auch meine mailbox für deine Antworten) und am "verseuchten" kann ich unter "administrator" so gut wie alles machen (von dem schicke ich auch alles weg). Nur der benutzer "Angelika" ist verseucht, Also, frohes Schaffen, bis gleich |
ja ich brauche aber nen scan vom infizierten nutzer :-) deswegen otl von cd |
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board