BKA Trojaner lässt sich nicht entfernen
 

Halllo !
Ich versuche seit 1 Tag den BKA-Trojaner los zu werden.
Es handelt sich um Version 2.0 unter win 7. Ich kann mit mehr oder weniger Problemen in die Maschine hinein, mit Ubuntu, Pmagic manchmal auch im abgesicherten Modus. Ich bin dabei nach blog.botfrei.de/2012/01/bka-trojaner-1-03-entfernen-windows-7-wimndows-vista/ vorgegangen (mehrfach) es läßt sich aber Schritt 8 dieser Anweisung nicht machen, da der erwartete Registry-Eintrag "DisableTaskMgr" nicht vorhanden ist. Ich habe ihn erstellt, aber dann harzt es im nächsten Schritt: die gesuchte Datei *.dll-lnk" ist nicht vorhanden.
Ich kann auch mit der Maschine arbeiten wenn ich mich als spezieller Administrator (Icon taucht erst auf wenn ich "Benutzer wechseln" anklicke) anmelde. Der normale user, der, der sich den Trojaner eingefangen hat, ist zwar auch administrator, aber wenn sich der anmeldet kommt sofort der BKA-Schirm.
Avira und Norton Power Eraser melden ein intaktes System.
Jetzt habe ich OTL Laufen lassen und lege das Ergebnis bei.
Könnt ihr mir helfen das Ding komplett loszuwerden ?
Vielen Dank im Voraus,

hi
prinzipiell ja, ohne logfiles, nein. :-)

Danke für die tasche SAntwort.
Tja da scheint was schief gegangen zu sein: ich hatte ein file angehängt. Aber ein txt-file. Hier nochmal, heisst OTL_20120317-2.txt.
Log-file da tu ich mich schwer, es gibt keines in direktem Zusammenhang: ich habe mal eines gefunden: TDSSKiller.2.7.20.0_17.03.2012_14.18.54_log.txt scheint aber auch ein txt-file zu sein.
Noch eines, aber von gestetrn: 03152012_225928.log
Ich hab aber den Eindruck dass die nicht alle richtig hochgeladen werden ?

das ist immernoch nicht das otl ergebniss, bitte anhängen :-)

Tja, wie gesagt da habe ich offenbar ein Bedienungsproblem:
Büroklammer - Durchsuchen - Hochladen - aha: da ist das Problem: er sagt "Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 104,0 KB groß. " Das scheine ich gestern übersehen zu haben.
Da nehme ich halt eine andere, die ist von etwas früher, gibt aber vielleicht auch den erwarteten Aufschluss.
Ist aber eine txt-Datei und keine log, aber die einzige die mit "OTL" markiert ist.
Ich hoffe es passt. Danke für die Geduld...

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hier die Datei combofix.txt

öffne malwarebytes, logdateien, poste alle berichte

Ich nehme mal an nur jene die nach dem Trojaner-Auftritt erstellt wurden. Und da gibt es nicht viel:
03152012_225928 ist von OTL, aber der upload sagt :
03152012_225928.log: "Ungültige Datei". Die habe ich umbenannt auf 03152012_225928TXT.txt und da geht es.

In c:\programdata\Malwarebytes finde ich nur ignore.dat und da erhalte ich die Meldung "Das Hochladen der Datei ist fehlgeschlagen".

Die NTUser.log1 sind nicht von Interesse nehme ich an.

Und wie suche ich "Berichte" ? Ich habe mal alle Dateien mit Datum nach dem Trojaner-befall mitgeschickt.

Ich habe jetzt malwarebytes nochmal runtergeladen und laufen lassen. Beiliegend die log-Datei

du sollst malwarebytes öffnen, auf die registerkarte logdateien bzw berichte gehen und dort alle berichte öffnen und deren inhalt posten.

Also eine dieser Dateien (mbam-log-2012-03-18 (20-22-19)) habe ich gestern gepostet, hier die beiden anderen: protection-log-2012-03-18 und mbam-log-2012-03-19, die standen wo anders.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Danke, mache ich, dauert aber ein bissl...
Grundsätzlich habe ich alle Möglichkeiten: mehrere PCs (dort sitzt auch meine mailbox für deine Antworten) und am "verseuchten" kann ich unter "administrator" so gut wie alles machen (von dem schicke ich auch alles weg). Nur der benutzer "Angelika" ist verseucht,
Also, frohes Schaffen, bis gleich

ja ich brauche aber nen scan vom infizierten nutzer :-) deswegen otl von cd

Alles nicht so einfach. ich habe die CD gebrannt =nr1 und gebootet: blauer Schirm laut Beilage.
Dasselbe nochmal: anderer PC, neuer CD-Rohling = nr2.
Test auf 2 anderen PCs (Win7 ond XP) mit beiden gebrannten REATOGO: beide Cds starten auf beiden Rechnern ohne Probleme.
Retour zum infizierten: blue screen... bei beiden CDs
Na gut. die 2. gebrannte REATOGO CD ist noch drinnen, also rufe ich OTL von dort auf ???? Startet ohne Probleme, OTL-Version 3.1.48 (vorgestern hatte ich 3.2.37).
Aber es wird nicht gefragt: Do you wish to load the remote registry", oder "Do you wish to load remote user profile(s) for scanning". ich mache einfach "run scan" und erhalte die (beigelegten) Files.
Scheint ein ernster Fall zu sein.
Ich versuche es jetzt nochmal mit Ubuntu und OTL

nein.
gehe ins bios, prüfe ob dort der ide oder ahci modus eingestellt ist, wähle das gegenteilige aus, und starte dann noch mal von der cd.

Danke, probire gleich das mit dem bios aus.
Ich hab auch gelernt dass ich aus Ubuntu oder Knoppix *.exe Dateien nicht so einfach zum Laufen kriege.
Aaaaaber das wichtigste: aus reiner Routine habe ich wieder einmal ein login mit dem infizierten user probiert: der BKA ist weg. Keine Ahnung WANN bzw. nach welchem meiner unzähligen Versuche das genau "passiert" ist, aber es scheint zu laufen...
Nicht dass ich schon ALLES getestet hätte, aber 5 Neustart-Zyklen hat das Ding jetzt standgehalten !
Ich bin Vorsichtig mit Jubelmeldungen: gibt es etwas zum Nachbereiten ? damit das nicht noch mal passiert.
Jedenfalls probiere ich noch das mit dem Bios und nochmal die REATOGO CD und melde mich.

dann erstelle ein neues log aus dem profil welches infiziert war.
nicht die otl cd sondern das vom anfang

SO. war auch nicht ganz so einfach.
1. im BIOS war AHCI eingestellt. Nach der Umstellung auf IDE hat sich die REATOGO CD starten lassen aber OTL Lief nicht: es konnte keine windows partition entdecken...
2. Dann musste ich natürlich IDE auf AHCI zurück stellen, das hat einige Zeit gedauert denn Windows musste scih mit diversen recoveries beruhigen.
Jetzt läuft wieder alles. Allrdings war die Systemzeit verstellt: mal um 4 Stunden jetzt immer noch um eine.
3. Da habe ich mich in den infizierten user eingeloggt und OTL (Version 3.2.37, die vom Anfang) laufen lassen. Wieder kamen die Fragen "Do you wish to load the remote registry", oder "Do you wish to load remote user profile(s) for scanning" nicht. Ich lege das log-file bei.

Tja soweit könnte es erledigt sein. Vielen vielen Dank. Ich habe auch viel gelernt ! :crazy:
Allerdings, da ich nicht weiss was tatsächlich zur "Reparatur" geführt hat, bin ich weiter in Sorge das das Ding wieder kommt: kann ich irgendetwas vorbeugens machen ? Oder etewas abschliessendes mnachen (Dateien löschen oder so was : es war da von Dateien wie "jashla.exe" die rede, die ich aber auf meriner Maschine nicht finden konnte.
Also falls wir nichts mehr hören mochmals danke und einen schönen Abend.

och mensch, hättest du einfach mal bescheid gesagt.
du hättest bei dem fenster browse for folder einfach nur alle aufklappen müssen und den windows ordner wählen.
mach noch mal ein malwarebytes update und nen scan in dem infizierten nutzerkonto

Kein Problem. Die Maschine ist bereits ausser Haus, dem user übergeben und scheint zu laufen. Beiliegend der letzte malwarebytes scan: keine gefahr ?
Noch eine shöne Woche, Reinhard

wir sind noch nicht durch... da ist noch einiges zu machen.
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
wenn fertig, melden

Na ja fast durch: ich hatte die updates schon so konfiguriert wie Du angibst, es war nur 1 nicht wichtiges/optionales zu machen, das ist jetzt auch auch erledigt. Neustart war keiner erforderlich.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.16.1666
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

SO, hat ein bisschen gedauert weil die Maschine schon wieder beim user steht.
Hier ist die Datei mit den Anmerkungen (ich habe tabs dazu gemacht damit es übersichtlicher ist)

deinstaliere:
Accelerometer
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Advanced
Avery
Babylon
BlazeDTV
DealPly
DigitalPersona
Google Toolbar
Java: beide
Download der kostenlosen Java-Software
downloade java jre, instalieren.

deinstaliere:
McAfee
pdfforge
PowerDVD
Skype Click

öffne ccleaner, analysieren, starten, pc neustarten, testen wie das system läuft.

Danke. Ich mach mich drüber und melde mich dann