Windows 8.1, "BKA/Interpol-Virus", Rechner läuft, Prozess im TM deaktiviert
 

Hallo,

habe mal wieder ein "Baby" zum retten bekommen. Ist also nicht mein PC, kommt aber von privat. Daher auch die Verschlüsselung der Namen (...wie ihr gleich feststellen werdet).

Das Problem ist oben schon kurz umrissen: Kurz nachdem Windows 8.1 gestartet ist (für meinen Geschmack - fürchterlich!), wird der Bildschirm durch eine "BKA"-Warnung, unterstützt durch Interpol, Europol, usw. verdeckt und man kann sich nur noch mittels "Affengriff" in den Shutdown-Modus einklinken. Auch der Taskmanager lässt sich dann nicht mehr aktivieren, jedoch hat man ein kurzes Zeitfenster vor der Meldung, in dem ich den TM starten konnte und einen Prozess (namens 7FA63AB57.cpp) unter "Autostart" deaktivieren konnte. Danach war die Systemnutzung wieder problemlos möglich.

Ich war schon fast geneigt, den Rechner in diesem Zustand zurückzugeben, hab mich dann aber doch durchgerungen, das Problem an der Wurzel zu packen. Daher im Anschluss nun die ersten Logs.

Herzlichen Dank schon mal im voraus für Eure Unterstützung!!!


defogger:
Addition:
FRST

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---



Das GMER Log muss ich leider anhängen, das es schon jetzt mit über 600K Zeichen den Rahmen sprengt. :/

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.



Addition.txt fehlt noch :)

Ok, dann zerleg ich den GMER-Report mal in forumsgerechte Teile. ;o)

Und die Addition hatte ich eigentlich schon an Position 2 gepostet. Die war so leer. Oder muss ich ihn 2x drüber laufen lassen?

Danke für deine schnelle Hilfe.

GMER-Log:

-2-

-3-

-4-

-5-

-6-

-7-

-8-
So, das wars. ;o)

Hallo Schrauber,

ich muss mich entschuldigen. War wohl beim Addition ein wenig zu ungeduldig. Hatte den Eindruck, das FRST hatte sich beim "Extra-Check" aufgehängt und den Prozess gekillt. Jetzt hab ich es nochmal gestartet und einfach mal stehen lassen, und siehe da, nach gut 30 Min hat er mir ein brauchbares Ergebnis ausgespuckt. Siehe Box:

Addition
Hoffe, das hilft jetzt doch noch weiter... Sorry nochmal!

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Ok, here we go:

1. MBAM-Log:
2. AdwCleaner-Log:
3. JRT - hatte ich ein paar Probleme. Hat mir die "Blackbox" vom CMD geöffnet, aber nichts ist darin für einige Zeit erschienen. Läuft der problemlos auf Windows 8.1? Oder hat der Rechner selbst einige "Hänger"? Nach 2,5h begann er dann aber doch noch...

Leider läuft er nun schon seit ca. 3,5h, hat aber bislang erst 2 Zeilen gepromptet:
-Checking Startup
-Checking Processes

Und nu??

4. FRST-Log:

FRST Logfile:
--- --- ---


5. Addition-Log:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

ESET-Log:
SecurityCheck-Log:
Probleme:

Die "7FA63BA57.cpp" taucht immer noch im Autostart auf. Das war die Datei, die ich deaktiviert habe, damit die "BKA"-Seite nicht binnen weniger Sekunden aufspringt. Was mach ich mit der? Hatte beim Suchlauf früher auch noch eine *.zot davon im System gefunden, im Moment findet er davon aber nix mehr auf dem Rechner. Soll ich den Eintrag einfach "von Hand" löschen? Oder reiß ich dabei dann irgendwelche Verknüpfungen in die Registry oder so ab?

Die Verknüpfung weist nach hier hin:
%systemroot%\\system32\\rundll32.exe C:\PROGRA~3\7FA63AB57.cpp,work

Zweites Problem:
Die DOS-Programme scheinen auf dem Rechner nicht zu laufen. Auch der SecurityCheck mutete an, als wäre er im "Preparing" steckengeblieben. Habe erst nach über 1 h die Ausgabe erhalten. Ist das normal? Wie lange dauert im Schnitt ein FRST-Scan?
Den JRT hab ich die ganze Nacht laufen lassen, hat auch nix gebracht. Habe keine "jrt.txt" auf dem Rechner finden können.

Problem 3:
Just gerade aufgetreten (evtl. im Zusammenhang mit dem SecurityCheck): Hab einen "AutoIt Error" im PopUpFenster bekommen, der besagt: (X) Line-1: Error: Variable must be of type "Object". [OK]
Hm, nach [OK] drücken war der SecurityCheck plötzlich "Preparing Done!"

Entschuldige, dass wieder so viel zusammengekommen ist. Ich bewundere Euch für Eure Ausdauer, das alles hier völlig fremden Menschen immer wieder zu erklären. Respekt! Und gleichzeitig noch einmal "Danke!", weil man es gar nicht oft genug sagen kann.

So, jetzt noch "schnell" den FRST-Log:

FRST Logfile:
--- --- ---


und der Addition-Log:
Bis bald wieder!