|
BKA virus lässt sich nicht entfernen! Mein Problem besteht darin dass ich diesen bundeskriminalamt virus schon seit einiger zeit auf meinem pc habe. Allerdings ist von meinen drei benutzerkonten unter windows 7 nur ein konto davon befallen (also äußerlich d.h. ich klicke auf das konto es lädt alles ganz normal und auf einmal kommt halt dieser bildschirm mit ucash). Ich hab nun eigenständig gegoogelt und versucht den virus zu entfernen, weil ich eine anleitung zur entfernung von hotkeys in der registry gefunden hatte. Ich habe demnach einen virus bei current user namens mahmud.exe im befallenen konto gefunden und gelöscht aber nach dem neustart blieb alles unverändert... Ich hab dann noch bei local machine in dem gesuchten pfad eine datei mit dem namen explorer.exe gefunden den ich aber der anleitung nach nicht löschen sollte.. wie gehe ich nun vor? danke im voraus :) |
Hi, mit dem verseuchten Konto booten und dann: OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken). Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten... Wichtig:Du musst mit dem verseuchten Konto booten! OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris |
Hallo :) habe otl vom stick auf verseuchtes konto überspielt und ausgeführt. nach dem scan kam folgende meldung: die datei extra.txt/otl.txt wurde im pfad windows/system32/[...] nicht gefunden, soll diese datei erstellt werden? ich habe auf ja geklickt und die neu erstellten dateien rüberkopiert aber die waren leer :S?! was mache ich nun? nochmal wiederholen? LG Stefan ahja und was ich noch hinzufügen wollte: wie führe ich im dos eingabefenster ein programm als administrator aus? |
Hi, wechsle in der CMD das Verzeichnis, in Systemverzeichnissen (Windows) gibts so einfach keine Schreibrechte... cd.. Ausführen als anderer User: Runas... Oder einfach auf den Stick wechseln und dort ausführen... chris |
Hat geklappt :) |
Hi, das hier schmeisse ich mal raus, wenn Du es kennst aus dem script rausnehmen: C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat(2x) Fix für OTL:
Code:
Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. chris |
Muss ich das wieder im abgesicherten modus machen oder kann ich das auch in einem anderen benutzerkonto ausführen? |
Hi, am Besten im abgesicherten Modus des verseuchten Kontos... chris |
Hmmm ich hab das jetzt einfach in einem anderen konto gemacht, ist das schlimm? malwarebytes läuft grad.. schaut so aus als würde das länger brauchen... ich poste morgen früh die logs ;) sorri wenn ich immer so blöd frage aber mit pc's hab ichs nicht sooo ^^ |
Hi, das Problem sind die Einträge die mit HKCU CU=CurrentUser, d. h. die Einträge in dem verseuchten Konto haben überlebt, da anderer CurrentUser... Nachdem MAM durch ist, bitte noch mal das Script im entsprechenden User abfahren und die Logs posten... chris |
OK habs gemacht ;) Logs im anhang ( hab jetzt beide otl logs gepostet, das mit other user ist das was ich als erstes mit dem nicht befallenen konto durchgeführt habe! ) Sieht schon ganz gut aus glaub ich also keine beschwerden mehr im befallenen konto :) Vielen Dank :D |
Konnte das was ich als erstes ausgeführt habe also mit dem anderen konto nicht als anhang hochladen da es eine ungültige datei seien soll :S All processes killed ========== OTL ========== 64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat moved successfully. 64bit-Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load not found. File C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat not found. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9d636e4-c64e-11df-b5cf-00016c6f69cf}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9d636e4-c64e-11df-b5cf-00016c6f69cf}\ not found. File K:\Autorun.exe not found. C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-622775202-2694618919-1245981529-1001UA.job moved successfully. C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-622775202-2694618919-1245981529-1001Core.job moved successfully. ADS C:\ProgramData\TEMP:E1F04E8D deleted successfully. ADS C:\ProgramData\TEMP:ABE89FFE deleted successfully. ADS C:\ProgramData\TEMP:AB689DEA deleted successfully. ADS C:\ProgramData\TEMP:E3C56885 deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: A&S~1~VIJ ->Temp folder emptied: 0 bytes User: ******************** ->Temp folder emptied: 165863435 bytes ->Temporary Internet Files folder emptied: 2193720163 bytes ->Java cache emptied: 4180530 bytes ->FireFox cache emptied: 44407093 bytes ->Google Chrome cache emptied: 368719676 bytes ->Flash cache emptied: 62390 bytes User: All Users User: ******************** ->Temp folder emptied: 282825 bytes ->Temporary Internet Files folder emptied: 234331021 bytes ->Java cache emptied: 0 bytes ->Google Chrome cache emptied: 7084637 bytes ->Flash cache emptied: 2501 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: ******************** ->Temp folder emptied: 1030820200 bytes ->Temporary Internet Files folder emptied: 1933582995 bytes ->Java cache emptied: 222161 bytes ->FireFox cache emptied: 82251216 bytes ->Google Chrome cache emptied: 14347971 bytes ->Flash cache emptied: 57969 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: ******************** ->Temp folder emptied: 41299852 bytes ->Temporary Internet Files folder emptied: 13090329 bytes ->Java cache emptied: 660316 bytes ->FireFox cache emptied: 160154580 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 3474 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 20441290 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50300 bytes RecycleBin emptied: 126943742 bytes Total Files Cleaned = 6.144,00 mb OTL by OldTimer - Version 3.2.35.1 log created on 03052012_210739 Files\Folders moved on Reboot... C:\Users\Vithu\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... |
Hi, dann sollten wir jetzt erstmal durch sein... chris |
Vielen dank nochmal :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board