BKA Trojaner unter Windows 7 64
 

Liebe Community.

Es gibt hier schon eine Menge Themen die über den BKA Trojaner handeln. Es scheint mir so das es mehrere Versionen von diesem Trojaner gibt und deswegen eine Lösung immer individuell angegangen werden muss. So hoffe ich in diesem Fall auch auf eure Hilfe.

Der infizierte Computer:
Es handelt sich um einen Sony Vaio Laptop eines Freundes. Er ist ca. 3 Monate alt und läuft mit Windows 7 Home Premium in der 64 Bit Version. Es läuft AVira AntiVir (free version).

Symptome:
Kann ich leider nicht ganz genau beschreiben, da es nicht mein Laptop ist.
Mein Kumpel wurde eines Tages, nach der Anmeldung an seinem Laptop, aufgefordert Geld zu bezahlen, damit sein Laptop wieder freigeschaltet wird.

(Den nun folgenden Teil erlebte ich dann selber mit)
Nach einem Neustart und einer weiteren Anmeldung, erschien lediglich ein weißer Bildschirm (welches vom Internet Explorer kam, der sich startet und dann aufzuhängen schien. Man sah keine Symbolleiste und sonst auch nichts was typisch für den IE wäre).

Der Internet Explorer ließ sich durch ein einfach Alt+F4 beenden. Man sah danach das Hintergrundbild vom Desktop aber weder die Icons noch die Startleiste von Windows. Auch der Taskmanager ließ sich nicht öffnen.

Ich suchte im Internet und folgte einer Anleitung (hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html), nachdem man Windows im abgestrichen Modus mit Eingabeaufforderung starten soll. Das tat ich und startete die Windows- Registry.
Am Ende war man in einem Verzeichnis in dem es den Eintrag "Shell" gab. Diese sollte man anwählen und den dortigen Pfad des Virus durch "Explorer.exe" ersetzten. Leider stand dort schon Explorer.

Ich laß weiter und bekam mit das sich der Virus vermutlich auch direkt in die "explorer.exe" einnisten kann. Dann stieß ich auf dieses Forum. Ich laß von jemanden mit einem ähnlichen Problem und folgte einem Hinweis eines Users hier. Der verwies auf das Programm und die Anleitung zu "Combofix". Ich befolgte strickt die Anleitung, stellte aber erst am Ende fest, das man "lediglich" eine Logdatei erhält, die dann jemand mit mehr Wissen "entschlüsseln" muss. Ich weiß dass ich dies ohne konkrete Aufforderung nicht hätte tun dürfen, wollte euch aber nicht mit noch einem Thema zum BKA Virus "nerven", was ich ja jetzt trotzdem machen muss.

Zwischendurch startete ich den Laptop meines Kumpels neu und auf einmal lief alles wieder. Ich konnte mich normal anmelden und der Desktop und der Rest, schien wie früher. Natürlich glaube ich dem Frieden nicht. Ich habe nichts getan, also warum sollte der Trojaner auf einmal weg sein.

Meine Frage:
Ich möchte nun gern wissen, was genau mit dem Laptop los ist. Ob der Trojaner weg ist (was ich nicht glaube) oder was ich tun muss, um wirklich sicher zu gehen das ich ihn gebannt habe.

Wie in eurer Anleitung, zum erstellen neuer Themen, hänge ich die gewünschten Logdateien an. Auch die con Combofix.

Ich hoffe ihr könnt mir helfen und ich bedanke mich schonmal das ihr es mit lesen bis hierhin geschafft habt (langer Text). Hoffe das ich keine wichtige Information vergessen habe.

Beste Grüße
minimi

:headbang:

Sind diese Hinweise zu Combofix denn immer noch nicht ausreichend, wie oft soll man die noch posten, dass CF KEIN SPIELZEUG ist und nur nach Aufforderung eines Helfers oder Kompetenzlers ausgeführt werden soll!

Ich wollte erst nicht erwähnen, das ich schon Combofix benutzt habe. Habe mir schon gedacht das das nicht gut ankommt.

Hättest du vielleicht die Freundlichkeit mir zu erklären warum ich erst von einem "die Erlaubnis" brauche das Programm auszuführen. Man lässt es ja nur durchlaufen und stellt nichts ein.

Ich habe Themen hier gelesen, wo User auch mit dem BKA Trojaner zu tun hatten und ihn wurde in einigen Fällen gleich dazu geraten die CF Log hochzuladen.

Hättest du vllt mal die Freundlichkeit die Hinweise auch zu lesen, die ich extra posten musste obwohl die hier zu Hauf stehen? :dummguck:


Soso, du wusstest es also, dass du es nicht ausführen sollst machst es aber trotzdem. Das verstehe einer der will. Wenn du es wusstest kannst du aber auch nicht so tun, als wäre CF mal eben so zur alltäglichen Frühstücksanalyse des Rechners da :stirn:

Ich habe dein Hinweis schon gelesen. Wollte nur genau wissen, was ein Programm (welches eig. nur eine Logdatei erstellt) kaputt machen kann, wenn man es unbedacht ausführt. "Ernsthafte Computerpobleme" ist mir zu ungenau und auch das "Wieso" hätt ich gern gewusst.

Was ist hier dran nicht zu verstehen => http://www.trojaner-board.de/95175-combofix.html

Weil es zu ungenau sei und du garnicht weiß wie mächtig das Tool ist führst du es trotzdem einfach aus. Ich weiß nicht was ich davon noch halten soll :stirn:
Vllt ist es auch völlig egal weil es ja garnicht dein Rechner ist :balla:

Ok, ist gut du scheinst nicht zu verstehen was ich meine.

Habe schon nach deinem ersten Beitrag verstanden das ich was falsch gemacht hab. Hier finde ich scheinbar keine Hilfe. Du regst dich lieber über meinen Fehler auf. Vielleicht bist du auch nur überarbeitet. Wer weiß. Verschwende lieber nicht deine Zeit hier, mit aufzeigen von Fehlern. Man brauch deine Hilfe bestimmt woanders.

P.s. Ich versteh deine Sätze auch ohne Smileys. Bin keine 12 mehr, obwohl ich nicht richtig lesen kann.

Versteh doch einfach mal, dass wir Helfer uns hier die Finger wund tippen, wir wollen uns durch zig Hinweise zu CF und andere Sachen eben sowas wie jetzt hier ersparen und dann wird doch wieder einfach CF ausgeführt! Sowas ärgert mich einfach!

Ich war halt so naiv und dachte es würde euch "Tipp- Arbeit" ersparen, wenn ich schonmal etwas vorarbeite. Kann mir selber nicht genau erklären warum ich so dumm war und die ganzen Hinweise missachtet habe. Mag sein, weil es halt nicht mein eigener PC war. Habe das Programm einfach unterschätzt und mein Wissen überschätzt. So ist der Mensch.

Naja wie gesagt die Hinweise sind weder zum Spaß noch zur Dekoration da. Wenn du es schon gelesen hast ist es umso schlimmer, dass du CF doch ausgeführt hast. Aber egal jetzt.

Wo stehst du jetzt mit diesem Rechner? Geht der im normalen Modus, wenn nein im abgesicherten mit Netzwerk also mit Internetverbindung ja oder nein?

Wenn du eine Internetverbindung mit diesem Rechner hast dann führe MBAM/ESET erstmal aus

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus: