Vorgehensweise nach Entfernung von BKA Trojaner Clone + weitere Fragen
 

Hallo,

im Vorraus schon mal sorry wenn ich hier irgend etwas falsch mache oder zu viel poste, ist mein allererster Post hier und ich gebe mein Bestes die 7 goldenen Regeln zu befolgen.

nach rund 4 Jahren aktiver Internetnutzung hatte ich nun zum ersten mal auch das Pech mir ein wirklich ernstes Problem einzufangen, eine Clone Variante des BKA Trojaners auf einem Windows 7 Home Premium 64bit System.

In meinem Fall wurde aber einfach nur der Bildschirm schwarz und in dicker fetter roter Schrift stand dort "Aus Sicherheitsgründen wurde ihr Windows System blockiert" sowie die Schaltfläche "Upgraden und Bezahlen"

Ich habe den PC dann aus- und wieder eingeschaltet woraufhin diese Meldung verschwand, beschloss aber vorerst Offline zu bleiben und habe in der MSconfig im Systemstart gesehen dass sich dort 2 Programme aktiviert hatten die ich dort noch nie zuvor gesehen habe und welche sich auch nicht mehr deaktivieren ließen, bzw. der Haken ließ sich entfernen, aber nach schließen und wieder öffnen des MSconfig Fensters war der Haken wieder da, die beiden Verdächtigen waren SkypePM.exe und ein Verzeichnis das eine lange Buchstaben- & Zahlenfolge in eckigen Klammern war.

AntiVir Vollscan fand dann auf einen Schlag 17 Viren und hat diese in Quarantäne gestellt.

Habe mir dann über ein anderes, nicht infiziertes System (genauer gesagt meine PS3) noch Malwarebytes Anti Malware runtergeladen und selbiges im Vollscan durchlaufen lassen.

Dieses Fand dann auch einen Trojaner und einen geänderten Registry Wert(Logfile poste ich im Anschluss an diesen text) und hat ihn in Quarantäne gestellt / Registry repariert, das führte schon mal dazu dass die SkypePM.exe aus dem Autostart in der MSconfig verschwunden war, das andere Ding war aber noch drin und ließ sich nach wie vor nicht ausschalten.

Nachdem ich dann heute wieder Online war habe ich mit msconfig, Taskmanager Aktive Prozesse / Dienste / Leistungen usw. und "cmd" -> netstat-befehl alles so gut überwacht wie ich als Laie kann, stutzig gemacht hat mich das netstat permanent einen langen sich wiederholenden kryptischen Code ausgegeben hat obwohl ich nichts anderes als Google und Skype offen hatte.

Ich habe dann gerade die Malware Bytes Datenbank aktualisiert und nochmal einen Quickscan gemacht, dabei wurde nun auch die gefälschte SkypePM.exe nun erkannt und entfernt, Neustart des Rechners auch ausgeführt wie von Malwarebytes Anti-Malware angegeben. Seitdem ist es in der Netstat auch wieder "ruhig" und zeigt mir nur die normalen Kommunikationen an. Auch sind die Dateien und Verzeichnisse in denen die gefälschte SkypePM.exe und der Kiuvva-Virus zu finden waren nun leer und werden bei Malware Bytes Anti Malware als erfolgreich entfernt und oder in Quarantäne angezeigt.

So, hier poste ich nun die beiden Logfiles dazu, habe danach aber noch eine letzte Frage. Also, die beiden Logfiles mit Funden:

Logfile 1:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Chris :: CHRIS-PC [Administrator]

23.04.2012 15:15:33
mbam-log-2012-04-23 (15-15-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1047626
Laufzeit: 4 Stunde(n), 43 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Chris\AppData\Roaming\Aca\kiuvva.exe (Trojan.ZbotR.Gen) -> 2180 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{DC736266-0F31-4B18-0FB1-ECD9C8BABBF9} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Chris\AppData\Roaming\Aca\kiuvva.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Chris\AppData\Roaming\Aca\kiuvva.exe (Trojan.ZbotR.Gen) -> Löschen bei Neustart.

(Ende)

Logfile 2

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.25.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Chris :: CHRIS-PC [Administrator]

25.04.2012 22:02:37
mbam-log-2012-04-25 (22-02-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 250783
Laufzeit: 2 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Chris\AppData\Local\Skype\SkypePM.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hoffe habe das richtig gemacht soweit mit dem Posten der Logfiles, falls nicht sorry und gelobe Besserung.

Hier noch meine letzte Frage:

Mir ist aufgefallen dass ich im Task Manager unter Prozesse 2 mal iexplore.exe*32 aktiv habe und habe dazu auch Google bemüht, jedoch habe ich dort nur entweder veraltete Threads oder Threads gefunden in denen nur Leute dieses Problem hatten die den Internet-Explorer gar nicht nutzen.

Ich habe allerdings seit ich den PC neu habe schon immer 2 Explorer darauf gehabt, einen für 32, den anderen für 64 Bit und nutze mal den Einen, mal den Anderen, kann es also sein dass es in meinem Fall legitim ist dass ich den Prozess dort 2 mal habe?

Wenn ich im Kontextmenü "Dateipfad öffnen" wähle führt es mich auch beide male zum selben Speicherort, nämlich Acer (C:) > Programme(x86) > Internet Explorer. Einer der beiden Prozesse benutzt um die 64.000k Arbeitsspeicher, der andere um die 10.000k. Ist dies legitim in der wie oben beschrieben Situation oder hab ich da noch ein anderes Problem?

Die CPU Auslastung liegt jedenfalls unter 2 % und beide Prozesse starten auch nur dann wenn ich den Internet Explorer öffne und beenden sich wieder wenn ich ihn schließe.

Wenn ich den einen beende schließt sich der Explorer auch komplett, beim Schließen des Anderen stellt sich die gerade geöffnete Registerkarte wieder her.

So last but not least hoffe ich dann dass mir irgendjemand freundlicherweise helfen kann in einem, wenn nicht gar allen Punkten und ob ich mein System besser neu aufsetzen sollte oder jetzt soweit alles wieder ok ist.

Vielen Dank schon mal an jeden der sich die Zeit genommen hat sich durch die Wand an Text zu lesen und hoffe dass, wenn ich Fehler gemacht haben sollte diese mir bei meinem allerersten Post hier nachgesehen werden.

Dann warte ich mal auf Antworten und Hilfe. Danke =)

Hast du "nur" zwei Scans mit Malwarebytes gemacht?
Wenn ja, dann wiederhol den Vollscan, denn du hast den ersten Vollscan mit alten Signaturen gemacht

Das Log hätte ich auch gern gesehen

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo,

seltsamerweise finde ich in den Avira Log Berichten nur noch einen Bericht der einen einzigen Virusfund aufweist, in der Quarantäne jedoch sind mehrere Dateien, allerdings "nur" Heuristiken. Nebenbei fiel mir auf dass die Berichte-Sektion von Avira scheinbar einen "Schluckauf" hat und sich permanent aktualisierte, was das Auswählen etwas schwierig machte.

Ich poste hier mal den Log und hoffe das bringt was:

Ich habe dann heute auch nochmal Malware Bytes Anti Malware im Vollscan durchlaufen lassen direkt nachdem ich es frisch updatete und hier ist das Log dazu:


Vielen Dank schon mal für die Hilfen heute.

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,

hier das angeforderte Logfile von ESET Online Scan:

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen


Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo,

Danke für den Tip mit Softonic, werde ich mich dann in Zukunft dran halten.

Zu den Fragen:

1.) Geht der normale Modus uneingeschränkt?

Ja, soweit geht alles normal, Internet, Programme usw. Nichts macht Probleme. Auch hab ich dank des Netstat -b Befehls gesehen dass die ungewöhnlich hohe Anzahl an hergestellten Verbindungen im Netstat -a von Skype ausgeht, nachdem ich mich darüber ausgiebig informiert habe scheint das wohl normal zu sein da sich Skype eines Peer2Peer Netzwerks bedient und diese Verbindungen auch wirklich nur dann auftauchen wenn Skype läuft.

Nur dass ich nach wie vor 2 x iexplore.exe*32 im Taskmanager unter Prozesse habe, aber auch nur dann wenn ich den Internet Explorer aufhabe kommt mir nach wie vor komisch vor, obwohl ich letztens eine Quelle gefunden habe die aussagte, dass das unter Internet Explorer 8 wohl normal sein könnte. Aber eine ist mir da noch ein bisschen wenig.

2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Der einzigste leere Ordner ist der Autostart Ordner, aber das sollte ja auch so sein. Bei Eigenschaften zeigt er allerdings eine Datei an.

Ansonsten ist dort alles normal.

Das mit dem IE ist normal

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,

hier das OTL Log.

OTL Logfile:
--- --- ---
[/code]

Und danke schon mal mit der Info über den Internet Explorer, das erleichtert mich nun noch ein ganzes Stück weiter.

Schon blöd wenn man nie vorher auf sowas achtet.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo,

oben Beschriebenes ausgeführt, hier das Log:

Gut oder Schlecht? =)

PS: Da dieser Trojan.ZBotR.Gen ja auch Banking Passwörter auslesen konnte (ich mach zwar keins aber):

Ich nutze Programme wie Steam usw. wo man auch Geld aufladen und einlösen kann, wäre wohl besser wenn ich da jetzt alles ändere insofern das System sauber ist, oder?

Oh, hab versehentlich deine AVI-Videodateien gefixt :D
Du findest sie wieder im Ordner C:\_OTL\MovedFiles


Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hallo,

hier das TDSSKiller Logfile:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo,

hier das ComboFix Logfile:

Combofix Logfile:
--- --- ---