BKA-Trojaner mit weißem Bildschirm und Zahlungsaufforderung
 

Hallo,
gestern ist mein Bildschirm plötzlich weiß geworden und meine Webcam schaltete sich ein. Dann erschien ein Bildschirm vom Bundeskriminalamt mit einem Bild von Angela Merkel oben und an der Seite stand mehrmals "Interpol". Es hieß, dass man illegale Dateien auf meinem Computer entdeckt hätte und dass der Computer vorläufig gesperrt sei. Ich wurde aufgefordert, 100€ per PaySafe zu bezahlen, dann würde mein Computer wieder freigeschaltet. Daraufhin drückte ich die Standbytaste und nahm den Akku meines Laptops heraus. Nachdem wiedereinsetzen konnte ich den Laptop wieder normal hochfahren. Avira zeigte mir an, dass man eine unerwünschte Datei, bzw. einen Virus gefunden habe. Man konnte Datei "entfernen" oder "Details" anklicken. Das kam immer wieder und wenn man auf "entfernen" klickte, wurde eine Avira Sicherung durchgeführt. Andere Programme reagierten nicht mehr (Keine Rückmeldung).
Daraufhin habe ich eine Systemwiederherstellung durchgeführt. Im Internet habe ich auf www.heise.de/security/meldung/Neuer-Erpressungs-Trojaner-dreht-seine-Runden-1919498.html herausgefunden, dass es sich um einen Trojaner mit dem Namen "cache.dat" handelt.
In diesem Forum habe ich dann gelesen, dass man "farbar recovery scan tool" downloaden soll. Das habe ich gemacht und folgendes kam dabei heraus:



Anmerkung: Ich habe überhaupt keine Ahnung von Computern und brauche dringend Hilfe.
Diesen Eintrag schicke ich von dem PC meines Bruders, da ich gelesen habe, dass man den betroffenen PC vom Internet trennen und ausschalten sollte.

Vielen Dank schon mal im Voraus!
Schnieke

:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:





Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo,
ich habe mich entschieden, mit der Bereinigung anzufangen. Ich mache kein Onlinebanking und ich habe auch keine sensiblen Daten auf meinem PC.
Ich habe jetzt schon Combofix durchgeführt. Der Computer ist daraufhin mit Bluescreen abgestürzt und wieder hochgefahren. Ein logfile wurde nicht erstellt (also es hat sich nichts geöffnet).
Was soll ich jetzt machen?

Combofix umbenennen

Bitte benenne die Combofix(.exe) um in NoMBR(.exe) und probiere es nochmals.

Hier das Ergebnis:

Du hattest da wirklich was sehr hässliches. Wir machen eine Kontrolle:

Scan mit MBAR
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Habe alles genauso gemacht, wie angeleitet.
Folgender logfile entstand nach dem ersten Scan:

Malwarebytes Anti-Rootkit BETA 1.06.1.1005
Malwarebytes : Free anti-malware download

Database version: v2013.08.12.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16635
Rieke :: RIEKE-PC [administrator]

12.08.2013 20:54:07
mbar-log-2013-08-12 (20-54-07).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 256702
Time elapsed: 21 minute(s), 4 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
c:\Users\Rieke\AppData\Roaming\cache.dat (Trojan.Ransom.Gend) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Danach habe ich einen CleanUp durchgeführt und daraufhin einen erneuten Scan, nachdem folgender logfile entstand:

Malwarebytes Anti-Rootkit BETA 1.06.1.1005
Malwarebytes : Free anti-malware download

Database version: v2013.08.12.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16635
Rieke :: RIEKE-PC [administrator]

12.08.2013 21:21:38
mbar-log-2013-08-12 (21-21-38).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 256529
Time elapsed: 23 minute(s), 33 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Ist mein PC jetzt von dem Trojaner befreit und kann ich meinen PC jetzt wieder (einigermaßen) sorgenfrei benutzen?

Vielen Dank für die ganze Hilfe!

Wir sind noch nicht fertig das herauszufinden.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:


Schritt 2:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

ESET hat leider 6 infected files gefunden. Folgender logfile entstand:

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=d54f6d5d727cf449855db49c6d6c2062
# engine=14761
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-13 10:48:48
# local_time=2013-08-14 12:48:48 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 97 41873 122204612 34622 0
# compatibility_mode=5893 16776574 100 94 219292 128065319 0 0
# scanned=216464
# found=6
# cleaned=0
# scan_time=24581
sh=A3AA67884223F3E8F8C52AFDBC779DCB19FF00E6 ft=1 fh=046b86e38f417135 vn="Win32/Conedex.D trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{1e92cb31-99b9-ca70-16e6-19508730e65b}\9519~1\A535~1\E628~1\{1e92cb31-99b9-ca70-16e6-19508730e65b}\U\00000004.@.vir"
sh=2587B2A16644839CBF08F2943FA21CC0C8DD6E5D ft=1 fh=1aeb32f3d5992c2a vn="Win32/Conedex.T trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{1e92cb31-99b9-ca70-16e6-19508730e65b}\9519~1\A535~1\E628~1\{1e92cb31-99b9-ca70-16e6-19508730e65b}\U\00000008.@.vir"
sh=97D178F9F9541E90C2A527C3FF97A43A1B69CB25 ft=1 fh=658c8a56b6c5d815 vn="Win32/Conedex.E trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{1e92cb31-99b9-ca70-16e6-19508730e65b}\9519~1\A535~1\E628~1\{1e92cb31-99b9-ca70-16e6-19508730e65b}\U\000000cb.@.vir"
sh=61023A418C73264F0A514F93C39ADA01391B6E15 ft=1 fh=44633e40fddadf6d vn="Win32/Sirefef.FA trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{1e92cb31-99b9-ca70-16e6-19508730e65b}\9519~1\A535~1\E628~1\{1e92cb31-99b9-ca70-16e6-19508730e65b}\U\80000000.@.vir"
sh=C9ABC0964F185D4A37D01131CF32B9FB9E75F194 ft=1 fh=bfba3bf42d7d0d05 vn="probably a variant of Win32/Sirefef.FV trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{1e92cb31-99b9-ca70-16e6-19508730e65b}\9519~1\A535~1\E628~1\{1e92cb31-99b9-ca70-16e6-19508730e65b}\U\80000032.@.vir"
sh=A2E20A2817FBB5191EE00281B3CB7488078F0382 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Rieke\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\69861589-1c91c4b6"

Danach habe ich den Security Check gemacht. Dabei entstand folgendes Textdokument:

Results of screen317's Security Check version 0.99.72
Windows 7 Service Pack 1 x86 (UAC is enabled)
Internet Explorer 10
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
JavaFX 2.1.1
Java(TM) 6 Update 25
Java 7 Update 13
Java version out of Date!
Adobe Flash Player 11.7.700.224
Adobe Reader 10.1.7 Adobe Reader out of Date!
Mozilla Firefox 16.0.2 Firefox out of Date!
Google Chrome 28.0.1500.72
Google Chrome 28.0.1500.95
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Microsoft Small Business Business Contact Manager BcmSqlStartupSvc.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Wie soll ich jetzt weiter vorgehen?

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde:
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:

Falls du mich jetzt fragen willst, was mit den noch gefundenen Bedrohungen von Eset ist ... lies bitte jetzt nochmal meinen Hinweis zu delfix einige wenige Zeilen weiter oben.

Schritt 3:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen und dabei gefundene Bedrohungen einfach entfernen zu lassen. Meist ist es ohnehin nur Werbung oder manipulierte Webseiten im Browsercache. Also bitte keine Panik, wenn mal ein Fund auftaucht! Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Schritt 4:
Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 25) herunter laden.
• Während der Installation entferne den Haken bei:
  http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:

• Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:

• Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen...
• Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

Schritt 5:
Update: Firefox, Addons und Plugins

• Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Hilfe > Über Firefox
• Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
• Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
• Klicke nun auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons > http://www.trojaner-board.de/picture...&pictureid=326 > Auf Updates überprüfen
• Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig), ob folgende Links fehlende Updates bei deinen Plugins zeigen:

• PluginCheck-Schnelltest
• Mozilla Plugin-Check

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Hallo,
ich habe alles erledigt. Vielen, vielen Dank für die Hilfe!

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board