BKA Trojaner??? 1.03 HILFE!!!

**Bastiaan** · 13.04.2012, 23:58

Hallo!
Ich habe vollgendes Problem mit meinem Sony Vaio Windows 7.
Habe mir auf einer Internetseite den typischen Bildschirm mit den 100EUR, sperrung usw eingefangen.
Da ich das schonmal hatte und mit der hilfe von botfrei.de meinen rechner wieder zum leben erwecken konnte...habe ich heute etwas zu schnell gehandelt! Da ich nicht wußte dass es so viele verschiedene und ähnliche BKA Trojaner gibt, habe ich den rechner ausgeschaltet F8 gedrückt damit ich in den abgesicherten modus usw arbeiten konnte. Wollte mir dann das Vergleichsbild auf bootfrei.de anschauen...mußte dann leider feststellen dass die sich alle ähneln und ich weiß nicht mehr genau welches es war. es sah aber ähnlich wie die abbildung 1.03!
nunja, dann hab ich erstmal den rechner ausgemacht, wußte ja nicht was ich im abgesicherten modus machen soll. Rechner erneut an um zu sehen ob der Trojaner nochmal auftaucht. Aber nein- mein desktop schaut aus wie immer....nur mein avira free antivirus gibt an eine datei in Quarantäne zu haben (TR/Dropper.Gen7) und (JS/Infected.B)
Habe dann mal den MAlwarebytes Anti Maleware durchlaufen lassen...kann aber nichts finden.
Wenn ích mich aber ins Internet einwählen möchte- dann wird mein Bildschirm weiß...und er lädt und lädt..."leider" kommt nochniemals mehr diese doofe BKA Bildschirm...
Es wäre schön wenns sich jemand melden würde der sich mit so nem Fall auskennt...
Ich hoffe ich habe nicht schon zuviel rumgefummelt!?
Beste Grüße,
Bastiaan

**oldi-40** · 14.04.2012, 00:18

Hallo Bastiaan

nur mein avira free antivirus gibt an eine datei in Quarantäne zu haben (TR/Dropper.Gen7) und (JS/Infected.B)
Habe dann mal den MAlwarebytes Anti Maleware durchlaufen lassen...kann aber nichts finden.

Dann poste mal die Logs.

Ich hoffe ich habe nicht schon zuviel rumgefummelt!?

Dann sichert man die Daten mit einer Live-CD und installiert neu.

Wenn Du den Krempel schon mal hattest, läuft etwas " flasch " bei dir.

Nach einem Befall durch Malware ist das System mit dem richtigen Konzept in 20-60 Minuten wieder lauffähig.

Tschau

**Bastiaan** · 14.04.2012, 07:54

So ich hoffe ich das richtige gepostet: der virus tauchte schon eher auf :((

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 16. März 2012 19:55

Es wird nach 3567427 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : Bastiaan-VAIO

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 19:44:44
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 19:44:44
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 19:44:45
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 19:44:45
AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 19:44:45
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 18:16:43
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:01:23
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 14:01:23
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 14:01:23
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 14:01:23
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 14:01:23
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 14:01:23
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 14:01:23
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 14:01:23
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 14:01:23
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 14:01:23
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 18:18:19
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 18:19:09
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 17:34:44
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 07:57:08
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 15:20:56
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 19:44:43
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 16:46:06
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 09:36:44
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 13:15:12
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 16:59:46
VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 18:13:05
VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 19:03:24
VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 16:01:07
VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 17:51:54
VBASE027.VDF : 7.11.25.122 2048 Bytes 15.03.2012 17:51:54
VBASE028.VDF : 7.11.25.123 2048 Bytes 15.03.2012 17:51:55
VBASE029.VDF : 7.11.25.124 2048 Bytes 15.03.2012 17:51:55
VBASE030.VDF : 7.11.25.125 2048 Bytes 15.03.2012 17:51:55
VBASE031.VDF : 7.11.25.136 44032 Bytes 16.03.2012 17:49:50
Engineversion : 8.2.10.24
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.4.10 455035 Bytes 15.03.2012 17:53:10
AESCN.DLL : 8.1.8.2 131444 Bytes 28.01.2012 16:24:50
AESBX.DLL : 8.2.5.5 606579 Bytes 14.03.2012 16:01:14
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.5 803190 Bytes 07.03.2012 19:03:35
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 04.01.2012 18:16:51
AEHEUR.DLL : 8.1.4.7 4501878 Bytes 16.03.2012 17:52:24
AEHELP.DLL : 8.1.19.0 254327 Bytes 23.01.2012 11:29:28
AEGEN.DLL : 8.1.5.23 409973 Bytes 07.03.2012 19:03:27
AEEXP.DLL : 8.1.0.25 74101 Bytes 15.03.2012 17:53:12
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 17:51:59
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 19:44:44
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f61a217\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 16. März 2012 19:55

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'listener.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'uCamMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ath_CoexAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Bas de Boer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7L643DDX\jquery.google-analytics[1].js'
C:\Users\Bas de Boer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7L643DDX\jquery.google-analytics[1].js
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Infected.B

Beginne mit der Desinfektion:
C:\Users\Bas de Boer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7L643DDX\jquery.google-analytics[1].js
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Infected.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4abc22d9.qua' verschoben!

Ende des Suchlaufs: Freitag, 16. März 2012 19:56
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
35 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
34 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Die Suchergebnisse werden an den Guard übermittelt.

**Bastiaan** · 14.04.2012, 11:12

hmm...was soll ich nun machen!? jemand eine idee?
beste grüße!

**oldi-40** · 14.04.2012, 23:45

Hallo Bastiaan,

ich dachte eigendlich an folgende Logs:

-> http://blog.botfrei.de/2011/09/otl-w...systemanalyse/

-> http://blog.botfrei.de/2011/08/malwa...-malware-free/
- Update nicht vergessen !! -

Bei Avira kann man unter Verwaltung die alten Berichte/Funde exportieren. Poste mal alles was Du findest.

Tschau

**Bastiaan** · 16.04.2012, 09:47

Hallo Oldi!
Leider kann ich nichts updaten da ich dazu eine Internet Verbindung brauche und mein Bildschirm dann direkt gesperrt wird.
Zumindest weiss ich jetzt dass ich dem 1.03 Trojaner habe.
Der Versuch ihn zu entfernen scheitert leider daran dass ich obwohl ichbdie Schritte zur Installation mit der gebrannten Cd abgearbeitet habe ...trotzdem kein eingabefenster unten Links bekomme!
In den taskmanager komm ich aber ohne Probleme!
Gibt es noch einen anderen weg?
Besten gruß