Neuer BKA Trojaner??

[fast]

Hallo, ich hab wohl einen neuen BKA Trojaner aufm PC! Jedenfals kann ich ihn auf der Seite nicht finden. Kann mir jemand helfen was zu tun ist? Bild ist mit bei.

[john.doe]

Hallo fast und

Das Bild ist zwar ganz nett aber hilft ueberhaupt nicht.

1.) Funktioniert der abgesicherte Modus?

Hinweise zum Arbeiten im abgesicherten Modus

• Um in den abgesicherten Modus zu kommen, fahre den PC runter, mache ihn aus.
• Schalte den PC wieder ein und drücke vor dem Start von Windows mehrfach die Taste "F8", um in das erweiterte Windows-Startmenü zu gelangen.
• Auf einem Computer, der für das Starten mit mehreren Betriebssystemen konfiguriert ist, bei Anzeige des Auswahlmenüs die Taste "F8" drücken.
• Im erweiterten Windows-Startmenü über die Pfeiltasten die Option "Abgesicherter Modus mit Eingabeaufforderung" wählen und die Eingabetaste drücken.
  
  
• Wenn der abgesicherte Modus so nicht funktioniert, sage dem Helfer Bescheid.

2.) Kannst du von einem anderen Rechner aus eine CD erstellen oder einen Stick beschreiben?

ciao, andreas

[fast]

Ja, ist alles möglich! (ich hab XP Pro.)

[john.doe]

Hallo fast,

das erleichtert die Sache. Starte den abgesicherten Modus mit Netzwerktreibern.

1.) Systemscan mit OTL

Erstelle bitte OTL-Logfiles nach dieser Anleitung. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer".

Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

2.) Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan nach dieser Anleitung und poste das Logfile hier in den Thread.

ciao, andreas

[fast]

Das Anti malware programm hat kein ergebnis erbracht....

[john.doe]

Hallo fast,

OTL.txt (1,12 MB

1.) Hast du mit nlite gearbeitet?

2.) Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [qdupinjhhqdzmvf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qdupinjhhqdzmvfehrjw.exe ()
O4 - HKU\d_ON_C..\Run: [qdupinjhhqdzmvf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qdupinjhhqdzmvfehrjw.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [_nltide_2]  File not found
O4 - HKU\Administrator_ON_C..\RunOnce: [_nltide_2]  File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [_nltide_2]  File not found
O20 - HKLM Winlogon: Shell - (explorer_new.exe) - C:\WINDOWS\explorer_new.exe ()
O32 - HKLM CDRom: AutoRun - 1

:Commands
[emptytemp]

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

3.) Rechner startet neu, Windows "normal" starten und berichten, ob der Sperrbildschirm noch erscheint.

ciao, andreas

[fast]

nlite??
was ist mit fixen gemeint?

[fast]

Code:

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\qdupinjhhqdzmvf deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qdupinjhhqdzmvfehrjw.exe moved successfully.
Registry value HKEY_USERS\d_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\qdupinjhhqdzmvf deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qdupinjhhqdzmvfehrjw.exe not found.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\_nltide_2 deleted successfully.
Invalid CLSID key: _nltide_2
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\RunOnce\\_nltide_2 deleted successfully.
Invalid CLSID key: _nltide_2
Registry value HKEY_USERS\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\RunOnce\\_nltide_2 deleted successfully.
Invalid CLSID key: _nltide_2
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:explorer_new.exe deleted successfully.
C:\WINDOWS\explorer_new.exe moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: d
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
 
Total Files Cleaned = 0.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06062012_200641

[fast]

Super! Er läuft wieder. Hab gerade gesehen er hat nicht mal eine Firewall drauf. Schande...
Mach erstmal Zonealarm drauf! O.k. ist der Trojaner jetzt ganz weg? Was soll ich noch machen? Die Anti-malware hat ja nichts gefunden! Jetzt noch mal versuchen? CCleaner durchjagen???

[john.doe]

Hallo fast,

nlite??

Hm, das habe ich vermutet.

Hab gerade gesehen er hat nicht mal eine Firewall drauf. Schande... Mach erstmal Zonealarm drauf!

... und alles wird gut.

Die Anti-malware hat ja nichts gefunden!

Anleitung beachten und das Log posten, auch wenn nichts gefunden wird. Vorher updaten.

ciao, andreas