BKA-Virus 1.07 - Wie entferne ich ihn?

[Romarinho]

guten morgen. das erste mal im forum und bezüglich viren nicht zwingend der fachmann schlechthin, aber ich dachte ich probiere es erstmal bei euch lieben leuten, bevor ich mein geld bei einem spezialisten verballer.

gestern nachmittag war es dann bei mir auch soweit... besuchte meine üblichen seiten, ein werbe-pop-up öffnete sich im hintergrund und plötzlich war der bildschirm weiß. seitdem sieht mein bildschirm so hier aus:

bka-trojaner13.png

nach kurzer panik war mir direkt klar, dass das ein virus ist.
seit diesem zeitpunkt versuche ich mit aller macht ihn zu bekämpfen, mit jeglichen vorschlägen aus dem internet.

das hab ich vorsichtshalber gemacht: laptop vom internet getrennt, komplette internet-box vom strom genommen, integrierte webcam abgeklebt (auch wenn keine anzeichen zugegen sind, dass diese betroffen ist).

probleme, die bei anderen forenbeiträgen anscheinend nicht auftreten: ich habe KEINEN zugriff auf meinen desktop.. wenn ich meinen laptop hochfahre kommt alles normal bis zum willkommensbildschirm, dann zeigt sich für ca. 5sek mein desktop (auf dem ich nichts anklicken kann - wie eingefroren) und dann kommt sofort der weiße bildschirm mit dem immer selben inhalt (zahle 100€, kinderpornos,...), egal ob eine internetverbindung steht oder nicht. per strg+alt+entf komme ich zwar auf den externen windows-bildschirm und kann den taskmanager anwählen, allerdings öffnet sich dieser nicht, kann so oft drücken wie ich will. überhaupt öffnet sich überhaupt NICHTS, außer der weiße bildschirm.

das hab ich bereits probiert: per f8 ins erweiterte startmenü und den abgesicherten modus mit eingebeaufforderung per 'regedit' geprüft und diese shell-datei gesucht. über den local/user/-pfad gar nichts gefunden, bei local/machine/ allerdings eine shell-datei! der wert ist aber bereits explorer.exe
ansonsten schlugen auch ein paar leute vor, im erweiterten menü den punkt "mit letzter richtig laufender konfiguration starten" (oder so) zu wählen, das klappt aber auch nicht, immer wieder der virus.
außerdem sagten andere wiederum, dass man, bevor der weiße bildschirm erscheint, ganz schnell den taskmanager aufrufen soll und darauf eine .exe-datei bei den prozessen löschen soll. der angegebene name war allerdings nicht zu finden.

jetzt weiß ich nicht mehr, was ich anstellen soll. vertrauliche daten oder wichtige passwörter sind glücklicherweise nicht auf dem pc, allerdings eine ganze schar an bildern, videos und vorallem musik, die ich natürlich vorher nicht auf eine externe festplatte gezogen habe. die will ich eigentlich nicht verlieren. sind meine dateien nun eigentlich auch infiziert?

FAZIT: wie bekomme ich den virus von meinem bildschirm, sodass ich wieder zugriff auf meinen desktop bekomme und von dort aus den virus gezielt bekämpfen und löschen kann?

außerdam las ich in andere beiträgen ständig was von diesem OLT und dass man das programm unbedingt auf dem desktop speichern soll und was weiß ich.. wenn das auf meinen fall zutrifft, wie soll ich das anstellen? oO ich hab doch keinen zugriff auf meinen desktop.

nebenbei... alles platt machen will ich eigentlich nicht, da ich ja meine dateien retten will. wie schaffe ich das? und wenn ihr vorschlagt, das betriebssystem komplett neu aufzuspielen, werde ich mir dann wohl einen neuen pc zulegen... der laptop hat 6jahre auf dem buckel und ist mehr als langsam. und ich will mir nicht extra nochmal windows7 kaufen und dann den hornalten laptop damit bespielen.

DANKE schon mal für eure hilfe.

[TB]

Hallo Romarinho,

Willkommen im Botfrei - Forum,

ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden.
Bevor wir anfangen, hier noch ein paar lästige, aber wichtige und grundsätzliche Punkte, die von Dir zu beachten sind:

• Es gibt grundsätzlich keinen Support per PN oder Mail.
• Wir bereinigen keine Rechner, die geschäftlich genutzt werden,
• und/oder Rechner, die Cracks oder sonstige Hacks enthalten, die es ermöglichen, Bezahlsoftware ohne Bezahlung zu nutzen.
• Es ist wichtig, dass Du solange mitarbeitest, bis alle Punkte abgearbeitet sind und das Signal kommt, dass die Bereinigung beendet ist, auch wenn die Symptome vielleicht schon nach den ersten Aktionen verschwunden sein sollten.
• Evtl. vorhandene persönliche Daten und Realnamen ggfs. anonymisieren.
• Entfernungs-Programme (Removal-Tools) ausschließlich von den in unserer Anleitung angegebenen Links herunterladen!

Wichtig:

• Während unserer Reinigungsphase nur Programme installieren und Scans durchführen, die wir anordnen.
• Während der Bereinigung alle externen Medien, wie USB-Sticks, externe Festplatten und Flash-Karten an den Rechner anschließen!
• Wenn Du dazu bereit bist, arbeite die folgenden Punkte unbedingt in der vorgegebenen Reihenfolge ab.
• Das ist deshalb so wichtig, weil häufig der eine Punkt den anderen voraussetzt!
• Wenn bei einem Punkt etwas unklar ist oder etwas nicht (wie geplant) funktioniert, bitte nachfragen, bevor Du weitermachst.
• Berichte mir zu jedem Punkt, ob Du ihn erledigt hast.

Wenn du den Rechner mit F8 startest, funktioniert der Modus abgesicherte Modus mit Netzwerktreibern?

[Romarinho]

die oben genannten punkte habe ich gründlich gelesen, verstanden und akzeptiere sie. werd mein bestes tun, die aufgaben so gut wie möglich zu erledigen.

Wenn du den Rechner mit F8 startest, funktioniert der Modus abgesicherte Modus mit Netzwerktreibern?

muss ich ausprobieren, wenn ich in rund 2 stunden zu hause bin. melde mich dann nochmal, aber ich glaube schon, dass der mit dabei stand. wenn dieser funktioniert, wie gehe ich dann vor?

[TB]

Hallo Romarinho,

falls es funktioniert und du Internetfähigkeit hast mache weiter mit...

Systemscan mit OTL

Erstelle bitte OTL-Logfiles nach dieser Anleitung, klicke allerdings statt Minimal-Ausgabe die Standard-Ausgabe an. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer".

Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.

[Romarinho]

so, der abgesicherte modus mit den treibern funktioniert, bin gerade drin und hab OTL durchlaufen lassen... hier die dateien.

[TB]

1. Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• ersetze die von die gesetzten * wieder mit deinem Profilnamen

Code:

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3959452629-1421105642-907793919-1001\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-3959452629-1421105642-907793919-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3959452629-1421105642-907793919-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3959452629-1421105642-907793919-1001\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKU\S-1-5-21-3959452629-1421105642-907793919-1001\..\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}: "URL" = http://search.hotspotshield.com/g/results.php?c=s&q={searchTerms}
IE - HKU\S-1-5-21-3959452629-1421105642-907793919-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3959452629-1421105642-907793919-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
O4 - HKU\S-1-5-21-3959452629-1421105642-907793919-1001..\Run: [4Y3Y0C3A0F7XXZYWCWPRTE] C:\Recycle.Bin\B6232F3A3D8.exe File not found
O4 - HKU\S-1-5-21-3959452629-1421105642-907793919-1001..\Run: [fedja] C:\Users\NAME\AppData\Local\Temp\roper0dun.exe ()
O4 - HKLM..\Run: [LMgrOSD] "C:\Program Files (x86)\Launch Manager\OSDCtrl.exe" File not found
O4 - HKLM..\Run: [XM2002] C:\Program Files (x86)\IPPS\XM2002®\XM2002.exe -auto File not found
O4 - HKU\S-1-5-21-3959452629-1421105642-907793919-1001..\Run: [4Y3Y0C3A0F7XXZYWCWPRTE] C:\Recycle.Bin\B6232F3A3D8.exe File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13 - gopher Prefix: missing
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab (DLM Control)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1

:Files
C:\Users\NAME\AppData\Local\Temp\roper0dun.exe ()

:Commands
[PURITY]
[EMPTYTEMP]

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


2. Mache bitte im Anschluss einen vollständigen Scan mit Malwarebytes und poste hier das Logfile. Anleitung und Download hier.

3. Deinstalliere bitte alle Toolbars unter Systemsteuerung -> Programme.

4. Du kannst den kompletten Rechner auf secunia.com auf veraltete Software überprüfen lassen!

5. Prüfe hier deine Plugins auf Aktualität und mache Updates wenn es angezeigt wird.

[MG]

Thread geschlossen wegen mangelnder Rückmeldung. Solltest du weitere Unterstützung bei der Bereinigung benötigen, erstell bitte ein neues Thema. Wir werden dir dann gerne weiter helfen.