WinVista - BKA Trojaner - Andere Version?

[ThaRapy]

Hallo!
Wie der Titel schon sagt, hab auch ich mir den BKA -Trojaner eingefangen,
ich hab den Screen mit dem Handy photographiert und schreib jetzt von einem andren PC aus.
Leider ist auf dem Handyphoto nicht sehr viel zu sehen, da ich mal instinktiv den PC so schnell wie möglich ausschalten wollte und mir dementsprechend nicht viel Zeit fürs Photo genommen hab, um eine Verbreitung der Infizierung zu verhindern, vielleicht war das aber auch Schwachsinn.

Ich hab keine Ahnung wie man ein Sample erstellt bzw. ob es sinnvoll ist, im abgesicherten Modus zu booten?

Hier jedenfalls mein Handyphoto:
IMAG0166.jpg

EDIT: ich habe jedenfalls den Verdacht, dass das niemand deutschsprachiger verfasst hat, weil ich nehm an das "AUF" rechts ("Videoaufzeichnung: Auf") ist eine autotranslation von "ON".
EDIT2: Videoaufzeichnung hatte übrigens keinen Zugriff auf meine Webcam. Das Bild hat ausgesehen wie in Photoshop erstellte Wolken.

Taskmanager lässt sich zwar öffnen, nach einer halben Sekunde springt der Trojaner jedoch wieder in den Vordergrund, Alt F4, Win+D funktionieren selbstverständlich nicht (wäre ja auch zu einfach)

Kann mir jemand da eine Hilfestellung geben?

EDIT3: Klingt ähnlich wie:
http://forum.botfrei.de/showthread.p...ockiert-online
"Der GVU-Trojaner mit Webcam". Muss aber nicht zwangsläufig der gleiche sein oder gibt es nur einen "mit Webcam"?
Kann ich zumindest Schritt 1 dieser Anleitung genauso machen?

EDIT4: mir fällt gerade ein, Windows hat beim herunterfahren gestern noch ein update installiert, heute ist der Trojaner dann in Erscheinung getreten.

[kira]

Herzlich Willkommen in unserem Forum!

**Bevor wir unsere Zusammenarbeit beginnen, lies dir diese Einführung durch und ich bitte um kurze Bestätigung, dass du dies gelesen und akzeptiert hast!:-> Worauf musst Du während der Bereinigung achten?

ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG! - da die Fehlerprüfung und Handlung werden über große Entfernungen (online) durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.

► Unrechtmäßig erworbene Software (durch Keygen, Crack, Keymaker) wird nicht geduldet, in diesem Fall wird der Support eingestellt.!
Die von mir angegebenen Anweisungen, immer vollständig und genau erledigen (werden ja oft mehrere Schritte gleichzeitig angewendet)
► Falls unvorhersehbare Probleme auftreten sollten, bitte um sofortige Rückmeldung! Bis auf weiteres (ohne Abspräche) keine eigenen Aktivitäten vornehmen!

Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. -> Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems

Falls du doch für die Systemreinigung entscheidest - probier alle Varianten in der angegebenen Reihenfolge aus und teste, welche Variante ermöglichen es Dir, "ungestört" am Rechner arbeiten zu können:

Berichte mir bitte genau, was Du am PC (im betroffenen Benutzerkonto) machen kannst? - erwarte von Dir natürlich eine sehr genaue und kurze Schilderung:

1. Windows starten u. Befehle ausführen im normalen Modus - wenn Du dein PC vom Netz/Internet getrennt hast??

2. Windows starten u. Befehle ausführen im abgesicherten Modus?:-> Drücke beim Hochfahren des Rechners [F8] -> Hinweise zum Arbeiten im abgesicherten Modus

3. ins Internet gehen über "Abgesicherter Modus mit Netzwerktreibern"? - z.B Programme herunterladen?
Drücke beim Hochfahren des rechners [F8] solange, bis du eine auswahlmöglichkeit hast:

- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

4.
Sowohl im normalen als auch im abgesicherten Modus erledigen - (Link bitte unbedingt anklicken & lesen!) , eine Systemwiderherstellung Zu einem Zeitpunkt vor der Infizierung wäre auch Wäre einen Versuch wert:
Die Sysmwiederherstellung ist nur ein "Notlösung", das Problem wird damit nie 100%ig beseitigt, da dem Zeitpunkt des Eindringen des Trojaners nicht mehr feststellen kann. Aber man kann damit die Funktionsfähigkeit eines Computersystems erhöhen.
->Eine Schritt-für-Schritt-Anleitung zum Einsatz der Systemwiederherstellung unter Windows XP
-> Systemwiederherstellung unter Windows Vista
-> Systemwiederherstellung unter Win 7
->Systemwiederherstellung: Häufig gestellte FragenDie Systemwiederherstellung ist nur ein "Notlösung", das Problem wird damit nie 100%ig beseitigt, da dem Zeitpunkt des Eindringen des Trojaners nicht mehr feststellen kann. Aber man kann damit die Funktionsfähigkeit eines Computersystems erhöhen.

gruß
kira

[ThaRapy]

Hallo!
Habe die Bedingungen gelesen und verstanden!

Also gleich mal vorweg, habe den PC bereits neuaufgesetzt (war ohnehin überfällig ihn auszumisten), außerdem eine gute Gelegenheit auf Windows 7 umzusteigen. Kurze Frage zu .doc / .docx: Diese sind aufgelistet unter "ausführbare Dateien", kann ich die trotzdem retten oder müssen die geopfert werden?

Deine Anweisungen hab ich natürlich trotzdem befolgt, und getestet:
Normal hochfahren, mit Internet: Sperre wird aktiviert
Normal hochfahren, ohne Internet: "Normal" verwendbar, sogar wenn Internet nach dem Booten aktiviert wírd.
Abgesicherter Modus mit Eingabeaufforderung: Kommt aus irgendeinem Grund ins Internet, ergo, PC wird gesperrt
Abgesicherter Modus mit Netzwerktreibern: Genauso.
Abgesicherter Modus: "Normal" verwendbar, keine Sperre (auch kein Internet)

Systemwiederherstellungspunkte: Hab ich gestern schon probiert, da war nur 1 Punkt verfügbar, der 2 Min zurücklag (also eher sinnlos)
Heute: Überhaupt keine Wiederherstellungspunkte verfügbar.

Er scheint also die Wiederherstellungspunkte zu löschen.

Danke für eure Hilfe trotzdem!

[kira]

Kurze Frage zu .doc / .docx: Diese sind aufgelistet unter "ausführbare Dateien", kann ich die trotzdem retten oder müssen die geopfert werden?

Tipps & Rat:

1.
Daten sichern - Nur auf die nicht verzichten kannst:
Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
** Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
ansonsten und am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!

2.
die Sicherung wieder zurückspielen:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten
- extern gesicherte Daten-Datenträger anschließen, gründlich scannen lassen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

Absolut empfehlenswerter Scanner:

Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check

3.
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern ( am besten von einem anderen, nicht-infizierten Rechner aus! )

• Sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
  auch noch hier unter: Sicheres Kennwort (Password)

-> Windows XP neu aufsetzen
-> Windows Vista neu aufsetzen
-> Windows 7 neu aufsetzen