BKA-Trojaner 1.15

[FlugrehWatcher]

Hallo Support-Comunity,

leider hat sich mein Laptop gestern auch mit dem BKA-Trojaner 1.15 infiziert. Könnt ihr mir helfen?

Ich habe die beiden Log-Files wie in der OTL-Anleitung beschrieben erstellt und an diesen Post angehängt.

Vielen Dank schon mal im Voraus und Grüße
FlugrehWatcher

[Petra]

Hallo FlugrehWatcher,

zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!


Dein Thread ist jetzt in Bearbeitung, ich melde mich später mit einer Anleitung zurück

[Petra]

===== Punkt 1 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benutzerdefinierte Scans/Fixes:

Hinweis für Mitleser: Folgendes OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!

Code:

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{2B0A11A9-A141-42C7-B0FE-7EFF4F2B932B}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLRDF8&pc=MDDR&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-57989841-854245398-1343024091-500\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [WSManHTTPConfig] C:\Users\administrator\AppData\Local\Microsoft\Windows\912\WSManHTTPConfig.exe ()
O4 - HKLM..\Run: [wwancfg] C:\Users\KF\AppData\Local\Microsoft\Windows\507\wwancfg.exe File not found
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:DFC5A2B2

:Files
ipconfig /flushdns /c
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\piz_0ef.pad
C:\Users\KF\AppData\Roaming\hellomoto

:Commands
[purity]
[emptytemp]

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

===== Punkt 2 =====

Proxy eingestellt/fasch eingestellt?

Code:

IE - HKU\S-1-5-21-57989841-854245398-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-57989841-854245398-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-21-57989841-854245398-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.60.1:8080

IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen.

Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.




===== Punkt 3 =====

Ist Dropbox noch installiert?




===== Punkt 4 =====

Benutzerkontensteuerung aktivieren (Windows 7)

Die Benutzerkontensteuerung unter Windows 7 ist simpel ausgedrückt Deine Versicherung, dass Programme nicht irgendetwas installieren oder am System verändern können, ohne dass Du Deine Zustimmung dazu gibst. Manche User mögen die Requester als lästig empfinden, aber unter Windows 7 kann man sie sehr flexibel einstellen. Sie ganz abzuschalten, ist eine sehr große Sicherheitslücke - und genau das ist bei Dir der Fall.

Benutzerkontensteuerung unter Windows 7 aktivieren

Start => ins Suchfeld reinschreiben => msconfig
Es öffnet sich das das Fenster der Systemkonfiguration
Wähle den Reiter Tools => UAC-Einstellungen ändern => Starten

Ziehe den Schieberegler mindestens auf die Stufe 2 (von unten gesehen) => ok.
Damit hast Du relativ wenig "Rückfragen", bist aber nicht völlig ungeschützt.




===== Punkt 5 =====

Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan (Auswahl Vollständiger Suchlauf unter Suchlauf wählen) nach dieser Anleitung und poste das vollständige Logfile hier in den Thread.

(Vista/Win7-User: mit Rechtsklick als Administrator starten)




===== Punkt 6 =====

Adware mit adwCleaner suchen

• Lade bitte AdwCleaner herunter und speichere ihn auf dem Desktop.
  
  
  
• Starte die adwcleaner.exe mit einem Doppelklick.
  Vista- und Windows 7-User starten bitte per Rechtsklick auf das Icon und wählen "Als Administrator ausführen".
• Klicke auf Suche.
• Am Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste den Inhalt hier in den Thread.
• Die Logdatei findest Du auch unter C:\AdwCleaner[R1].txt.

[FlugrehWatcher]

Hallo Petra,

vielen Dank für deine Hilfe. Ich habe mich in der Zwischenzeit im Netz ein wenig umschauen können und das Problem mittels einem Systemwiederherstellungspunkt lösen können. Anschließend erschien nach der Anmeldung des betroffenen Benutzerprofils eine Fehlermeldung worin darauf hingewiesen wurde, dass der Trojaner nicht gefunden wurde (Siehe Screenshot)

Fehler.jpg

Der Aufruf der Datei erfolgte in meinem Fall durch einen hinzugefügten Link in der rundll32.exe welche im Autostartverzeichnis lag. Diesen Link habe ich nun auch entfernt. Jetzt scheint das System wieder gesäubert zu sein. Habe mit mehreren Virenscannern nach einander suchen lassen, aber nichts mehr gefunden.

Noch einmal Danke für Eure Mühen :)

Viele Grüße
FlugrehWatcher

[Petra]

Hallo FlugrehWatcher,

ok, die Punkte 2 - 6 bleiben aber nichtsdestotrotz relevant, bitte durchführen

[FlugrehWatcher]

Hallo Petra,

leider habe ich momentan keinen Zugriff auf den Rechner, da dieser einem bekannten gehört, der ihn schon wieder abgeholt hat. Ich werde ihn mir aber wieder besorgen und die restlichen Punkte durchgehen Sobald ich dann was neues habe, poste ich hier rein.

Erst einmal vielen Dank für deine Mühe und Hilfe
Flugreh

[Petra]

Hallo FlugrehWatcher,

ja das wäre gut. Leider passiert es nur allzuoft, dass mit der Bereinigung aufgehört wird, sobald die Sympthome verschwinden. Wenn aber nicht alle Reste entfernt werden und das System abgesichert wird, kommt es recht schnell zu neuerlichen Infektionen.

[Petra]

Hallo Flugreh,

gehe gerade meine offenen Threads durch. Wie lange wird es dauern, bis Du wieder Zugriff auf den Rechner haben wirst?

[Petra]

Thread geschlossen

Thread wird mangels Rückmeldung mit einigen Tipps zur Absicherung geschlossen, damit wir ihn nicht weiter unter Beobachtung halten müssen und aus den Abos löschen können. Wenn Du noch Fragen oder wieder Zeit zum Weitermachen hast, eröffne bitte einen neuen Thread.

Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Wie kann ich prüfen, ob meine Software aktuell ist?
Mozilla Plugins aktuell? Hier prüfen!
DNS manipuliert?
Vorsicht bei Streaming-Diensten: Malware-Zwischenfälle auf movie2k.to und kinox.to!