[Windows Vista] BKA-Virus Entfernung

[| Nami |]

Liebe Freunde und Feinde ;D
Ich benötige mal dringende Hilfe zur Löschung eines Trojaners auf meiner HD.
Vorgestern beim surfen im Netz hatte ich von Avira die Rückmeldung bekommen, das ein unerwünschtes Programm gefunden wurde, hab sofort ne Suchmeldung gestartet, das Antivirus hat die beschädigte Datei in die Quarantäne geschoben und ich hab es daraus entfernt, neuer Suchlauf gestartet kein Eintrag gefunden, wunderbar, dann denkst du der Spuk ist vorbei.
Falsch! Heute starte ich den Laptop neu und bekomme diese Meldung:

Spoiler

Offesichtlich bin ich da in die Falle des BKA getappt. Scheiß Cyber Crime.
Nun hangel ich mich gerade im abgesicherten Modus rum, das ich wenigstens im Netz nach Lösungsmöglichkeiten suche, hab auch schon diverse Foren gefunden, hab allerdings Null Ahnung von dem, was die da schwafeln.

Jetzt meine Frage. Eine manuelle Löschung des Trojaners in der Registry wird ja nicht viel bringen, da ich nicht weiß, was das Viech bereits für Schäden angerichtet hat, dann bleibt ja nur noch die Neuinstallation von Windows Vista über oder, wenn ja, wie spiele ich Vista richtig neu auf und was ist dabei zu beachten?

Vorweg. Hab einen Lappi zum surfen aber keine weiteren Installations CD's außer zur Konfiguration des Internetes.

Hier sind die Eckdaten zu meinem

Windows:

Windwos Vista Home Premium
Service-Pack 1

System:

Acer Series 501
Arbeitsspeicher: 4 GB
Systemtyp: 32 Bit Betriebssystem

Hier mal der Auszug aus den LogFiles.

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 1. April 2012 18:12

Es wird nach 3572891 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 18.02.2012 17:48:31
AVSCAN.DLL : 12.1.0.18 65744 Bytes 18.02.2012 17:48:31
LUKE.DLL : 12.1.0.19 68304 Bytes 18.02.2012 17:48:31
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 18.02.2012 17:48:32
AVREG.DLL : 12.1.0.29 228048 Bytes 18.02.2012 17:48:32
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 20:42:24
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:16:06
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:27:35
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 13:27:36
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 13:27:36
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 13:27:36
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 13:27:36
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 13:27:36
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 13:27:36
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 13:27:36
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 13:27:36
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 13:27:36
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 15:02:39
VBASE015.VDF : 7.11.26.108 2048 Bytes 30.03.2012 15:02:39
VBASE016.VDF : 7.11.26.109 2048 Bytes 30.03.2012 15:02:39
VBASE017.VDF : 7.11.26.110 2048 Bytes 30.03.2012 15:02:39
VBASE018.VDF : 7.11.26.111 2048 Bytes 30.03.2012 15:02:39
VBASE019.VDF : 7.11.26.112 2048 Bytes 30.03.2012 15:02:39
VBASE020.VDF : 7.11.26.113 2048 Bytes 30.03.2012 15:02:39
VBASE021.VDF : 7.11.26.114 2048 Bytes 30.03.2012 15:02:40
VBASE022.VDF : 7.11.26.115 2048 Bytes 30.03.2012 15:02:40
VBASE023.VDF : 7.11.26.116 2048 Bytes 30.03.2012 15:02:40
VBASE024.VDF : 7.11.26.117 2048 Bytes 30.03.2012 15:02:40
VBASE025.VDF : 7.11.26.118 2048 Bytes 30.03.2012 15:02:40
VBASE026.VDF : 7.11.26.119 2048 Bytes 30.03.2012 15:02:40
VBASE027.VDF : 7.11.26.120 2048 Bytes 30.03.2012 15:02:40
VBASE028.VDF : 7.11.26.121 2048 Bytes 30.03.2012 15:02:40
VBASE029.VDF : 7.11.26.122 2048 Bytes 30.03.2012 15:02:40
VBASE030.VDF : 7.11.26.123 2048 Bytes 30.03.2012 15:02:41
VBASE031.VDF : 7.11.26.144 203776 Bytes 01.04.2012 15:01:05
Engineversion : 8.2.10.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 17.11.2011 18:09:30
AESCRIPT.DLL : 8.1.4.15 442747 Bytes 30.03.2012 15:04:20
AESCN.DLL : 8.1.8.2 131444 Bytes 11.02.2012 19:19:45
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 23:13:52
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 15:04:15
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 01.01.2012 19:14:50
AEHEUR.DLL : 8.1.4.10 4551031 Bytes 30.03.2012 15:04:00
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 18:47:59
AEGEN.DLL : 8.1.5.23 409973 Bytes 07.03.2012 19:02:36
AEEXP.DLL : 8.1.0.27 82293 Bytes 30.03.2012 15:04:22
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 16.03.2012 10:33:00
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 18.02.2012 17:48:31
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f785d83\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Sonntag, 1. April 2012 18:12

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerEvent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcerVCM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'datamngrUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMVService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwlDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PdtWzd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AmIcoSinglun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcadeDeluxeAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RS_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BASVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLHNService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CompPtcVUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\BENUTZER G\AppData\Local\Temp\008041d2.tmp'
C:\Users\BENUTZER G\AppData\Local\Temp\008041d2.tmp
[FUND] Ist das Trojanische Pferd TR/Ransom.EJ.14
Beginne mit der Suche in 'C:\Users\BENUTZER G\AppData\Local\Temp\3085.tmp'
Der zu durchsuchende Pfad C:\Users\BENUTZER G\AppData\Local\Temp\3085.tmp konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.

Beginne mit der Desinfektion:
C:\Users\BENUTZER G\AppData\Local\Temp\008041d2.tmp
[FUND] Ist das Trojanische Pferd TR/Ransom.EJ.14
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b272081.qua' verschoben!

Ende des Suchlaufs: Sonntag, 1. April 2012 18:20
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
74 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
73 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Die Suchergebnisse werden an den Guard übermittelt.

jetzt der Logfile mit Malewarebytes:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Database version: v2012.04.01.03

Windows Vista Service Pack 1 x86 NTFS

01.04.2012 19:08:25
mbam-log-2012-04-01 (19-08-25).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 136447
Time elapsed: 3 minute(s), 45 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

und der Logfile von Housecall:

Keine Bedrohungen gefunden

Vorweg. Ich bin absoluter Anfänger was Dos und Bios angeht, seid gnädig mit mir und ne Idiotenanleitung wäre angebracht.
Schonmal thx vorweg.
By the way. Habe atm keinen sauberen Rechner, den ich verwenden könnte.

 

[Zero]

es gibt kleine Tools die das machen - aber nachdem wir jetzt 2 kurz aufeinander haben, dann wäre ein reinstall angebracht.

das ist an sich kein Problem.

Je nach Anbieter ist es ein kein Problem das Vista neu zu machen.
such mal was für ein System du hast.

HP etc. haben so recovery-software mit dabei.
Je nach Modell musst F11 oder F8 beim starten drücken - bevor windows kommt.

Damit startest du einen recovery-manager.
(F11 und F8 müsste das HP sein)

 

[Bazillus^^]

so nen Fake Torjaner hatte ich letztens auch hab ihn mit der System wiederherstellung löschen können
dazu musst beim Starten des rechners F8 Drücken ( bei mir ists es F12) um in die Menüs zu kommen
dort musst du dann Reperatur auswählen und kannst dort einen alten Wiederherstellungspunkt Laden ( einen auswählen bevor der Befall passiert ist)

Dann müsste er verschwunden sein wenn dieser sich nicht zu sehr im System eingenistet hat

Wenn der Virus weg ist mal einen kompletten System durchlauf mit den Antivirenprogrammen durchlaufen lassen

http://www.chip.de/downloads/Avira-DE-Cleaner_47574057.html

und mit Highjackthis
http://www.hijackthis.de/

wenn das öfters passiert würde ich raten den Rechner neu aufzusetzen.

ps. ich sehe C00lzero antwortet gerade am besten seiner Professionellen Meinung glauben.

 

[~*Kuroi Kira*~]

Ich kann dir nur sagen wie ich es damals gemacht habe ^^

1. PC im abgesicherten Modus starten ---> zumindest konnte ich bei mir nur so überhaupt was machen
2. Das BKA - Ding aus der Registry löschen --> Der Pfad wird ja im Internet angezeigt, ansonsten gibts ja auch bei "Regedit" ne Suche
3. Virenprogramm und Anti-Maleware durchlaufen lassen (gegenenfalls vorher alle Cookies und so löschen)
4. Fehlerüberprüfung deiner Laufwerke machen lassen ---> Eigenschaften -> Extras

Zumindest habe ich ihn so losbekommen ! Kann natürlich sein das du Schritt 2, 3 und 4 Wiederholen musst .

 

[Zero]

Ich kann dir nur sagen wie ich es damals gemacht habe ^^

1. PC im abgesicherten Modus starten ---> zumindest konnte ich bei mir nur so überhaupt was machen
2. Das BKA - Ding aus der Registry löschen --> Der Pfad wird ja im Internet angezeigt
3. Virenprogramm und Anti-Maleware durchlaufen lassen (gegenenfalls vorher alle Cookies und so löschen)
4. Fehlerüberprüfung deiner Laufwerke machen lassen ---> Eigenschaften -> Extras

Zumindest habe ich ihn so losbekommen !

so ists auch richtig.
aber nami hatte vor kurzem schon mal was. gehabt.
Man kann es so lösen.

Aber da auch sein system schon altersschwächen zeigt, habe ich mich diesmal für reinstall entschieden.

 

[~*Kuroi Kira*~]

Naja ich hab immernoch Windows XP aufm Rechner...also sage noch mal das Nami's System Altersschwächen hat xD
War damals auch kurz davor das System neu aufzulegen, aber nachdem dann wieder alles normal lief hab ich es gelassen, warum verändern wenn es funktioniert ^^

 

[shazor]

Also ich hatte diesen blöden Trojaner glaube ich schon insgesamt 4-6 Mal auf 3 verschiedenen Rechner gehabt und jedes mal musste ich den anders entfernen, da Er halt "angepasst" wurde. Mal war s ne .exe, die man im %appdata% Ordner entfernen musste, mal hab ich die .exe mit dem Taskmanager zurückverfolgt und mal habe ich ein extra Tool dafür verwendet. Was ich damit jetzt sagen will ist, wenn man jetzt einmal ne Lösung gefunden hat, muss das nicht gleich heissen das die für immer hilft.

 

[Monsty]

Ich hatte den Trojaner auch bei vielen verschieden Rechnern gehabt.
Im Autostartordner gab es bei mir eine Exe-Datei (Name immer anders)
Wenn man diese Datei mit Editor geöffnet hat gab es ein Pfad der bei Windows 7 auf den APPDATA führte und da lag die Exe Datei drin.
Diese musste man einfach löschen.

Es gibt eine Seite die sich mit dem BKA-Trojaner beschäftigt hat: www.bka-trojaner.de
Da sind die verschiedene Versionen aufgelistet und die dazugehörige Löschmöglichkeit

 

[| Nami |]

Das kleine "Problemchen" hat sich jetzt erledigt, leider ließ sich der Trojaner nicht komplett manuell entfernen, trotz eurer Anleitung, so dass ich um ne Neuaufspielung nicht drum rum gekommen bin, bedanke mich aber dennoch für eure Hilfe.
Wie gut, das man IT Spezialisten in seiner Nähe hat, die einem kostengünstig helfen.^^
*closed