[Windows Vista-32 bit] Bundeskriminalamt Trojaner

Hallo,

ich wurde darauf hingewiesen bitte einen eigenen Thread zu erstellen.
Also mach ich das auch

Ich habe den BKA-Trojaner auf meinem Laptop.
Habe dort Vista drauf (leider keine Ahnung ob 32 oder 64 bit) auch schon eine Live-CD mit ubuntu erstellt.
Den PPFScanner habe ich ebenfalls schon installiert und versucht auszuführen.
Habe ihn mit wine zum laufen bekommen jedoch führt er das Script "Remotescan.scp" nicht richtig aus.

Bekomme als ersten den Hinweis:
"Privilege not held"
Kann ich mit ok bestätigen.
Danach wird etwas gemacht. Nach 20-30 Sekunden kommt dann die Meldung:

"The last scripting line has not been executed correctly! Abort Scripting now?"

Was kann ich tun um diesen Trojaner zu entfernen?

Bitte helft mir!!

Danke

[AHT]

Eine Live-CD mit Ubuntu nutzt uns nichts.

• Von hier Vista Reparatur-CD herunterladen.
• Die ISO Datei mit ImgBurn auf eine CD brennen.

Lade dir dort die 64Bit Version. Es entsteht eine Bootbare CD - probiere aus, ob der virenbefallene Rechner damit bootet. Wenn die CD fertig ist, melden. Desweiteren bitte hier anmelden - es dauert sonst länger, bis deine Beiträge erscheinen.

[AHT]

Ist die CD ferig:

• USB-Stick mit dem PPFScanner in den Rechner einstecken und von der CD booten.
• Sprache einstellen und auf Next bzw. weiter klicken

• Reparaturoptionen der CD aufrufen.

• Windowsinstallation auswählen.

• Eingabeaufforderung starten.

• Notepad eingeben und ENTER drücken (Sinn der Sache: Explorerfunktionen schaffen).

• In Notepad auf Datei und Öffnen... klicken und den Dateityp auf Alle Dateien stellen.

• Bei "Suchen in" USB-Stick auswählen und den Ordner öffnen, in dem der Scanner sitzt.

• Jetzt Rechtsklick auf die EXE des Scanners und als Administrator ausführen anklicken.

• Im Menü des PPFScanners unter Programm auf Script laden und ausführen klicken.

• Im daraufhin erscheinenden Dialog die Datei Remotescan aus dem Ordner auswählen, in dem sich der Scanner befindet und öffnen klicken.

• Die Sicherheits-Messagebox mit Ja bestätigen.

• Im dann erscheinenden Dialog muss der Windows Ordner (in der Regel C:\Windows) und der Ordner mit den Userdaten (C:\Benutzer\Name_des_Users oder C:\Users\Name_des_Users) ausgewählt werden. Dazu auf die kleinen Ordnersymbole klicken.

• Danach auf OK klicken, um den Scan zu starten.
• Beendet sich der Scanner, ist der Scan abgeschlossen (etwa 40Minuten dauert das). Es befinden sich dann im Unterordner PPF_Scan1 des Scanners einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

[tracking]

Ok danke erstmal.
Musste aber die 32 bit-Version nehmen.
Der scanner läuft jetzt.
Ich melde mich später mit den links wieder.

[AHT]

Bin erst heute Abend wieder am Rechner. Ich schreibe dir dann von den Daten des Scans ein Script, was dir den Desktop erst mal zurückholt.
Danach folgen noch weitere Sachen, um den Rechner endgültig zu bereinigen.

[tracking]

So ich hoffe ich habe alles soweit richtig gemacht.
Hier die Links:

File-Upload.net - Files.txt
File-Upload.net - Firewall.txt
File-Upload.net - MD5.txt
File-Upload.net - ppFiles.txt
File-Upload.net - ppRegistry.txt
File-Upload.net - Scripting.txt
File-Upload.net - Services.txt
File-Upload.net - Warnings.txt

[AHT]

• Von hier Script für den PPFScanner herunterladen und in den Ordner auf dem USB-Stick kopieren, in dem sich der PPFScanner befindet: File-Upload.net - delete_BKA_trojaner_3.scp
• USB-Stick mit dem PPFScanner in den heruntergefahrenen virenbefallenen Rechner einstecken.
• Rechner von der Rettungs-CD booten.
• PPFScan.exe wie vorher vom USB-Stick starten.
• Im Menü des PPFScanners unter Programm auf Script laden und ausführen klicken.
• Das heruntergeladene Script delete_BKA_trojaner_3.scp auswählen.
• Die Sicherheits-Messagebox mit Ja bestätigen.
• Konnte das Script erfolgreich ausgeführt werden, beendet sich dann der Scanner. Versuche danach, den Rechner neu zu starten (ohne CD). Einmal bitte kurz melden, ob der Desktop wieder zu sehen ist.

[tracking]

Ich habe gerade versucht das script auszuführen.
Nach dem auswählen steht unten in der leiste "ungültiges script!"
Auch die messagebox kam nicht.

[AHT]

Was steht im rechten Textfeld als Meldung in blauer Schrift? Welche Zeile?

[tracking]

Hab einen fehler beim laden gemacht.
Editiert da unnötiger platzverbrauch.

[AHT]

Du solltest bei dem Link eigentlich auf den Button Download klicken, um die Datei herunterzuladen... Hast du das getan?

[tracking]

Ja das habe ich gemacht.
Die Datei die ich geladen hab heißt "delete_BKA_trojaner_3.scp" und hat eine Größe von 12,7kb

Edith:
Habe es nochmal versucht zu laden. Die Datei ist jetzt größer.
Ich versuche es nochmal und ,elde mich wieder.

[tracking]

So jetzt hat es funktioniert.
Desktop ist wieder zu sehen.

[AHT]

• Rechner ohne CD booten.
• PPFScanner vom USB Stick starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

SEND_MESSAGE->188.118.139.10
->81
->Hallo, ich sende Datei...
SLEEP->60000
SEND_FILE->188.118.139.10
->81
->C:\PPFS_Sicherung\BKA.vir

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Wenn deine Firewall meckert, erlaube dem Scanner den Internetzugriff.
• Wenn du das durchgeführt hast, einmal melden.

[AHT]

Dann das hier tun: Malwarebytes installieren. Update ausführen. Ein kompletter Scan, alle Funde löschen und den Report wieder als Textdatei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen die Downloadlinks in Deinem Thread posten.
Führe anschließend einen System Neustart durch!