BKA-Virus auf Windows 7

[SuperSam]

Hallo Forum,

vor kurzem erschien bei meiner Freundin beim Öffnen von Mozilla Firefox ein Fenster mit diesem Aussehen:

http://bka-trojaner.de/screenshots/bka-trojaner18.jpg

Sie hat den Browser schnell wieder geschlossen, sodass ich nun nichts nachverfolgen kann etc.

Inzwischen habe ich verschiedene Viren-Programme drüber laufen lassen in dieser Reihenfolge:

Kaspersky Internet Security
Avast EU-Cleaner
Windows Defender
Malwarebytes Anti-Malware
Microsoft Security Essentials

Das einzige Programm, dass etwas gefunden hat war Malwarebytes Anti-Malware mit diesem Ergebnis:

Zitat:

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.02.08.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
XXX :: XXX [Administrator]

Schutz: Aktiviert

08.02.2014 14:39:21
MBAM-log-2014-02-08 (20-13-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 295576
Laufzeit: 1 Stunde(n), 2 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCR\CrossriderApp0047718.BHO (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0047718.BHO.1 (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0047718.Sandbox (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0047718.Sandbox.1 (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Keine Aktion durchgeführt.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Keine Aktion durchgeführt.
HKCU\Software\InstalledBrowserExtensions\Plus HD (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Plus-HD-5.0 (PUP.Optional.PlusHD.A) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{11111111-1111-1111-1111-110411771118} (PUP.Optional.CrossRider.M) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \PreApproved\{11111111-1111-1111-1111-110411771118} (PUP.Optional.CrossRider.M) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Daten: 0X2O1C0R2R1R -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc (PUP.Optional.Updater) -> Keine Aktion durchgeführt.

Infizierte Dateien: 6
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\UpdateTask.exe (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\config.dat (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\prod.dat (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\STTL.DAT (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Users\XXX\AppData\Roaming\DigitalSites\UpdatePr oc\TTL.DAT (PUP.Optional.Updater) -> Keine Aktion durchgeführt.
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Keine Aktion durchgeführt.

(Ende)

Ist mein System jetzt wieder "sicher"? War es überhaupt gefährdet? Diese Meldung kam nur ein einziges Mal beim Öffnen von Mozilla Firefox.
Meine Freundin hatte einen Tag vorher etwas installiert, was sie aber sofort wieder gelöscht hat. Sie weiß leider auch nicht mehr wie es hieß (wohl ein Kalkulationsprogramm). Danach habe ich mehrere verwundernswerte Programme gefunden, die ich ebenfalls versucht habe zu löschen (anscheindend ohne Erfolg) - z.B. dieses HD-Plus-5.0.

Was könnt Ihr mir empfehlen? System auf Zeitpunkt davor zurücksetzen? Das System komplett neu aufsetzen?

Grüße
SuperSam

[Hawi]

Dein Logfile ist nicht besonders aussagekräftig. "PUP" steht für Potentially Unwanted Program, also nicht unbedingt eine unmittelbare Bedrohung, sondern eher Lästiges.
Ich kann dir noch Avast Browser Cleanup und AdwCleaner empfehlen. Damit müsstest du die AdWare-Reste los werden.

[Christoph]

Malware-Remover findest Du auch in diesem Thema:
http://www.wcm.at/forum/showthread.p...rn-247340.html

Sonst ggf. eine Rescue-Disk verwenden.

[SuperSam]

Kann ich den Computer danach wieder sicher nutzen? War/Ist es überhaupt ausspionierende Software?

Zitat:

# AdwCleaner v3.018
# Option : Löschen

***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Program Files\MyPC Backup
Ordner Gelöscht : C:\Users\XXX\AppData\Roaming\Systweak
Ordner Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\ICQToolbarData
Ordner Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\SweetPacksToolbarData
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\searchplugins\icqplugin.xml
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\searchplugins\icqplugin-1.xml
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\searchplugins\icqplugin-2.xml
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\searchplugins\SweetIm.xml
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\user.js
Datei Gelöscht : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\q9fpta1n.default\user.js

***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\systweakasp_rasapi 32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\systweakasp_rasman cs
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASAPI3 2
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASMANC S
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550455775518}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660466776618}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440444774418}
Schlüssel Gelöscht : HKCU\Software\dsiteproducts
Schlüssel Gelöscht : HKCU\Software\installedbrowserextensions
Schlüssel Gelöscht : HKCU\Software\systweak
Schlüssel Gelöscht : HKLM\Software\systweak

***** [ Browser ] *****

-\\ Mozilla Firefox v26.0 (de)

[ Datei : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\m7pnfwj8.default\prefs.js ]

Zeile gelöscht : user_pref("extensions.crossrider.bic", "143ba485814138f0074a0254240105cd");
Zeile gelöscht : user_pref("icqtoolbar.allowSendURL", false);
Zeile gelöscht : user_pref("icqtoolbar.engineVerified", true);
Zeile gelöscht : user_pref("icqtoolbar.geolastmodified", 1305136453);
Zeile gelöscht : user_pref("icqtoolbar.hiddenElements", "itb_options");
Zeile gelöscht : user_pref("icqtoolbar.history", "audi%20a6%20avant%202005||tv%20programm||ein%20he rz%20und%20eine%20seele||google||elgoog||elgooog|| gmx||cache%3AwCDAjjCIHFAJ%3Awww.marxists.org%2Fdeu tsch%2Farchiv%2Ftr[...]
Zeile gelöscht : user_pref("icqtoolbar.icqgeo", 49);
Zeile gelöscht : user_pref("icqtoolbar.installTime", "1299571664");
Zeile gelöscht : user_pref("icqtoolbar.installsource", "1");
Zeile gelöscht : user_pref("icqtoolbar.newtab_state", "1");
Zeile gelöscht : user_pref("icqtoolbar.numberOfSearches", 0);
Zeile gelöscht : user_pref("icqtoolbar.previousFFVersion", "3.6.13");
Zeile gelöscht : user_pref("icqtoolbar.skip_default_search", "no");
Zeile gelöscht : user_pref("icqtoolbar.suggestions", false);
Zeile gelöscht : user_pref("icqtoolbar.uniqueID", "123608435012360843501236933019416");
Zeile gelöscht : user_pref("icqtoolbar.usageStatstTimestamp", 1268648813);
Zeile gelöscht : user_pref("icqtoolbar.version", "1.1.9");
Zeile gelöscht : user_pref("icqtoolbar.xmlEnableSuggestions", false);
Zeile gelöscht : user_pref("icqtoolbar.xmlLanguage", "de");
Zeile gelöscht : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.VisibilityGu ardLastUnHide", "0");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.Visibility.intervaldays ", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.DisableOveride.enab le", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.HideOveride.enable" , "true");
Zeile gelöscht : user_pref("sweetim.toolbar.cda.RemoveOveride.enabl e", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.height", "335");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff_1_6.html");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.0.width", "761");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.height", "300");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.1.width", "500");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handler.js");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.height", "150");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");
Zeile gelöscht : user_pref("sweetim.toolbar.dialogs.2.width", "530");
Zeile gelöscht : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.google.com/.*|.*.google.co.in/.*|.*.google.com.br/.*|.*.google.es/.*|.*.youtube.com/.*|.*.yahoo.com/.*|.[...]
Zeile gelöscht : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0") ;
Zeile gelöscht : user_pref("sweetim.toolbar.logger.ConsoleHandler.M inReportLevel", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.File Name", "ff-toolbar.log");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MaxF ileSize", "200000");
Zeile gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MinR eportLevel", "7");
Zeile gelöscht : user_pref("sweetim.toolbar.mode.debug", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.addcontextdiv ", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.enable", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.addcontextdiv ", "true");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.addcontextdiv ", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.callback", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..*|.*.y ahoo..*|.*.youtube.com.*|.*ask.com.*|.*.sweetim.co m.*");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.enable", "false");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");
Zeile gelöscht : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?si=3104&tid=chff1");
Zeile gelöscht : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engine=\"hxxp://*google.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://search.yahoo.com/*\" param=\"[...]
Zeile gelöscht : user_pref("sweetim.toolbar.search.history.capacity ", "10");
Zeile gelöscht : user_pref("sweetim.toolbar.simapp_id", "{223EB0FA-25C6-11E2-AA58-0019B94E5ECA}");
Zeile gelöscht : user_pref("sweetim.toolbar.version", "1.6.0.3");

[ Datei : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profi les\q9fpta1n.default\prefs.js ]

[SuperSam]

Der Avast Browser Cleanup hat nichts gefunden, ich habe hier auch keine Toolbars drauf auf der Krücke

[Hawi]

AdwCleaner hat dir den ICQ-Toolbar und den Sweetim-Toolbar gelöscht, da findet Avast Browser Cleanup anschließend nichts mehr.

Nachdem du ohnehin schon jede Menge Malware-Scanner ohne Ergebnis drüber laufen hast lassen, würde ich mir kein Kopfzerbrechen mehr machen.

[Christoph]

Der alte Rat, ich würde auch eine Sicherung/Backup machen, von vorher gibt´s sowas wahrscheinlich nicht.
Damit wäre, durch Zurückspielen, das Problem leicht zu lösen gewesen.

[SuperSam]

Naja ein Backup habe ich schon, aber eben nur, als Windows neu drauf war ohne meine Dateien.
Ich müsste halt Wöchentlich ein Backup machen...hm...

Gut, Danke schonmal!

[Christoph]

Das würde ich wärmstens empfehlen, zumindest von den Partitionen/Ordnern mit den Systemdateien und den Daten.