Virus auf meinem PC- operation barro

Hi ich habe vor ca 2 Monaten beim Download eines ButtonMakers die Meldung bekommen dass sich "barrò" in das netzwerk einhacken will.
Ich habe ihn gesperrt, aber die sache kam mir komisch vor.
Jetzt habe ich beim deaktivieren des Autostartes für xampp folgendes entdeckt:

Programm: bdytokf
Pfad: C:/dokumenteundeinstellungen/User/lokaleEinstellungen/anwendungsdaten/bdytokf.exe bdytokf (ich habe ihn jetzt nur aufgelistet und nicht ganz auf die richtigkeit geachtet;D)

Jetzt habe ich die Datei gesucht und tatsächlich:
Im Verzeichnis liegt:
bdytokf.exe
bdytokf.dat
bdytokf_navps.dat
Und außerdem (weiß ich ob die dazu gehören):
GDIPFONTCACHEV1.DAT
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
IconCache.db

Also bei der bdytokf.exe steht außerdem in den Eigenschaften:
Version 9.0.9.4.
Datum: 02.10.2009
und operanté barró

ich bin mir zu 100% sicher dass es ein Virus, wurm und was weiß ich ist.
Der Prozess läuft auch im TaskManager ich habe ihn jetzt beendet.
Problem ist aber:

Ich habe mit avast, a-squared Free, Malwarebytes Anti Malware das überprüft und die haben nix gefunden.

Ist es wirklich ein virus und wie kann ich ihn ausschalten?

 

Lass die Dateien mal bei Virustotal scannen.
Wenn auf dem PC aber schon seit 2 Monaten ein Virus oder Trojaner aktiv ist, ist es für Rettungsmaßnahmen viel zu spät. Da können alle persönliche Daten, Passwörter usw. ausgespäht sein.
Wer hat die Meldung damals gebracht? Wollte "barrò" ins Interent oder vom Internet auf den PC zugreifen? Das ist ein erheblicher Unterschied.
Im ersten Fall ist der PC bereits kompromittiert, im zweiten Fall ist mit dem Blockieren die Sache erledigt.

 

Das kann ich dir nicht genau so sagen ich habe ihn damals geblockt und bei ZoneAlarm stehen 4 rote X.
Ich kann dir aber mal eine kleine Auflistung aus dem Programm zeigen:

Die Datei verlangt nach dem Anschalten 5mal Zugriff nach 2sec gleich nochmal 5 mal Zugriff danach lässt es mich für 1h und 1min in Ruhe dann der gleiche Intervall.
Programm: bdytokf.exe
quell-ip: -
ziel-ip: 91.209.163.1(7/8)X.80
Richtung: Ausgehend (Verbindung herstellen) und im unregelmäßigen Abstand Daten
Maßnahme: Gesperrt
Anzahl: unregelmäßig zwischen 1 und 5

Jetzt kommt es:
Ziel-DNS:
Bei Anzahl 1 gar keins.
Bei mehr nicht draufklicken1
nichtdraufklicken2 weiß auch net genau ob der link ganz korrekt ist
und neuerdings: nicht draufklicken wem sag ich das
Dann schickt der irgendwie noch was an mein postfach:
Smtp
jetzt hat er auch noch die mit Anzahl 1 versehen nämlich mit:
kennichnet

Bei 5 (aber das gibt es selten):
nicht draufklicken


So nun was tun

Virustotal sagt jetzt:

bdytokf.exe
Ich hoffe ich konnte meinen Teil tun

 

http://www.pcwelt.de/forum/sicherhe...fall-posten-bitte-abarbeiten.html#post1940399
Malwarebytes könnte bereits einiges entfernen können.
Wenn es nur Adware ist, ist es nicht so schlimm. Bei Trojanerbefall solltest du das Betriebssystem neu aufsetzen.

 

Und bei mir stehen bei ZoneAlarm 4 extra große rote !!!!
Warum? Darum:

Wenn du schon eine Datei hast die nach Hase telefonieren will und du sie nicht zweifelsfrei als gutartig kennst ist dein System schlichtweg schon längst über den Jordan.
Und Ob da schon Dinge wie Kontodaten und Passworte beim Fremden rumgeistern, da will ich gar nicht drüber nachdenken.

Diese Datei ist an ZoneAlarm vorbei ins System gekommen [oder von dir ›gekommen worden‹??] und hat dort längst Unfug getrieben. Dass ZA nun bimmelt ist der Abgesang dieser DummyFierwall und deines Systems!!

 

Also @deoroller Malwarebytes hat bei mir ja nix gefunden.+
Würde es nicht reichen wenn ich den Autostart da ausschalte? Dann startet das Programm ja nicht mehr und wird bei mir auch nicht mehr im Taskmanager verzeichnet.

Also ich habe mir immer noch einen Button Maker runtergeladen die Sache kam mir sowieso komisch vor, aber da ich wirklich keinen besseren gefunden hatte als Freeware sollte es der sein.

Wer ist den schon so blöd und macht Online-Banking
Ich nicht also immerhin.
Eine Frage hätte ich noch:
ZoneAlarm zeigt die Aktionen als geblockt an.
Wurde die wirklich geblockt oder haben die sich dann einen anderen Weg gesucht?

gruß und vielen Dank windowsmayo

 

http://www.pcwelt.de/forum/sicherhe...fall-posten-bitte-abarbeiten.html#post1940399

Hast du MBAM geupdatet und einen vollen Systemscan ausgeführt?
Wo sind die Logs?

 

Also zuerst einmal ich habe bdytokf aus dem Autostart rausgemacht.
Ich hoffe dass das richtig ist. Es sendet auch keine Daten mehr.

Also. Verdacht und Name dürften bekannt sein.
Es heisst bdytokf.exe Pfad habe ich im 1ten Post angegeben.
Ich habe nur C:/ gescannt, weil D:/ zulange gedauert hätte.
Wenn Interesse besteht tu ich das auch noch, aber da sich bdytokf auf C:/ befindet hat das erstmal Vorrang.

Bei MBAM hat er was gefunden aber was anderes. Ich habe es jetzt in die Ingrorierliste verschoben...
gruß

 

Den Eintrag noch löschen
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue)

 

wie geht das sorry das ich frage

 

Ich weiß immer noch nicht wie ich die andere Sache löschen kann.

aber wichtiger ist:

bdytokf.exe hat sich wiederbelebt

Ich habe sie 2mal aus dem Autostart verbannt, aber sie belebt sich irgendwie wieder.
HILFE

 

Hartnäckiges Zeug:
System platt machen und neu aufsetzen.

 

Gut eine Frage:
was würde passieren wenn ich die Datei einfach lösche?

2) Wie bekomme ich diesen Residence Rogue weg?
Der befindet sich HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) und ich weiß net wie ich den wieder weg bekommen sollte.

 

habs mal

 

Damit mal den PC booten und Viren entfernen http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html

 

Vielen Dank!

Verträgt sich das mit avast???

 

bitte

über systemsteuerung/software deinstallieren.
sollte das nicht funktionieren, navilog1 drüberjagen und die logs posten.
http://virus-protect.org/artikel/tools/navilog.html

 

Achso hatte mich schon gefragt, was das Bild immer soll
was ist das denn für ein Programm? Jedenfalls ist es deinstalliert
ah ok ich weiß jetzt es dank dem Chip-Experten für Malware

 

das ist der mist, der für bdytokf.exe + kameraden verantwortlich ist.
sollte die angelegenheit sich damit nicht erledigt haben, dann wie erwähnt navilog1 drüberjagen.
desweiteren bitte eine schwachstellenanalyse durchführen und die gemeldeten probleme beheben.
http://secunia.com/vulnerability_scanning/personal

 

Also bei Secunia habe ich ne Score von 77% .
37 Unsichere
10 Veraltete
155 Aktualisierte


Nur ist es komisch dass er Sachen findet die ich schon aktualisiert habe, Beispiel Opera.
Ich werde es jedenfalls die Programme jetzt schnell mal updaten bzw. alte Sachen löschen .
Vielen Dank für den Link!