der Trojaner wird regelmäßig modifiziert, damit er sich wieder an den gängigen AV-Programmen vorbeimogeln kann.

Der Weg über die Systemwiederherstellung repariert überschriebene Dateien (dieser Trojaner überschreibt aber nichts, das ist einer seiner Tricks, die AV-.Programme zu überlisten) und die manipulierte Registry wird durch eine ältere, noch saubere Version ersetzt. Danach startet der Rechner wieder “sauber”. Aber die Dateien des Trojaners sind noch da, sie sind nur nicht mehr aktiv. Die Dateien müssen also noch weg und das macht am besten ein AV-Programm Deines Vertrauens. Wenn jetzt nichts gefunden wurde, ist das nicht schlimm. Wiederhol es einfach in ein paar Tagen noch mal. Es ist ohnehin eine gute Idee, einmal die Woche einen Komplettscan zu machen.

nachdem ich den DE-Cleaner gestern 3 Stunden laufen ließ und er drei Schadsoftwares gefunden hatte, aber noch lange nicht am Ende war, habe ich abgebrochen und es mit der Systemwiederherstellung probiert.

Oben steht, dass man danach noch einmal einen Virenscan durchführen soll. Das habe ich mit Antivir und anschließend doch noch einmal mit dem DE-Cleaner gemacht, beide Programme haben aber nichts mehr gefunden. Kann ich davon ausgehen, dass ich den Trojaner jetzt los bin?

Gruß
Seppel

die von Dir genutzte Methode ist im “Prinzip” identisch mit der hier propagierte Methode. Aber nur im Prinzip. Denn Du stehst unter Zeitdruck und Du mußt ALLE Prozesse des Trojaners killen, sonst bringt die Systemwiederherstellung nicht den gewünschten Erfolg.

Und genau das ist Dir passiert. Ein Teil des Trojaners ist nach wie vor aktiv, weil er schon/noch aktiv war, als Du das System wiederhergestellt hast. Der Apache ist ein Webserver, der dürfte lokal laufen, aber nicht das finden, was er darstellen soll.

Was Du nun machst? Erst mal das System mit der Not-CD eines Backupprogramms starten und ein Backup der Daten machen, falls noch nicht geschehen.

Danach kannst probieren, ob der hier beschriebene Weg noch funktioniert. Nimm aber einen älteren Wiederherstellungspunkt, denn es ist möglich, das der Wiederherstellungspunkt, den Du schon benutzt hast, inzwischen auch infiziert ist.

Falls das nicht funktioniert, würde ich ernsthaft eine Neuinstallation in Erwägung ziehen.

So entfernen Sie den Ukash-Trojaner (BKA-Trojaner):
1. Starten Sie den mit dem Ukash-Trojaner (BKA-Trojaner) infizierten PC.
2.Sobald nach der Anmeldung der Desktophintergrund sichtbar ist, drücken Sie die Tastenkombination [Strg] + [Alt] + [Entf]. Machen Sie dies mehrmals hintereinander: Solange, bis sich der Taskmanager öffnet. Unter Windows 7 klicken Sie auf Task-Manager starten.
3.Wechseln Sie in den Karteikartenreiter Prozesse.
4.Der Ukash-Trojaner beziehungsweise BKA-Trojaner versteckt sich hinter teils zufallsgenerierten Namen wie eloxor.exe und jashla.exe. Stoppen Sie alle verdächtigen Anwendungen, indem Sie den Eintrag markieren und auf die Schaltfläche Prozess beenden klicken.
5.Im nächsten Schritt starten Sie die Systemwiederherstellung von Windows. Das heißt, Sie setzen Ihr System auf ein Datum vor der Infizierung mit dem Ukash-Trojaner (BKA-Trojaner) zurück.

bin ich bis dahin gekommen.
rechner startete nach der systemwiederherstellung, es kam auch erst mein normales desktopbild. nach ein paar sekunden kam aber ein neuer bildschirm vom “APACHE 2 Test Page” im voller größe ohne das ich da ein fenster schließen kann.
was kann ich da machen, kann mir wer weiterhelfen.
rechner hat vista drauf.

wünsche Dir viel Erfolg dabei. Aber die Sicherungskopie solltest Du immer ziehen. Egal wie Du die Reinigung versuchst. Es kann immer was schiefgehen.

Die Methode über die Wiederherstungskonsole hat den Charme, dass sie bis jetzt immer funktioniert hat, obwohl der Trojaner mindestens ein “Update” pro Woche bekommt und deshalb immer wieder aktuelle Antivirenprogramme überlisten kann. Und man hat schnell wieder ein System, mit dem man arbeiten kann. Die Grundreinigung kann man notfalls auch einen Tag später machen.

Gruß Holger

ich bin seit heute auch ein Opfer. Leider habe ich keine Möglichkeit, kurzfristig eine Sicherungskopie anzufertigen, daher probiere ich es erst mal mit dem DE-Cleaner von AVIRA.