hallo zusammen,

unser junior hat sich beim surfen den ukash-trojaner eingefangen. betroffen ist m.e. nur sein benutzeraccount "joni's pc", orvell ist offiziell installiert.

im anhang die logfiles von heute. eine 'extras.txt' hat OTL nur gestern bei meinem ersten scan-versuch erstellt - heute komischerweise nicht.

ich hoffe uns kann geholfen werden :-)

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
MOD - [2009.02.24 01:35:40 | 000,898,048 | ---- | M] () -- C:\Windows\svchost.exe
O4 - HKLM..\Run: [svchost] C:\Windows\svchost.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2009.07.21 00:35:40 | 000,399,872 | ---- | C] () -- C:\Windows\SysWow64\yrjdxrnb.exe
[2010.05.01 21:28:06 | 000,000,085 | ---- | C] () -- C:\Windows\SysWow64\gtkfjuxv.dll
[2009.02.24 01:35:40 | 000,898,048 | ---- | C] () -- C:\Windows\svchost.exe
[2008.11.18 00:35:40 | 003,391,488 | ---- | C] () -- C:\Windows\SysWow64\qkixrszq.exe
[2008.10.28 00:35:40 | 000,028,672 | ---- | C] () -- C:\Windows\SysWow64\fnzkbyeq.exe
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

hallo arne,

danke für deine anleitungen - ich habe jedoch VOR dem fix das problem, dass ich nicht herausfinden kann wie ich den mc afee virenscanner deaktivieren kann.
das hier ist nicht mein notebook, und windows 7 ist noch neuland für mich.
das notebook stammt aus dem MM und war beim kauf bereits mit der hauseigenen software, toshiba + mcafee zugemüllt. irgendwie ist ein deaktivieren-knopf nicht findbar bzw aktivierbar ... überall steht nur was von kaufen und registrieren. im web fand ich auch nichts brauchbares.

hast du auch da einen tipp für mich??

das beenden im task-manager habe ich probiert, es kamen dennoch weitere meldungen vom scanner

gruß carsten :-)

Zitat:

dass ich nicht herausfinden kann wie ich den mc afee virenscanner deaktivieren kann.

Eigentlich JEDER Virenscanner blendet ein Symbol im Systemtray (bei der Uhrzeitanzeige) an, per Rechtsklick sollte sich der Scanner da deaktivieren lassen. Wenn nicht notfalls McAfee deinstallieren.

Zitat:

hast du auch da einen tipp für mich??

Naja, du kannst das System bereinigen und den ganzen Müll danach deinstallieren oder du setzt sauber von einer "echten" Windows-DVD das Gerät neu auf. ISO von Windows7 kann man sich hier runterladen => Windows 7 – Home Premium und Professional Direkt Download Links

Vllt auch mal überlegen ob es unbedingt Windows sein muss. Surfen, Mailen, Musik und Videos anschauen geht auch völlig problemlos unter Ubuntu oder einer anderen Linux-Distro. Auf Windows ist man aber mehr oder weniger angewiesen, wenn man Programmen nutzen will, die es nur für Windows gibt.

hallo arne,

junior wird wohl bei windows bleiben 'müssen', da es hier die meisten spiele gibt und er damit auch von seiten der schule mit allen 'kompatibel' bleibt.

ubuntu jedoch eine alternative, die ich für mich selbst schon auf der beobachtungsliste habe. :-)

im systray war nichts von mc afee zu finden, ich habe alles derartige per taskmanager hart beendet. der OTL-fix ist problemlos durchgelaufen, anbei das protokoll. da ich junior's passwort nicht kenne, kann ich zur stunde noch nicht sagen, ob sein benutzer wieder clean ist und noch alles läuft. das kann er morgen selbst testen :-)

++++++++++++++++++++++++++++++++++++++++++++++++++

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\svchost deleted successfully.
C:\Windows\svchost.exe moved successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
C:\Windows\SysWOW64\yrjdxrnb.exe moved successfully.
C:\Windows\SysWOW64\gtkfjuxv.dll moved successfully.
File C:\Windows\svchost.exe not found.
C:\Windows\SysWOW64\qkixrszq.exe moved successfully.
C:\Windows\SysWOW64\fnzkbyeq.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41044 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Joni's PC
->Temp folder emptied: 73168439 bytes
->Temporary Internet Files folder emptied: 50640328 bytes
->Java cache emptied: 15845873 bytes
->FireFox cache emptied: 107467192 bytes
->Google Chrome cache emptied: 7064755 bytes
->Flash cache emptied: 103381 bytes

User: Mama
->Temp folder emptied: 1671881 bytes
->Temporary Internet Files folder emptied: 18742325 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 124365388 bytes
->Flash cache emptied: 44313 bytes

User: Public

User: Toshiba
->Temp folder emptied: 120732137 bytes
->Temporary Internet Files folder emptied: 2870866 bytes
->Java cache emptied: 32385 bytes
->FireFox cache emptied: 71951048 bytes
->Google Chrome cache emptied: 6388592 bytes
->Flash cache emptied: 42810 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 226974783 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 170898724 bytes

Total Files Cleaned = 953,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.29.1 log created on 10042011_210146

Files\Folders moved on Reboot...
C:\Users\Joni's PC\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Mama\AppData\Local\Temp\AdobeARM.log moved successfully.
C:\Users\Mama\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Toshiba\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...


++++++++++++++++++++++++++++++++++++++++++++++++++

thx und gruß carsten :-)

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!