`Hi,

ich hatte eben diese Ukash / Bundespolizei Meldung,
als ich mir ne eine Doku im Internet anschauen wollte.

Ich frage mich nun, wie ich das Teil überhaupt kriegen konnte.
Hatte jetzt 8 Jahre keinen Virus, bin mega vorsichtig, weiß was ich tue im Netz, lade keinen Müll runter, klicke keine Anhänge oder Kettenlinks an und habe sowohl Firefox als auch Windows immer alle relevanten Updates.

Deshalb frage ich mich: Kann das auch nur ne Ausnutzung der Fullscreen Anzeige / Firefox gewesen sein, oder kann ich jetzt sicher sein, das Teil zu haben?
Weil das würde mich mega verunsichern weil es kam definitiv nur durch den Seitenbesuch! Hab nachdem ich Reset gedrückt habe, nichts mehr von der Meldung zu sehen bekommen?!

Ich kann mir nichts vorwerfen an Fahrlässigkeit und das macht mich wütend.
Bitte um Hilfe! Tausend Dank!

Logs sind im Anhang. Habe eure Anleitung gefolgt.
Windows 7 64 Bit, aktuelles Updates nutze ich.
Comodo Internet Security (Virus/Firewall) nutze ich.

hi,
kannst du mir den link zu der seite als private nachicht senden?

Zitat:

Zitat von markusg

hi,
kannst du mir den link zu der seite als private nachicht senden?

You got Mail.

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Lt. Comodo Defense+

"C:\Windows\SysWOW64\cmd.exe"
--> Datei ändern "C:\Users\***\AppData\Local\Temp\0.4823209580526949.exe"
(Die Datei wurde, wie ich sehe, von Comodo in die Quarantäne verlegt, hab Sie nun gelöscht)
cmd.exe laut virustotal.com virenfrei.

und

"C:\Users\***\AppData\Roaming\mahmud.exe"
--> Speicherzugriff auf "C:\Windows\explorer.exe"
(mahmud gelöscht per Hand)

und

"C:\Users\***\AppData\Roaming\mahmud.exe
--> Schlüssel ändern: "HKUS\S-1-5-21-3255405496-1128040137-2256514493-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
(mahmud gelöscht per Hand)


Maleware Scan läuft noch.
Kann ich große Multimedia-Platten vom Scan ausschließen?
Das wird noch sonst ewig dauern!

Leider war Comodo zwischendurch aus ... und seit dem Reset auch keine Meldung mehr --> explorer.exe übernommen?!
Meldung gabs immernoch nicht :/

ja die platten kannst du ausschließen.
evtl wollte die exe die explorer.exe patchen.
cmd.exe führte evtl. ein script aus, zum instalieren zb

Zitat:

Zitat von markusg

ja die platten kannst du ausschließen.
evtl wollte die exe die explorer.exe patchen.
cmd.exe führte evtl. ein script aus, zum instalieren zb

Kann ich nun einfach auf "Suchlauf abbrechen klicken" und kriege den Log?

ist c denn schon komplett durch? ich weis es jetzt nicht 100 %ig aber du solltest eines bekommen

Zitat:

Zitat von markusg

ist c denn schon komplett durch? ich weis es jetzt nicht 100 %ig aber du solltest eines bekommen

Ich hatte ja vorher bereits die genannten Multimedialaufwerke mit am Scannen.
Mit denen fängt er gerade an, die Kritischen hat er schon. Deswegen wollte ich abbrechen. Passt das?

Hier mein Suchdurchlauf.
Scheint sehr durchsichtig ... erstmal.

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8290

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

02.12.2011 17:39:03
mbam-log-2011-12-02 (17-38-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|J:\|)
Durchsuchte Objekte: 670026
Laufzeit: 1 Stunde(n), 4 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\***\AppData\Local\Temp\RarSFX0\mKMSAct.exe (PUP.Hacktool) -> No action taken.

Hab leider verkackt, den Haken zu setzen
Aber ich scanne C:\ gerade nochmal durch!

Waren noch ein paar andere Funde, das waren aber eher Risktools (Eins connected meinen Router neu, eins kann Passwörter lesen, falls ich mal wieder eingegebene vergessen habe)
Ich hab die Funde extra weg, die Programme hab ich seit Jahren und sind def. harmlos.

Die obige .exe sagt mir allerdings nichts.

scheint aus nem irar archive in den temp dateien zu kommen.
können wir dann ja mit dem CCleaner löschen

Zitat:

Zitat von markusg

scheint aus nem irar archive in den temp dateien zu kommen.
können wir dann ja mit dem CCleaner löschen

Wird gemacht.
Wie sieht es sonst aus?

Hab irgendwie ein bedrückendes Gefühl, nachdem Comodo Defender+ diese Zugriffe da bemerkt und wohl geblockt hat ... -.- was kann ich noch tun?
Ich wär bereit zu formatieren, wenn es sein muss ... hab auf C: eh nur Windows und die anderen Sachen ausgelagert ... aber hab Angst,
dass ggf. was auf nem anderen Laufwerk sitzt? Wie geh ich vor?

Nutze den PC für chipTAN.
Das mein Hauptproblem.

sieht eig gut aus und ich sehe keinen grund zu formatieren.
chiptan ist gut :-)

Zitat:

Zitat von markusg

sieht eig gut aus und ich sehe keinen grund zu formatieren.
chiptan ist gut :-)

Was ist denn dann genau passiert?
Hat Comodo mich gerettet?
Oder liegts an 64bit? Hab gelesen das der Trojaner dort zum Teil nicht funktioniert.

UNd sind die Logs da von Comodo nicht bedenklich?
Und kann die Maleware was gegen Chiptan machen?

Sorry das ich so nachfrage.
Bin davon ausgegangen das man "Nicht sicher sein kann"
Gibts nochn spezielles Tool gegen diesen Trojaner oder einen anderen Scanner, den ich für mein Gefühl nochmal laufen lassen kann?

hi,
diese malware konnte nicht aktiev werden, da du nicht neu gestartet hast, außerdem scheint comodo alle aktionen aufgehalten zu haben.
diese malware ist relativ primitiv, sie zeigt halt nur eine zahlungsaufforderung, läd aber nichts nach ooder so.
wenn dir das zu unsicher ist, können wir formatieren und das system neu aufsetzen und absichern, das ist kein problem
und nachfragen ist auch in ordnung :-)