50 Euro Virus - Windows blockiert

Rennschnecke · 28.12.2011, 16:10

Hallo zusammen.
Ich habe mir nun anscheinend auch den 50 Euro-Virus eingefangen.
Habe hier im Forum schon ein paar Posts dazu durchgelesen, habe den Virus allerdings noch nicht von meinem Laptop bekommen und hoffe daher auf eure Hilfe.
Mein Systemprogramm ist Windows 7 und ich benutze google chrome als browser.
Zum Virus: Sobald ich den Laptop hochfahre, kommt ein schwarzer Bildschirm und die Anzeige, dass mein Laptop aus Sicherheitsgründen blockiert wäre und ich 50 Euro bezahlen müsste, um dies wieder auf zu heben.
Ich hoffe ihr könnt mir weiterhelfen.
Lg

Chris4You · 28.12.2011, 16:32

Hi,
OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

chris

Rennschnecke · 28.12.2011, 18:00

Danke für die genaue Anleitung.
Allerdings kann ich leider nur die Datei Extras.txt hochladen, da die OTL.txt die Maximalgrenze überschreitet (hat eine Größe von 114,8 KB). Kann ich die irgendwie runterbekommen bei der Datei?

Chris4You · 28.12.2011, 18:44

Hi,

packe es z.B. mit IZARC (IZArc - Download) oder zip. Bei der Installation aufpassen, dass nicht irgendwelche Toolbars mit installiert werden.

Ich brauche eigentlich mehr die andere Datei von OTL...

chris

Rennschnecke · 28.12.2011, 19:14

Danke für deine Hilfe, ich hoffe es hat nun funktioniert und ihr könnt etwas damit anfangen.

Chris4You · 28.12.2011, 19:41

Hi,

kannst Du online die zwei Dateien prüfen?
Sonst kopiere sie auf den Stick und prüfe sie auf einem sauberen Rechner aus,
aber nicht ausführen (nenne die setup.exe auf setup.exe.vir um)...
Bevor ich sie abschiesse will ich sicher sein, habe da so einen Verdacht...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Adobe\sp.DLL
C:\Windows\TEMP\ouqxbu\setup.exe ()

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag

Wow, ich bin jetzt durch, hier der erste "NotFix"...

Fix für OTL (Ucash)
Script auf CD oder USB-Stick kopieren, OTL starten und wie folgt vorgehen...
(abgesicherter Modus mit Eingabeaufforderung OTL starten dann notepad aufrufen, Script laden und Inhalt der Codebox wie u. beschrieben in OTL kopieren)

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:OTL

O4 - HKLM..\Run: [27l4ozqjbh] C:\ProgramData\27l4ozqjbh.exe ()
O4 - HKCU..\Run: [27l4ozqjbh] C:\Users\user\27l4ozqjbh.exe ()
O4 - HKCU..\Run: [iexploer.exe] C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\iexploer.exe ()
O4 - HKCU..\Run: [Microsoft® Windows Manager] C:\Users\user\M-1-25-5432-6437-5685\winmgr.exe ()
O4 - HKCU..\Run: [MSConfig] C:\Users\user\amv.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O20 - HKLM Winlogon: Shell - (C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe) -C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe ()
[2011.12.25 19:06:15 | 000,000,000 | RHSD | C] -- C:\Users\user\M-1-25-5432-6437-5685
[2011.12.28 14:57:15 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3422473100-169279631-437677769-1000UA.job
[2011.12.25 19:30:20 | 000,037,888 | ---- | M] () -- C:\Users\user\27l4ozqjbh.exe
[2011.12.25 19:30:20 | 000,037,888 | ---- | M] () -- C:\ProgramData\27l4ozqjbh.exe

:Commands
[emptytemp]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Rennschnecke · 28.12.2011, 20:33

Habe jetzt den ersten Schritt deiner Anleitung gemacht und poste dir daher nun mal die beiden Ergebnisse von der Scannung.
Für die erste Datei:
File name: sp.DLL
Submission date: 2011-12-28 19:18:13 (UTC)
Current status: finished
Result: 10/ 42 (23.8%)
VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AntiVir 7.11.20.59 2011.12.28 -
Antiy-AVL 2.0.3.7 2011.12.28 -
Avast 6.0.1289.0 2011.12.28 -
AVG 10.0.0.1190 2011.12.28 Proxy.ASMH
BitDefender 7.2 2011.12.28 -
ByteHero 1.0.0.1 2011.12.07 -
CAT-QuickHeal 12.00 2011.12.28 -
ClamAV 0.97.3.0 2011.12.28 -
Commtouch 5.3.2.6 2011.12.28 -
Comodo 11122 2011.12.28 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.12.28 -
Emsisoft 5.1.0.11 2011.12.28 Backdoor.Win32.ProxyBot!IK
eSafe 7.0.17.0 2011.12.25 -
eTrust-Vet 37.0.9650 2011.12.28 -
F-Prot 4.6.5.141 2011.12.28 -
F-Secure 9.0.16440.0 2011.12.28 -
Fortinet 4.3.388.0 2011.12.28 -
GData 22.323/22.610 2011.12.28 -
Ikarus T3.1.1.109.0 2011.12.28 Backdoor.Win32.ProxyBot
Jiangmin 13.0.900 2011.12.28 TrojanProxy.Agent.djd
K7AntiVirus 9.120.5796 2011.12.28 -
Kaspersky 9.0.0.837 2011.12.28 -
McAfee 5.400.0.1158 2011.12.28 Artemis!863858C6CEF3
McAfee-GW-Edition 2010.1E 2011.12.28 Artemis!863858C6CEF3
Microsoft 1.7903 2011.12.28 -
NOD32 6750 2011.12.28 -
Norman 6.07.13 2011.12.28 -
nProtect 2011-12-28.01 2011.12.28 -
Panda 10.0.3.5 2011.12.28 -
PCTools 8.0.0.5 2011.12.28 Backdoor.Trojan
Prevx 3.0 2011.12.28 -
Rising 23.90.02.02 2011.12.28 -
Sophos 4.72.0 2011.12.28 -
SUPERAntiSpyware 4.40.0.1006 2011.12.27 -
Symantec 20111.2.0.82 2011.12.28 -
TheHacker 6.7.0.1.366 2011.12.27 -
TrendMicro 9.500.0.1008 2011.12.28 PAK_Generic.001
TrendMicro-HouseCall 9.500.0.1008 2011.12.28 PAK_Generic.001
VBA32 3.12.16.4 2011.12.28 -
VIPRE 11317 2011.12.28 -
ViRobot 2011.12.28.4851 2011.12.28 -
VirusBuster 14.1.138.0 2011.12.28 -

Und die zweite Datei:
File name: setup.exe
Submission date: 2011-12-28 19:20:38 (UTC)
Current status: finished
Result: 15/ 43 (34.9%)
VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.12.28.03 2011.12.28 -
AntiVir 7.11.20.59 2011.12.28 TR/Proxy.Sefbov.E.7
Antiy-AVL 2.0.3.7 2011.12.28 -
Avast 6.0.1289.0 2011.12.28 -
AVG 10.0.0.1190 2011.12.28 Proxy.ASNC
BitDefender 7.2 2011.12.28 -
ByteHero 1.0.0.1 2011.12.07 Trojan.Win32.Heur.Gen
CAT-QuickHeal 12.00 2011.12.28 -
ClamAV 0.97.3.0 2011.12.28 -
Commtouch 5.3.2.6 2011.12.28 -
Comodo 11122 2011.12.28 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.12.28 -
Emsisoft 5.1.0.11 2011.12.28 Trojan-Proxy.ASNC!IK
eSafe 7.0.17.0 2011.12.25 -
eTrust-Vet 37.0.9650 2011.12.28 -
F-Prot 4.6.5.141 2011.12.28 -
F-Secure 9.0.16440.0 2011.12.28 -
Fortinet 4.3.388.0 2011.12.28 -
GData 22 2011.12.28 -
Ikarus T3.1.1.109.0 2011.12.28 Trojan-Proxy.ASNC
Jiangmin 13.0.900 2011.12.28 -
K7AntiVirus 9.120.5796 2011.12.28 -
Kaspersky 9.0.0.837 2011.12.28 Trojan.Win32.Yakes.lsa
McAfee 5.400.0.1158 2011.12.28 Artemis!E683DCC370CB
McAfee-GW-Edition 2010.1E 2011.12.28 Artemis!E683DCC370CB
Microsoft 1.7903 2011.12.28 TrojanProxy:Win32/Sefbov.E
NOD32 6750 2011.12.28 a variant of Win32/Kryptik.YCJ
Norman 6.07.13 2011.12.28 -
nProtect 2011-12-28.01 2011.12.28 -
Panda 10.0.3.5 2011.12.28 Trj/CI.A
PCTools 8.0.0.5 2011.12.28 -
Prevx 3.0 2011.12.28 -
Rising 23.90.02.02 2011.12.28 -
Sophos 4.72.0 2011.12.28 Mal/Bredo-Q
SUPERAntiSpyware 4.40.0.1006 2011.12.27 -
Symantec 20111.2.0.82 2011.12.28 -
TheHacker 6.7.0.1.366 2011.12.27 -
TrendMicro 9.500.0.1008 2011.12.28 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.28 TROJ_GEN.R3EC7LS
VBA32 3.12.16.4 2011.12.28 -
VIPRE 11317 2011.12.28 Trojan.Win32.Generic!BT
ViRobot 2011.12.28.4851 2011.12.28 -
VirusBuster 14.1.138.0 2011.12.28 -

Chris4You · 28.12.2011, 20:42

hi,

wie erwartet...
Wir müssen die zwei Saubacken noch in das OTL-Script aufnehmen,
bitte das neu Script sieht so aus:

Code:

ATTFilter

:OTL
SRV - (AMService) -- C:\Windows\TEMP\ouqxbu\setup.exe ()
SRV - (SPService) -- C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Adobe\sp.DLL ()
O4 - HKLM..\Run: [27l4ozqjbh] C:\ProgramData\27l4ozqjbh.exe ()
O4 - HKCU..\Run: [27l4ozqjbh] C:\Users\user\27l4ozqjbh.exe ()
O4 - HKCU..\Run: [iexploer.exe] C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\iexploer.exe ()
O4 - HKCU..\Run: [Microsoft® Windows Manager] C:\Users\user\M-1-25-5432-6437-5685\winmgr.exe ()
O4 - HKCU..\Run: [MSConfig] C:\Users\user\amv.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O20 - HKLM Winlogon: Shell - (C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe) -C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe ()
[2011.12.25 19:06:15 | 000,000,000 | RHSD | C] -- C:\Users\user\M-1-25-5432-6437-5685
[2011.12.28 14:57:15 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3422473100-169279631-437677769-1000UA.job
[2011.12.25 19:30:20 | 000,037,888 | ---- | M] () -- C:\Users\user\27l4ozqjbh.exe
[2011.12.25 19:30:20 | 000,037,888 | ---- | M] () -- C:\ProgramData\27l4ozqjbh.exe

:Commands
[emptytemp]
[Reboot]

Das script abfahren und nach dem Reboot dann MAM laufen lassen...

chris

Rennschnecke · 28.12.2011, 23:20

So nach einer halben Ewigkeit ist der Scan nun durch.
Hier ist der Log davon.
Momentan scheint alles zu funktionieren, also schicke ich dir schon mal ein riesiges Dankeschön für deine Hilfe! =)

Chris4You · 28.12.2011, 23:39

Hi,

sieht gut aus, viel Adware...
Morgen noch zur Sicherheit SAWS:
Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

chris

Rennschnecke · 01.01.2012, 16:29

Hallo,
ich muss schon wieder nerven kommen (und das auch noch an Neujahr).
Nachdem der Virus erfolgreich runter war, scheint er sich nun wieder eingeschlichen zu haben. =(
Hier die beiden Dateien also wieder...

Rennschnecke · 02.01.2012, 00:16

Hat sich doch schon erledigt. =)

50 Euro Virus - Windows blockiert

Plagegeister aller Art und deren Bekämpfung: 50 Euro Virus - Windows blockiert