Guten Morgen.

Auf dem Laptop meiner Freundin ist folgendes Problem aufgetaucht:

Auf weißem Hintergrund erschien ein Fenster mit der Nachricht, dass ihr PC gesperrt wurde und wegen nicht lizenzierter Software eine Strafe von 100€ zu zahlen sei. Darunter dann Hinweise auf Ucash, etc.

Nun ist sie ein wenig verzweifelt. Ich bin jetzt im abgesicherten Modus, habe OTL herunter geladen und hiermit einen Scan durchgeführt.

Die daraus entstandenen Dateien im Anhang.

Ich danke schon jetzt für Hilfe.

Grüße
Ma

Sollten mehr Daten benötigt werden, bitte fragen. Danke!

Anhang 28670

Anhang 28671

hi


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [vasja] C:\Users\Maria\AppData\Local\Temp\0.4048363667080397.exe (Orb Networks)
 :Files
C:\Users\Maria\AppData\Local\Temp\0.4048363667080397.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hallo markusg !

Vielen Dank!

Hier die Textdatei



All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\vasja deleted successfully.
C:\Users\Maria\AppData\Local\Temp\0.4048363667080397.exe moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 56475 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Maria
->Flash cache emptied: 57619 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Maria
->Temp folder emptied: 863159569 bytes
->Temporary Internet Files folder emptied: 227581346 bytes
->Java cache emptied: 618005 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 124727844 bytes
RecycleBin emptied: 6425515294 bytes

Total Files Cleaned = 7.288,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 02052012_203957

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...




Den Zipordner versuche ich gleich hochzuladen.

Auf jeden Fall funktioniert es im Moment wieder. Sehr dankbar...

Ma

Upload der Zip Datei hat funktioniert.

danke für den upload

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo.

Das Combofix Log.


Anhang 28759

hi,
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo,

danke schön. Hat gut funktioniert. Ein Trojan wurde gefunden.

Logdatei:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.07.01

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Maria :: MARIA-PC [Administrator]

07.02.2012 08:15:57
mbam-log-2012-02-07 (08-15-57).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 334219
Laufzeit: 1 Stunde(n), 38 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\02052012_203957\C_Users\Maria\AppData\Local\Temp\0.4048363667080397.exe (Trojan.VUPX.ON1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
melde dich, wenn fertig.

Updates installiert.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation 29.06.2011 UNBEKANNT
Adobe AIR Adobe Systems Incorporated 17.10.2011 3.0.0.4080 UNNBEKANNT
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 29.06.2011 10.0.22.87 NOTWENDIG
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 12.12.2011 6,00MB 11.0.1.152 NOTWENDIG
Adobe Reader 9.5.0 - Deutsch Adobe Systems Incorporated 07.02.2012 118,3MB 9.5.0 NOTWENDIG
Adobe Shockwave Player 11 Adobe Systems, Inc. 29.06.2011 11 UNBEKANNT
Amazon MP3-Downloader 1.0.9 10.01.2012 UNNÖTIG
Apple Application Support Apple Inc. 20.12.2011 61,2MB 2.1.6 NOTWENDIG
Apple Mobile Device Support Apple Inc. 20.12.2011 24,1MB 4.0.0.97
Apple Software Update Apple Inc. 30.06.2011 2,25MB 2.1.3.127
Ashampoo Office 2008 (C:\Program Files\Ashampoo\Ashampoo Office 2008) SoftMaker Software GmbH 11.07.2011 NOTWENDIG
ATI Catalyst Install Manager ATI Technologies, Inc. 08.11.2009 13,8MB 3.0.732.0
Audible Download Manager Audible, Inc. 10.11.2011 6.6.0.15 NOTWENDIG
Avira Free Antivirus Avira 21.12.2011 105,5MB 12.0.0.872
Bonjour Apple Inc. 20.12.2011 1,02MB 3.0.0.10
Brother MFL-Pro Suite DCP-165C Brother Industries, Ltd. 09.09.2011 1.0.1.0
CCleaner Piriform 07.02.2012 3.15
Cisco EAP-FAST Module Cisco Systems, Inc. 18.08.2011 1,15MB 2.2.14 UNBEKANNT
Cisco LEAP Module Cisco Systems, Inc. 18.08.2011 0,48MB 1.0.19
Cisco PEAP Module Cisco Systems, Inc. 18.08.2011 0,90MB 1.1.6
Compatibility Pack für 2007 Office System Microsoft Corporation 06.02.2012 169,4MB 12.0.6612.1000
Corel Home Office Corel Corporation 08.11.2009
CorelDRAW Essentials 4 Corel Corporation 08.11.2009
CorelDRAW Essentials 4 - Windows Shell Extension Corel Corporation 08.11.2009 2,93MB
CyberLink MediaShow CyberLink Corp. 08.11.2009 185,8MB 4.1.3121 NOTWENDIG
CyberLink PhotoNow CyberLink Corp. 08.11.2009 21,8MB 1.1.6622
CyberLink Power2Go CyberLink Corp. 08.11.2009 104,4MB 6.1.3213
CyberLink PowerDirector CyberLink Corp. 08.11.2009 324MB 7.0.3003
CyberLink PowerDVD 9 CyberLink Corp. 08.11.2009 159,4MB 9.0.1719
CyberLink PowerDVD Copy CyberLink Corp. 29.06.2011 1.0.6720
CyberLink PowerProducer CyberLink Corp. 08.11.2009 166,3MB 5.0.1.1929
CyberLink YouCam CyberLink Corp. 08.11.2009 125,3MB 3.0.1923
Die Sims™ Tiergeschichten Electronic Arts 13.10.2011
e-Wörterbücher 29.06.2011 UNBEKANNT
focus booster The Memphis Agency 02.08.2011 1.2 NOTWENDIG
Free Video to MP3 Converter version 4.3.1.718 DVDVideoSoft Limited. 02.08.2011 41,0MB NOTWENDIG
Google Chrome Google Inc. 07.02.2012 17.0.963.46 UNNÖTIG
Google Toolbar for Internet Explorer Google Inc. 09.01.2012 7.2.2427.2330 UNNÖTIG
Intel® Matrix Storage Manager Intel Corporation 29.06.2011 UNBEKANNT
iTunes Apple Inc. 01.02.2012 171,0MB 10.5.3.3 NOTWENDIG
Java(TM) 6 Update 16 Sun Microsystems, Inc. 08.11.2009 97,7MB 6.0.160 NOTWENDIG
Lexmark 3500-4500 Series Lexmark International, Inc. 29.11.2011 NOTWENDIG
Malwarebytes Anti-Malware Version 1.60.1.1000 Malwarebytes Corporation 06.02.2012 17,3MB 1.60.1.1000 UNNÖTIG
McAfee Security Scan Plus McAfee, Inc. 04.07.2011 8,30MB 2.0.181.2 UNBEKANNT
MCE Software Encoder 1.1 CyberLink Corporation 29.06.2011 1.1.0.1918 UNBEKANNT
Medion Home Cinema CyberLink Corp. 08.11.2009 0,94MB 6.0.0000 UNBEKANNT
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 04.07.2011 38,8MB 4.0.30319 NOTWENDIG
icrosoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 04.07.2011 2,94MB 4.0.30319
Microsoft Office File Validation Add-In Microsoft Corporation 07.02.2012 7,95MB 14.0.5130.5003 NOTWENDIG
Microsoft Office Home and Student 2007 Microsoft Corporation 06.02.2012 12.0.6612.1000 NOTWENDIG
Microsoft Office Live Add-in 1.3 Microsoft Corporation 08.11.2009 0,48MB 2.0.2313.0 NOTWENDIG
Microsoft Office PowerPoint Viewer 2007 (German) Microsoft Corporation 06.02.2012 136,0MB 12.0.6612.1000 NOTWENDIG
Microsoft Silverlight Microsoft Corporation 07.02.2012 20,5MB 4.0.60831.0 NOTWENDIG
Microsoft SQL Server 2005 Compact Edition [DEU] Microsoft Corporation 08.11.2009 0,33MB 3.1.0000 NOTWENDIG
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 08.11.2009 1,72MB 3.1.0000 NOTWENDIG
Microsoft Sync Framework Runtime Native v1.0 (x86) Microsoft Corporation 29.08.2011 0,61MB 1.0.1215.0 NOTWENDIG
Microsoft Sync Framework Services Native v1.0 (x86) Microsoft Corporation 29.08.2011 1,45MB 1.0.1215.0 NOTWENDIG
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 08.11.2009 0,25MB 8.0.50727.4053 NOTWENDIG
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 01.09.2011 0,29MB 8.0.61001 NOTWENDIG
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 07.11.2011 12,3MB 10.0.40219 NOTWENDIG
Microsoft Works Microsoft Corporation 01.09.2011 711MB 9.7.0621 NOTWENDIG
Moorhuhn Invasion Vollversion phenomedia publishing gmbh 02.10.2011 NOTWENDIG
QuickTime Apple Inc. 20.12.2011 73,3MB 7.71.80.42 NOTWENDIG
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 08.11.2009 6.0.1.5910 NOTWENDIG
Realtek USB 2.0 Card Reader Realtek Semiconductor Corp. 08.11.2009 6.1.7100.30094
REALTEK Wireless LAN Driver REALTEK Semiconductor Corp. 18.08.2011 1.00.0145
Samsung Kies Samsung Electronics Co., Ltd. 02.02.2012 205MB 2.1.1.11124_17 NOTWENDIG
SAMSUNG USB Driver for Mobile Phones SAMSUNG Electronics Co., Ltd. 05.02.2012 42,2MB 1.4.103.0
Skype Click to Call Skype Technologies S.A. 18.12.2011 32,1MB 5.8.8855 NOTWENDIG
Skype™ 5.5 Skype Technologies S.A. 13.10.2011 33,6MB 5.5.124
SpongeBob Schwammkopf - Schlacht um Bikini Bottom 23.08.2011 1.00.000 UNNÖTIG
SUPER © v2011.build.49 (July 1st, 2011) Version v2011.build.49 eRightSoft 02.08.2011 42,7MB v2011.build.49 UNBEKANNT
Synaptics Pointing Device Driver Synaptics Incorporated 08.11.2009 13.2.3.0 NOTWENDIG
System Control Manager Micro-Star International Co., Ltd. 08.11.2009 2.209.0828.M005.04.01 UNBEKANNT
Teachmaster 4.3 (nur Entfernen) 22.11.2011 UNBEKANNT
VoiceOver Kit Apple Inc. 01.09.2011 41,8MB 1.40.128.0 NOTWENDIG
Windows Live Anmelde-Assistent Microsoft Corporation 08.11.2009 1,94MB 5.000.818.6 NOTWENDIG
Windows Live Essentials Microsoft Corporation 29.08.2011 14.0.8117.0416
Windows Live Sync Microsoft Corporation 29.08.2011 2,79MB 14.0.8117.416
Windows Live-Uploadtool Microsoft Corporation 08.11.2009 0,22MB 14.0.8014.1029
Yahoo! Messenger Yahoo! Inc. 12.12.2011 NOTWENDIG
Yahoo! Software Update 12.12.2011
Yahoo! Toolbar 12.12.2011

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Adobe Shockwave
Amazon
e-Wörterbücher
Google : beide
Java

Download der kostenlosen Java-Software
downloade java jre, instalieren

deinstaliere:
McAfee
SpongeBob
SUPER ©
Teachmaster
Windows Live Essentials
Yahoo! Toolbar

öffne otl, bereinigen, neustart.
öffne ccleaner, analysieren, ccleaner starten.
neustarten, testen ob pc und programme nach wunsch laufen