Hallo zusammen,

heute morgen hat mich eine Form von diesem Trojaner erwischt. Es war die Version mit den deutschen Farben am oberen Bildschirmrand und der Meldung, ich sei auf zu vielen infizierten und pornografischen Seiten gewesen samt der Zahlungsforderung per UKash oder Safepay. Nach längerem Stöbern hab ich jetzt mal hier das Malwarebytes-Programm durchlaufen lassen, der mir direkt 4 infizierte Daten meldet. Der log ist hier.

------------

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.06.01

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Win 7 :: WIN7-PC [Administrator]

06.02.2012 10:59:04
mbam-log-2012-02-06 (11-06-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 197114
Laufzeit: 5 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Firefox helper (Trojan.Ransom) -> Daten: C:\Users\Win 7\AppData\Local\Mozilla\Firefox\firefox.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Win 7\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\Users\Win 7\AppData\Local\Temp\ms0cfg32.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Keine Aktion durchgeführt.

(Ende)

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.06.01

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Win 7 :: WIN7-PC [Administrator]

06.02.2012 10:59:04
mbam-log-2012-02-06 (10-59-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 197114
Laufzeit: 5 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Firefox helper (Trojan.Ransom) -> Daten: C:\Users\Win 7\AppData\Local\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Win 7\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Win 7\AppData\Local\Temp\ms0cfg32.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


-------------------

Habe die Dateien jetzt gelöscht und werde jetzt neu starten. Ich hoffe ihr könnt mir weiterhelfen und ich verliere keine Daten dabei!

Vielen Dank jetzt schonmal!

PS: Beim Überfliegen des Logs ist mir der letzte Eintrag, KMS, aufgefallen. Als Hinweis, falls es euch helfen sollte, ich habe mir von einem Freund Office besorgt, der mit Hilfe dieses Programms Office freischaltet.

Noch als kleiner Nachtrag: Momentan läuft der Laptop wieder einwandfrei. Aber sollte ich trotzdem noch weiter Maßnahmen ergreifen? AviraAntivir ist drauf und stets aktualisiert, Updates für Java und dergleichen sind eigentlich auch immer, wenn verfügbar drauf.

Tut mir leid, es überlesen zu haben, aber ich habe soeben die Checkliste nochmals genauer studiert und jetzt auch den Eintrag in Sachen Cracks gelesen. Ich hab nun diesen Ordner gelöscht und der taucht auch bei einem weiteren Malwarebyte-Scan nicht mehr auf. Hier ist nun auch schonmal der ESET-Scan durchgeführt. Bitte die angezeigte Datei ignorieren, habe sie bereits gelöscht. Hier der ESET-Log:

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=68d0229c03436744b4538823cc0a956e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-06 04:47:30
# local_time=2012-02-06 05:47:30 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 7331230 7331230 0 0
# compatibility_mode=5893 16776573 100 94 230078 80164072 0 0
# compatibility_mode=8192 67108863 100 0 3764 3764 0 0
# scanned=131330
# found=1
# cleaned=0
# scan_time=12628
C:\Users\Win 7\Desktop\KMS Activator\mini-KMS_Activator_v1.053.exe	a variant of Win32/HackKMS.A application (unable to clean)	00000000000000000000000000000000	I
         

Hoffe auf eine baldige Antwort!

Gruß und Dank,

David