Mein Problem besteht darin dass ich diesen bundeskriminalamt virus schon seit einiger zeit auf meinem pc habe. Allerdings ist von meinen drei benutzerkonten unter windows 7 nur ein konto davon befallen (also äußerlich d.h. ich klicke auf das konto es lädt alles ganz normal und auf einmal kommt halt dieser bildschirm mit ucash).
Ich hab nun eigenständig gegoogelt und versucht den virus zu entfernen, weil ich eine anleitung zur entfernung von hotkeys in der registry gefunden hatte. Ich habe demnach einen virus bei current user namens mahmud.exe im befallenen konto gefunden und gelöscht aber nach dem neustart blieb alles unverändert... Ich hab dann noch bei local machine in dem gesuchten pfad eine datei mit dem namen explorer.exe gefunden den ich aber der anleitung nach nicht löschen sollte.. wie gehe ich nun vor?
danke im voraus

Hi,

mit dem verseuchten Konto booten und dann:

OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Hallo
habe otl vom stick auf verseuchtes konto überspielt und ausgeführt.
nach dem scan kam folgende meldung: die datei extra.txt/otl.txt wurde im pfad windows/system32/[...] nicht gefunden, soll diese datei erstellt werden?
ich habe auf ja geklickt und die neu erstellten dateien rüberkopiert aber die waren leer :S?!
was mache ich nun? nochmal wiederholen?
LG Stefan

ahja und was ich noch hinzufügen wollte: wie führe ich im dos eingabefenster ein programm als administrator aus?

Hi,

wechsle in der CMD das Verzeichnis, in Systemverzeichnissen (Windows) gibts so einfach keine Schreibrechte...
cd..
Ausführen als anderer User: Runas...

Oder einfach auf den Stick wechseln und dort ausführen...

chris

Hat geklappt

Hi,

das hier schmeisse ich mal raus, wenn Du es kennst aus dem script rausnehmen: C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat(2x)

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
F3:64bit: - HKCU WinNT: Load - (C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat) - C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat (The cURL library)
F3 - HKCU WinNT: Load - (C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat) - C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat (The cURL library)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O33 - MountPoints2\{c9d636e4-c64e-11df-b5cf-00016c6f69cf}\Shell\AutoRun\command - "" = K:\Autorun.exe
[2012.03.05 13:56:02 | 000,000,928 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-622775202-2694618919-1245981529-1001UA.job
[2012.03.05 13:56:00 | 000,000,906 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-622775202-2694618919-1245981529-1001Core.job
@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:E1F04E8D
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:ABE89FFE
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:AB689DEA
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:E3C56885

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Muss ich das wieder im abgesicherten modus machen oder kann ich das auch in einem anderen benutzerkonto ausführen?

Hi,

am Besten im abgesicherten Modus des verseuchten Kontos...

chris

Hmmm ich hab das jetzt einfach in einem anderen konto gemacht, ist das schlimm? malwarebytes läuft grad.. schaut so aus als würde das länger brauchen... ich poste morgen früh die logs
sorri wenn ich immer so blöd frage aber mit pc's hab ichs nicht sooo ^^

Hi,

das Problem sind die Einträge die mit HKCU CU=CurrentUser, d. h. die Einträge in dem verseuchten Konto haben überlebt, da anderer CurrentUser...

Nachdem MAM durch ist, bitte noch mal das Script im entsprechenden User abfahren und die Logs posten...

chris

OK habs gemacht
Logs im anhang ( hab jetzt beide otl logs gepostet, das mit other user ist das was ich als erstes mit dem nicht befallenen konto durchgeführt habe! )
Sieht schon ganz gut aus glaub ich also keine beschwerden mehr im befallenen konto
Vielen Dank

Konnte das was ich als erstes ausgeführt habe also mit dem anderen konto nicht als anhang hochladen da es eine ungültige datei seien soll :S



All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat moved successfully.
64bit-Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load not found.
File C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9d636e4-c64e-11df-b5cf-00016c6f69cf}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9d636e4-c64e-11df-b5cf-00016c6f69cf}\ not found.
File K:\Autorun.exe not found.
C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-622775202-2694618919-1245981529-1001UA.job moved successfully.
C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-622775202-2694618919-1245981529-1001Core.job moved successfully.
ADS C:\ProgramData\TEMP:E1F04E8D deleted successfully.
ADS C:\ProgramData\TEMP:ABE89FFE deleted successfully.
ADS C:\ProgramData\TEMP:AB689DEA deleted successfully.
ADS C:\ProgramData\TEMP:E3C56885 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: A&S~1~VIJ
->Temp folder emptied: 0 bytes

User: ********************
->Temp folder emptied: 165863435 bytes
->Temporary Internet Files folder emptied: 2193720163 bytes
->Java cache emptied: 4180530 bytes
->FireFox cache emptied: 44407093 bytes
->Google Chrome cache emptied: 368719676 bytes
->Flash cache emptied: 62390 bytes

User: All Users

User: ********************
->Temp folder emptied: 282825 bytes
->Temporary Internet Files folder emptied: 234331021 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 7084637 bytes
->Flash cache emptied: 2501 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: ********************
->Temp folder emptied: 1030820200 bytes
->Temporary Internet Files folder emptied: 1933582995 bytes
->Java cache emptied: 222161 bytes
->FireFox cache emptied: 82251216 bytes
->Google Chrome cache emptied: 14347971 bytes
->Flash cache emptied: 57969 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: ********************
->Temp folder emptied: 41299852 bytes
->Temporary Internet Files folder emptied: 13090329 bytes
->Java cache emptied: 660316 bytes
->FireFox cache emptied: 160154580 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 3474 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 20441290 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50300 bytes
RecycleBin emptied: 126943742 bytes

Total Files Cleaned = 6.144,00 mb


OTL by OldTimer - Version 3.2.35.1 log created on 03052012_210739

Files\Folders moved on Reboot...
C:\Users\Vithu\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Hi,

dann sollten wir jetzt erstmal durch sein...

chris

Vielen dank nochmal