Liebes Trojaner-Board Team,

habe seit heute Abend auch das Problem mit dem gesperrten Benutzerkonto in Windows aufgrund des Trojaners, der 100 Euronen fordert um mit ukash oder paysafe das System zu entsperren.

Hab mir ebenfalls die anderen Anleitungen durchgelesen und somit mit OTL bereits analysiert. Die Otl.txt is gezipped, da 140 KB gross.

Vielen Dank schonmal soweit.


Ich hab OTL jetzt über den Admin durchgeführt, ich hoffe das war ok, denn eigentlich ist ein anderes Konto (mathiasus) betroffen.


Gruß Beo

UPDATE - DIES IST KEIN LÖSUNGSANSATZ:

Im Anhang nun die OTL.txt vom gesperrten Benutzterkonto
und die bisherigen Malwarebytes-Logs.
ESET Online Scanners folgt.

Malwarebytes FULLscan des infizierten Benutzerkontos:

Zitat:

Malwarebytes Anti-Malware (Trial) 1.60.1.1000
www.malwarebytes.org

Database version: v2012.03.15.05

Windows 7 Service Pack 1 x64 NTFS (Safe Mode/Networking)
Internet Explorer 9.0.8112.16421
iasus :: IASUS-G53 [administrator]

Protection: Disabled

15/03/2012 20:11:48
mbam-log-2012-03-15 (20-46-00).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 486591
Time elapsed: 34 minute(s), 3 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 15
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.

Registry Values Detected: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.Agent.H) -> Data: C:\Users\MATTHI~1\AppData\Local\Temp\mor.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: ;áÃzÊ;XA³0öm»Áµ -> No action taken.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: VShareTB -> No action taken.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: -> No action taken.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: -> No action taken.

Registry Data Items Detected: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bad: (hxxp://startsear.ch/?aff=1) Good: (hxxp://www.google.com) -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 3
C:\Users\*****iasus\AppData\Local\Temp\mor.exe (Trojan.Agent.H) -> No action taken.
C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> No action taken.
C:\Program Files (x86)\MegaDev\MD-Trainers\MT-X\MT-eXperience.exe (Trojan.AVKiller.Gen) -> No action taken.

(end)

EDIT 20.10Uhr : Die unten angehängten Scans stammen vom nicht infizierten Admin-Acc...

>> Was sollte denn überhaupt als 1. gemacht werden? Entfernung mit OTL oder mit Malwarebytes AM ??
Ich bislang nur analysiert.

So liebe Leute,
ich habe mich nun selbst bemüht den Trojaner zu entfernen.
Mit Malewarebytes AM alle aufälligen Einträge entfernt, mit CCleaner Temporäre Dateien etc. entfernt. Insbesondere der Eintag mit der mor.exe war ja auffälllig^^. Anschliessend nochmals Malewarebytes AM ohne Pfund durchlaufen lassen und OTL Fullscan gemacht. Auch ESET zeigt keine Pfunde.
Mein Fsecure Internet Security 2011 läuft leider nicht im abgesicherten Modus.

Vllt kann ja jmd nen Blick auf die jetztige LogFiles machen, ich kann nicht so gut wie Ihr abschätzen ob es wieder "ok" ist.
ComboFix oder andere Tools, die tiefer ins System eingreifen habe ich nicht angewandt.
Habe mich noch nicht getraut wieder im normalen Modus zu Booten.
Werde morgen Abend auf jedenfall noch mit "JavaRe" Java komplett entfernen und nue die neuste Java v.7u3 installieren.

Hilfe erbeten,
Gruß Beo

Zitat:

C:\Program Files (x86)\MegaDev\MD-Trainers\MT-X\MT-eXperience.exe (Trojan.AVKiller.Gen) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\GetFLV\getflv.9.0.8.7-patch.exe (PUP.Hacktool.Patcher) -> Keine Aktion durchgeführt.

Was genau soll das sein und wo hast du das her?

1) MegaDev war ein SpieleTrainer
2) Das Andere muss zu GetFLV gehören ?

Eben mal den abgesicherten Modus verlassen und normal gestartet. Kein ukask-Popup. Malwarebytes hat auch nichts gefunden. Lasse gerade F-Secure IS durchlaufen, welches all das vom Malewarebytes-Log nicht fand.

Zitat:

1) MegaDev war ein SpieleTrainer

Finger weg von dubiosem Zeugs wie Trainern!

Zitat:

2) Das Andere muss zu GetFLV gehören ?

Schön. Jetzt bin ich genauso schlau wie vorher.

Ich habe beides per Malwarebytes entfernt und den Rest beider Programme deinstalliert.
Der Shock, mit dem plötzlichen Trojaner hat mir doch sehr zu denken geben.

Da nun Malwarebytes und auch F-Secure und auch ESET Online Scanner nichts mehr finden, wäre es schön zuerfahren ob die OTl.txt (die ungezippte ist die Neueste und wurde nach dem entfernen der Trojaner etc erstellt) noch Auffälligkeiten preisgibt.
Gruß
Beo

Zitat:

C:\Program Files (x86)\GetFLV\getflv.9.0.8.7-patch.exe (PUP.Hacktool.Patcher) -> Keine Aktion durchgeführt.

Hälst du dich so bedeckt mit den Infos weil das Teil illegal ist?

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials