'Windows Security Center' Trojaner - Windows-Benutzer gesperrt !

Beo1887 · 14.03.2012, 22:31

Liebes Trojaner-Board Team,

habe seit heute Abend auch das Problem mit dem gesperrten Benutzerkonto in Windows aufgrund des Trojaners, der 100 Euronen fordert um mit ukash oder paysafe das System zu entsperren.

Hab mir ebenfalls die anderen Anleitungen durchgelesen und somit mit OTL bereits analysiert. Die Otl.txt is gezipped, da 140 KB gross.

Vielen Dank schonmal soweit.

Ich hab OTL jetzt über den Admin durchgeführt, ich hoffe das war ok, denn eigentlich ist ein anderes Konto (mathiasus) betroffen.

Gruß Beo

UPDATE - DIES IST KEIN LÖSUNGSANSATZ:

Im Anhang nun die OTL.txt vom gesperrten Benutzterkonto
und die bisherigen Malwarebytes-Logs.
ESET Online Scanners folgt.

Malwarebytes FULLscan des infizierten Benutzerkontos:

Zitat:

Malwarebytes Anti-Malware (Trial) 1.60.1.1000
www.malwarebytes.org

Database version: v2012.03.15.05

Windows 7 Service Pack 1 x64 NTFS (Safe Mode/Networking)
Internet Explorer 9.0.8112.16421
iasus :: IASUS-G53 [administrator]

Protection: Disabled

15/03/2012 20:11:48
mbam-log-2012-03-15 (20-46-00).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 486591
Time elapsed: 34 minute(s), 3 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 15
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.

Registry Values Detected: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.Agent.H) -> Data: C:\Users\MATTHI~1\AppData\Local\Temp\mor.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: ;áÃzÊ;XA³0öm»Áµ -> No action taken.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: VShareTB -> No action taken.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: -> No action taken.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Data: -> No action taken.

Registry Data Items Detected: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bad: (hxxp://startsear.ch/?aff=1) Good: (hxxp://www.google.com) -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 3
C:\Users\*****iasus\AppData\Local\Temp\mor.exe (Trojan.Agent.H) -> No action taken.
C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> No action taken.
C:\Program Files (x86)\MegaDev\MD-Trainers\MT-X\MT-eXperience.exe (Trojan.AVKiller.Gen) -> No action taken.

(end)

EDIT 20.10Uhr : Die unten angehängten Scans stammen vom nicht infizierten Admin-Acc...

>> Was sollte denn überhaupt als 1. gemacht werden? Entfernung mit OTL oder mit Malwarebytes AM ??
Ich bislang nur analysiert.

So liebe Leute,
ich habe mich nun selbst bemüht den Trojaner zu entfernen.
Mit Malewarebytes AM alle aufälligen Einträge entfernt, mit CCleaner Temporäre Dateien etc. entfernt. Insbesondere der Eintag mit der mor.exe war ja auffälllig^^. Anschliessend nochmals Malewarebytes AM ohne Pfund durchlaufen lassen und OTL Fullscan gemacht. Auch ESET zeigt keine Pfunde.
Mein Fsecure Internet Security 2011 läuft leider nicht im abgesicherten Modus.

Vllt kann ja jmd nen Blick auf die jetztige LogFiles machen, ich kann nicht so gut wie Ihr abschätzen ob es wieder "ok" ist.
ComboFix oder andere Tools, die tiefer ins System eingreifen habe ich nicht angewandt.
Habe mich noch nicht getraut wieder im normalen Modus zu Booten.

Werde morgen Abend auf jedenfall noch mit "JavaRe" Java komplett entfernen und nue die neuste Java v.7u3 installieren.

Hilfe erbeten,

Gruß Beo

'Windows Security Center' Trojaner - Windows-Benutzer gesperrt !

Log-Analyse und Auswertung: 'Windows Security Center' Trojaner - Windows-Benutzer gesperrt !

'Windows Security Center' Trojaner - Windows-Benutzer gesperrt !

Ähnliche Themen: 'Windows Security Center' Trojaner - Windows-Benutzer gesperrt !