|
Log-Analyse und Auswertung: BKA/UKash - Windows Gesperrt.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.03.2012, 23:58 | #1 |
| BKA/UKash - Windows Gesperrt. Hallo! Als ich vorhin über mein Admin Konto im Netz surfte wurde mein Betriebssystem plötzlich gesperrt. Es erschien nurnoch ein Fenter Zitat: "Das BKA hat Ihr Betriebssystem...wegen...[krimineller Aktivitäten]...gesperrt... bitte bezahlen Sie 100 EUR um ihr System zu entsperren" Dieses Fenster wird euch wohl bekannt vor kommen. Über das andere Konto kann ich nun mein Betriebssystem benutzen und bitte um eure Hilfe. Habe vorerst keine weiteren Schritte unternommen außer die vorgegebenen im Hilfethread. ----------------------------------------- defogger_disable by jpshortstuff (23.02.10.1) Log created at 21:54 on 20/03/2012 (Michael) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- ----------------------------- ---------------------------- . DDS (Ver_2011-08-26.01) - NTFSAMD64 Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_26 Run by Michael at 22:31:12 on 2012-03-20 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.4095.2702 [GMT 1:00] . SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . ============== Running Processes =============== . C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Windows\system32\svchost.exe -k RPCSS C:\Windows\system32\atiesrxx.exe C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Windows\system32\svchost.exe -k LocalService C:\Windows\system32\atieclxx.exe C:\Windows\system32\svchost.exe -k NetworkService C:\Windows\system32\FBAgent.exe C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe C:\Program Files\ATKGFNEX\GFNEXSrv.exe C:\Windows\System32\spoolsv.exe F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\sched.exe C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\avguard.exe C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE C:\Windows\system32\svchost.exe -k imgsvc F:\Programme\TomTom\TomTom HOME 2\TomTomHOMEService.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe C:\Windows\system32\taskhost.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files (x86)\ASUS\ATK Hotkey\HControl.exe C:\Program Files (x86)\ASUS\ATK Hotkey\ATKOSD.exe C:\Program Files (x86)\ASUS\ATK Hotkey\KBFiltr.exe C:\Program Files (x86)\ASUS\ATK Hotkey\WDC.exe C:\Windows\system32\SearchIndexer.exe C:\Program Files (x86)\ASUS\Asus WebStorage\BackupService.exe C:\Windows\system32\WUDFHost.exe C:\Program Files\Elantech\ETDCtrl.exe C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe C:\Program Files\SRS Labs\SRS Premium Sound Control Panel\SRSPremiumPanel_64.exe C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMTray.exe C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDECK.EXE C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe C:\Windows\AsScrPro.exe C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\System32\svchost.exe -k LocalServicePeerNet C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Windows\system32\DllHost.exe C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe C:\Windows\system32\svchost.exe -k HPService C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10l_ActiveX.exe C:\Windows\system32\AUDIODG.EXE C:\Windows\system32\DllHost.exe C:\Windows\system32\DllHost.exe C:\Windows\SysWOW64\cmd.exe C:\Windows\system32\conhost.exe C:\Windows\SysWOW64\cscript.exe C:\Windows\system32\wbem\wmiprvse.exe . ============== Pseudo HJT Report =============== . uStart Page = hxxp://www.google.de/ uDefault_Page_URL = hxxp://asus.msn.com mWinlogon: Userinit=userinit.exe BHO: AutorunsDisabled - No File BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File BHO: Bing Bar Helper: {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll TB: Bing Bar: {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File {555d4d79-4bd2-4094-a395-cfc534424a05} uRun: [TomTomHOME.exe] "F:\Programme\TomTom\TomTom HOME 2\TomTomHOMERunner.exe" mRun: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun mRun: [HControlUser] C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe mRun: [ATKOSD2] C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe mRun: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r mRun: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe mRun: [Setwallpaper] c:\programdata\SetWallpaper.cmd mRun: [avgnt] "F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\avgnt.exe" /min mRun: [<NO NAME>] mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" mRun: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" StartupFolder: C:\Users\Michael\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\072725~1.LNK - C:\Windows\System32\rundll32.exe StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\FANCYS~1.LNK - C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\SRSPRE~1.LNK - C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut5_21C7B668029A47458B27645FE6E4A715.exe mPolicies-explorer: NoActiveDesktop = 1 (0x1) mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1) mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: E&xport to Microsoft Excel - C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab TCP: DhcpNameServer = 192.168.0.1 TCP: Interfaces\{828F1B90-395B-4E89-A65F-A4EE32E25B1D} : DhcpNameServer = 192.168.0.1 TCP: Interfaces\{C6FF58B7-ED37-4B83-B529-326DAA773E2D} : DhcpNameServer = 192.168.0.1 TCP: Interfaces\{C6FF58B7-ED37-4B83-B529-326DAA773E2D}\64259445A51224F6870264F6E60275C414E40273137303 : DhcpNameServer = 192.168.178.1 TCP: Interfaces\{C6FF58B7-ED37-4B83-B529-326DAA773E2D}\64279647A724F68723031303 : DhcpNameServer = 192.168.178.1 BHO-X64: AutorunsDisabled - No File {18DF081C-E8AD-4283-A596-FA578C2EBDC3} BHO-X64: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File {d2ce3e00-f94a-4740-988e-03dc2f38c34f} {DBC80044-A445-435b-BC74-9C25C1C588A9} {8dcb7100-df86-4384-8842-8fa844297b3f} TB-X64: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File EB-X64: {555D4D79-4BD2-4094-A395-CFC534424A05} - No File mRun-x64: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun mRun-x64: [HControlUser] C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe mRun-x64: [ATKOSD2] C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe mRun-x64: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r mRun-x64: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe mRun-x64: [Setwallpaper] c:\programdata\SetWallpaper.cmd mRun-x64: [avgnt] "F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\avgnt.exe" /min mRun-x64: [(Standard)] mRun-x64: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" mRun-x64: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" mRun-x64: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" . ================= FIREFOX =================== . FF - ProfilePath - C:\Users\Michael\AppData\Roaming\Mozilla\Firefox\Profiles\fbu52zg2.default\ FF - plugin: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrlui.dll FF - plugin: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll FF - plugin: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll FF - plugin: F:\Programme\Internet\Mozilla Firefox\plugins\npdeployJava1.dll . ---- FIREFOX POLICIES ---- FF - user.js: yahoo.homepage.dontask - true ============= SERVICES / DRIVERS =============== . R0 lullaby;lullaby;C:\Windows\system32\DRIVERS\lullaby.sys --> C:\Windows\system32\DRIVERS\lullaby.sys [?] R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?] R2 AFBAgent;AFBAgent;"C:\Windows\system32\FBAgent.exe" --> C:\Windows\system32\FBAgent.exe [?] R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\system32\atiesrxx.exe --> C:\Windows\system32\atiesrxx.exe [?] R2 AntiVirSchedulerService;Avira AntiVir Planer;F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\sched.exe [2009-12-30 108289] R2 AntiVirService;Avira AntiVir Guard;F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\avguard.exe [2009-12-30 185089] R2 ASMMAP64;ASMMAP64;C:\Program Files\ATKGFNEX\ASMMAP64.sys [2009-12-3 14904] R2 avgntflt;avgntflt;C:\Windows\system32\DRIVERS\avgntflt.sys --> C:\Windows\system32\DRIVERS\avgntflt.sys [?] R2 BBUpdate;BBUpdate;C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-10-13 249648] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576] R2 TomTomHOMEService;TomTomHOMEService;F:\Programme\TomTom\TomTom HOME 2\TomTomHOMEService.exe [2011-4-22 92592] R3 AmUStor;AM USB Stroage Driver;C:\Windows\system32\drivers\AmUStor.SYS --> C:\Windows\system32\drivers\AmUStor.SYS [?] R3 ETD;ELAN PS/2 Port Input Device;C:\Windows\system32\DRIVERS\ETD.sys --> C:\Windows\system32\DRIVERS\ETD.sys [?] R3 RTL8167;Realtek 8167 NT Driver;C:\Windows\system32\DRIVERS\Rt64win7.sys --> C:\Windows\system32\DRIVERS\Rt64win7.sys [?] R3 usbfilter;AMD USB Filter Driver;C:\Windows\system32\DRIVERS\usbfilter.sys --> C:\Windows\system32\DRIVERS\usbfilter.sys [?] R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;C:\Windows\system32\drivers\viahduaa.sys --> C:\Windows\system32\drivers\viahduaa.sys [?] R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;C:\Windows\system32\DRIVERS\WSDPrint.sys --> C:\Windows\system32\DRIVERS\WSDPrint.sys [?] S2 BBSvc;Bing Bar Update Service;C:\Program Files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-10-21 196176] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384] S3 fssfltr;fssfltr;C:\Windows\system32\DRIVERS\fssfltr.sys --> C:\Windows\system32\DRIVERS\fssfltr.sys [?] S3 fsssvc;Windows Live Family Safety;C:\Program Files (x86)\Windows Live\Family Safety\fsssvc.exe [2008-12-8 533344] S3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;C:\Windows\system32\DRIVERS\SiSG664.sys --> C:\Windows\system32\DRIVERS\SiSG664.sys [?] S3 SynasUSB;SynasUSB;C:\Windows\system32\drivers\SynUSB64.sys --> C:\Windows\system32\drivers\SynUSB64.sys [?] S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?] . =============== Created Last 30 ================ . 2012-03-14 20:36:50 5559152 ----a-w- C:\Windows\System32\ntoskrnl.exe 2012-03-14 20:36:48 3968368 ----a-w- C:\Windows\SysWow64\ntkrnlpa.exe 2012-03-14 20:36:47 3913584 ----a-w- C:\Windows\SysWow64\ntoskrnl.exe 2012-03-14 13:47:10 3145728 ----a-w- C:\Windows\System32\win32k.sys 2012-03-14 13:47:06 1544192 ----a-w- C:\Windows\System32\DWrite.dll 2012-03-14 13:47:06 1077248 ----a-w- C:\Windows\SysWow64\DWrite.dll 2012-03-14 13:46:08 1031680 ----a-w- C:\Windows\System32\rdpcore.dll 2012-03-14 13:46:07 826880 ----a-w- C:\Windows\SysWow64\rdpcore.dll 2012-03-14 13:46:07 23552 ----a-w- C:\Windows\System32\drivers\tdtcp.sys 2012-03-14 13:46:07 210944 ----a-w- C:\Windows\System32\drivers\rdpwd.sys 2012-03-14 13:46:04 9216 ----a-w- C:\Windows\System32\rdrmemptylst.exe 2012-03-14 13:46:04 77312 ----a-w- C:\Windows\System32\rdpwsx.dll 2012-03-14 13:46:04 149504 ----a-w- C:\Windows\System32\rdpcorekmts.dll 2012-03-05 20:22:36 -------- d-----w- C:\Program Files (x86)\ElsterFormular . ==================== Find3M ==================== . 2012-03-20 18:50:50 45056 ----a-w- C:\Windows\System32\acovcnt.exe 2012-02-19 18:00:16 152576 ----a-w- C:\Windows\SysWow64\msclmd.dll 2012-02-19 18:00:15 175616 ----a-w- C:\Windows\System32\msclmd.dll 2012-01-04 10:44:20 509952 ----a-w- C:\Windows\System32\ntshrui.dll 2012-01-04 08:58:41 442880 ----a-w- C:\Windows\SysWow64\ntshrui.dll 2011-12-30 06:26:08 515584 ----a-w- C:\Windows\System32\timedate.cpl 2011-12-30 05:27:56 478720 ----a-w- C:\Windows\SysWow64\timedate.cpl 2011-12-28 03:59:24 498688 ----a-w- C:\Windows\System32\drivers\afd.sys 2009-04-08 18:31:56 106496 ----a-w- C:\Program Files (x86)\Common Files\CPInstallAction.dll 2008-08-12 05:45:20 155648 ----a-w- C:\Program Files (x86)\Common Files\MSIactionall.dll . ============= FINISH: 22:32:02,10 =============== Anbei der Report von Antivir und die attach - datei Ich hoffe, dass ich eure forenregeln richtig verstanden habe. und bitte um hilfe. falls es hilft: Ich habe eine Recovery - DVD für mein System. Wie soll ich vorgehen?? |
21.03.2012, 11:27 | #2 |
/// Malware-holic | BKA/UKash - Windows Gesperrt. hi
__________________bei dem folgendem scan, den infizierten nutzer wählen. Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Bebilderte Anleitung: OTLpe-Scan
__________________ |
22.03.2012, 04:50 | #3 |
| BKA/UKash - Windows Gesperrt. Guten Morgen,
__________________hier sind nun die Dateinen, sind in einer verpackt. Gruß |
22.03.2012, 11:01 | #4 |
/// Malware-holic | BKA/UKash - Windows Gesperrt. auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code:
ATTFilter :OTL O4 - Startup: C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.7272582825244596.exe.lnk () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.03.2012, 18:02 | #5 |
| BKA/UKash - Windows Gesperrt. Ich habe es wie beschrieben durchgeführt. Mein Admin -Konto ist wieder verfügbar, jedoch wurde keine otl.txt - datei erstellt oder geöffnet. Habe die festplatte C: durchsuchen lassen. nichts zu finden. habe nur das gefunden! ========== OTL ========== C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.7272582825244596.exe.lnk moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Gast ->Temp folder emptied: 71854 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 16698344 bytes User: Michael ->Temp folder emptied: 114301891 bytes ->Temporary Internet Files folder emptied: 33794052 bytes ->Java cache emptied: 6643412 bytes ->FireFox cache emptied: 510731514 bytes ->Flash cache emptied: 45686 bytes User: Public User: Tine ->Temp folder emptied: 8418333 bytes ->Temporary Internet Files folder emptied: 158996163 bytes ->Flash cache emptied: 4116 bytes Total Flash Files Cleaned = 810.00 mb [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Gast ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->FireFox cache emptied: 0 bytes User: Michael ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: Tine ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 325115687 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes Total Files Cleaned = 310.00 mb OTLPE by OldTimer - Version 3.1.48.0 log created on 03222012_195241 gruß |
22.03.2012, 19:54 | #6 |
/// Malware-holic | BKA/UKash - Windows Gesperrt. das ist sie doch :-) Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
__________________ --> BKA/UKash - Windows Gesperrt. |
26.03.2012, 20:03 | #7 |
| BKA/UKash - Windows Gesperrt. Hi, das Wochenende ist arbeitsfrei, also nun der Post... |
26.03.2012, 20:18 | #8 |
/// Malware-holic | BKA/UKash - Windows Gesperrt. öffne computer, c: qoobox rechtsklick quarantain, mit winrar oder zip packen, evtl. senden an zip komprimierter ordner, dann hochladen: Trojaner-Board Upload Channel wenn erledigt, bescheid sagen bitte
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
27.03.2012, 16:10 | #9 |
| BKA/UKash - Windows Gesperrt. Habe die Datei hochgeladen, hoffe es hat funktioniert... |
27.03.2012, 16:47 | #10 |
/// Malware-holic | BKA/UKash - Windows Gesperrt. man dankt. nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
27.03.2012, 17:16 | #11 |
| BKA/UKash - Windows Gesperrt. ja nutze ich... Lass mich raten, system neu aufsetzen??? |
27.03.2012, 18:23 | #12 |
/// Malware-holic | BKA/UKash - Windows Gesperrt. ja, und die bank anrufen, sorry, dass ich keine besseren nachichten habe. 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
28.03.2012, 16:11 | #13 |
| BKA/UKash - Windows Gesperrt. Hi, ich habe noch fragen. 1. Was muss ich der Bank sagen, bzw. was sollen die dann machen?? 2. Warum muss ich Autorun für die Laufwerke abschalten? und voralem welche Laufwerke? 3. Alle Festplatten formatieren? Ich nutze meine recovery cd. Die anleitung zum Formatieren finde ich bestimmt im forum. Kann ich daraus schließen, dass der pc nicht frei von schädlingen ist...? gruß. |
28.03.2012, 16:24 | #14 |
/// Malware-holic | BKA/UKash - Windows Gesperrt. du hast den trojan.banker, du möchtest neue zugangsdaten, und bis dahin muss dein zugang gespert werden, autorun deaktivieren ist eine sicherheitsmaßname. wie sind deine festplatten aufgeteilt, sind da daten partitionen dabei oder eine mit windows, eine mit instalationen? anleitung zum formatieren etc bekommst du dann.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
28.03.2012, 19:04 | #15 |
| BKA/UKash - Windows Gesperrt. Sehr informativ. Online Banking habe ich Sperren lassen. Partitionen C: OS D: Eigene Dateien F: Installationen und Downloads. Dies ist ein Fertig PC. Asus x5DAD. Die Recovery habe ich nach dem ersten Hochfahren damals erstellt mit dem vorinstallieren Programm vom pc hersteller. Geändert von Los Zementos (28.03.2012 um 19:16 Uhr) |
Themen zu BKA/UKash - Windows Gesperrt. |
100 eur, adobe, antivir guard, asus, avgnt, avira, bingbar, bitte bezahlen sie, bka/ukash, defender, desktop, excel, explorer, firefox, gesperrt, helper, home, hotkey, mozilla, pdf, plug-in, programme, realtek, rundll, security, sound, svchost.exe, usb, wallpaper, windows, windows 7 home, windows 7 home premium, wmp |