Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BKA/UKash - Windows Gesperrt.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.03.2012, 23:58   #1
Los Zementos
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



Hallo!

Als ich vorhin über mein Admin Konto im Netz surfte wurde mein Betriebssystem plötzlich gesperrt. Es erschien nurnoch ein Fenter Zitat: "Das BKA hat Ihr Betriebssystem...wegen...[krimineller Aktivitäten]...gesperrt... bitte bezahlen Sie 100 EUR um ihr System zu entsperren"

Dieses Fenster wird euch wohl bekannt vor kommen. Über das andere Konto kann ich nun mein Betriebssystem benutzen und bitte um eure Hilfe.

Habe vorerst keine weiteren Schritte unternommen außer die vorgegebenen im Hilfethread.
-----------------------------------------

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:54 on 20/03/2012 (Michael)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
-----------------------------
----------------------------
.
DDS (Ver_2011-08-26.01) - NTFSAMD64
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_26
Run by Michael at 22:31:12 on 2012-03-20
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.4095.2702 [GMT 1:00]
.
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\FBAgent.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\System32\spoolsv.exe
F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE
C:\Windows\system32\svchost.exe -k imgsvc
F:\Programme\TomTom\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files (x86)\ASUS\ATK Hotkey\HControl.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\ATKOSD.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\KBFiltr.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\WDC.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files (x86)\ASUS\Asus WebStorage\BackupService.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Elantech\ETDCtrl.exe
C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
C:\Program Files\SRS Labs\SRS Premium Sound Control Panel\SRSPremiumPanel_64.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMTray.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDECK.EXE
C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Windows\AsScrPro.exe
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\DllHost.exe
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
C:\Windows\system32\svchost.exe -k HPService
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10l_ActiveX.exe
C:\Windows\system32\AUDIODG.EXE
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
uDefault_Page_URL = hxxp://asus.msn.com
mWinlogon: Userinit=userinit.exe
BHO: AutorunsDisabled - No File
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Bing Bar Helper: {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
TB: Bing Bar: {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
{555d4d79-4bd2-4094-a395-cfc534424a05}
uRun: [TomTomHOME.exe] "F:\Programme\TomTom\TomTom HOME 2\TomTomHOMERunner.exe"
mRun: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun: [HControlUser] C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
mRun: [ATKOSD2] C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
mRun: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r
mRun: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
mRun: [Setwallpaper] c:\programdata\SetWallpaper.cmd
mRun: [avgnt] "F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\avgnt.exe" /min
mRun: [<NO NAME>]
mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
StartupFolder: C:\Users\Michael\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\072725~1.LNK - C:\Windows\System32\rundll32.exe
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\FANCYS~1.LNK - C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\SRSPRE~1.LNK - C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut5_21C7B668029A47458B27645FE6E4A715.exe
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: E&xport to Microsoft Excel - C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{828F1B90-395B-4E89-A65F-A4EE32E25B1D} : DhcpNameServer = 192.168.0.1
TCP: Interfaces\{C6FF58B7-ED37-4B83-B529-326DAA773E2D} : DhcpNameServer = 192.168.0.1
TCP: Interfaces\{C6FF58B7-ED37-4B83-B529-326DAA773E2D}\64259445A51224F6870264F6E60275C414E40273137303 : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{C6FF58B7-ED37-4B83-B529-326DAA773E2D}\64279647A724F68723031303 : DhcpNameServer = 192.168.178.1
BHO-X64: AutorunsDisabled - No File
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
BHO-X64: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
{d2ce3e00-f94a-4740-988e-03dc2f38c34f}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
{8dcb7100-df86-4384-8842-8fa844297b3f}
TB-X64: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
EB-X64: {555D4D79-4BD2-4094-A395-CFC534424A05} - No File
mRun-x64: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun-x64: [HControlUser] C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
mRun-x64: [ATKOSD2] C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
mRun-x64: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r
mRun-x64: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
mRun-x64: [Setwallpaper] c:\programdata\SetWallpaper.cmd
mRun-x64: [avgnt] "F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\avgnt.exe" /min
mRun-x64: [(Standard)]
mRun-x64: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun-x64: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun-x64: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Michael\AppData\Roaming\Mozilla\Firefox\Profiles\fbu52zg2.default\
FF - plugin: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll
FF - plugin: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
FF - plugin: F:\Programme\Internet\Mozilla Firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
============= SERVICES / DRIVERS ===============
.
R0 lullaby;lullaby;C:\Windows\system32\DRIVERS\lullaby.sys --> C:\Windows\system32\DRIVERS\lullaby.sys [?]
R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?]
R2 AFBAgent;AFBAgent;"C:\Windows\system32\FBAgent.exe" --> C:\Windows\system32\FBAgent.exe [?]
R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\system32\atiesrxx.exe --> C:\Windows\system32\atiesrxx.exe [?]
R2 AntiVirSchedulerService;Avira AntiVir Planer;F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\sched.exe [2009-12-30 108289]
R2 AntiVirService;Avira AntiVir Guard;F:\Programme\Antivirenprogramme\Avira\AntiVir Desktop\avguard.exe [2009-12-30 185089]
R2 ASMMAP64;ASMMAP64;C:\Program Files\ATKGFNEX\ASMMAP64.sys [2009-12-3 14904]
R2 avgntflt;avgntflt;C:\Windows\system32\DRIVERS\avgntflt.sys --> C:\Windows\system32\DRIVERS\avgntflt.sys [?]
R2 BBUpdate;BBUpdate;C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-10-13 249648]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
R2 TomTomHOMEService;TomTomHOMEService;F:\Programme\TomTom\TomTom HOME 2\TomTomHOMEService.exe [2011-4-22 92592]
R3 AmUStor;AM USB Stroage Driver;C:\Windows\system32\drivers\AmUStor.SYS --> C:\Windows\system32\drivers\AmUStor.SYS [?]
R3 ETD;ELAN PS/2 Port Input Device;C:\Windows\system32\DRIVERS\ETD.sys --> C:\Windows\system32\DRIVERS\ETD.sys [?]
R3 RTL8167;Realtek 8167 NT Driver;C:\Windows\system32\DRIVERS\Rt64win7.sys --> C:\Windows\system32\DRIVERS\Rt64win7.sys [?]
R3 usbfilter;AMD USB Filter Driver;C:\Windows\system32\DRIVERS\usbfilter.sys --> C:\Windows\system32\DRIVERS\usbfilter.sys [?]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;C:\Windows\system32\drivers\viahduaa.sys --> C:\Windows\system32\drivers\viahduaa.sys [?]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;C:\Windows\system32\DRIVERS\WSDPrint.sys --> C:\Windows\system32\DRIVERS\WSDPrint.sys [?]
S2 BBSvc;Bing Bar Update Service;C:\Program Files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-10-21 196176]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 fssfltr;fssfltr;C:\Windows\system32\DRIVERS\fssfltr.sys --> C:\Windows\system32\DRIVERS\fssfltr.sys [?]
S3 fsssvc;Windows Live Family Safety;C:\Program Files (x86)\Windows Live\Family Safety\fsssvc.exe [2008-12-8 533344]
S3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;C:\Windows\system32\DRIVERS\SiSG664.sys --> C:\Windows\system32\DRIVERS\SiSG664.sys [?]
S3 SynasUSB;SynasUSB;C:\Windows\system32\drivers\SynUSB64.sys --> C:\Windows\system32\drivers\SynUSB64.sys [?]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
.
=============== Created Last 30 ================
.
2012-03-14 20:36:50 5559152 ----a-w- C:\Windows\System32\ntoskrnl.exe
2012-03-14 20:36:48 3968368 ----a-w- C:\Windows\SysWow64\ntkrnlpa.exe
2012-03-14 20:36:47 3913584 ----a-w- C:\Windows\SysWow64\ntoskrnl.exe
2012-03-14 13:47:10 3145728 ----a-w- C:\Windows\System32\win32k.sys
2012-03-14 13:47:06 1544192 ----a-w- C:\Windows\System32\DWrite.dll
2012-03-14 13:47:06 1077248 ----a-w- C:\Windows\SysWow64\DWrite.dll
2012-03-14 13:46:08 1031680 ----a-w- C:\Windows\System32\rdpcore.dll
2012-03-14 13:46:07 826880 ----a-w- C:\Windows\SysWow64\rdpcore.dll
2012-03-14 13:46:07 23552 ----a-w- C:\Windows\System32\drivers\tdtcp.sys
2012-03-14 13:46:07 210944 ----a-w- C:\Windows\System32\drivers\rdpwd.sys
2012-03-14 13:46:04 9216 ----a-w- C:\Windows\System32\rdrmemptylst.exe
2012-03-14 13:46:04 77312 ----a-w- C:\Windows\System32\rdpwsx.dll
2012-03-14 13:46:04 149504 ----a-w- C:\Windows\System32\rdpcorekmts.dll
2012-03-05 20:22:36 -------- d-----w- C:\Program Files (x86)\ElsterFormular
.
==================== Find3M ====================
.
2012-03-20 18:50:50 45056 ----a-w- C:\Windows\System32\acovcnt.exe
2012-02-19 18:00:16 152576 ----a-w- C:\Windows\SysWow64\msclmd.dll
2012-02-19 18:00:15 175616 ----a-w- C:\Windows\System32\msclmd.dll
2012-01-04 10:44:20 509952 ----a-w- C:\Windows\System32\ntshrui.dll
2012-01-04 08:58:41 442880 ----a-w- C:\Windows\SysWow64\ntshrui.dll
2011-12-30 06:26:08 515584 ----a-w- C:\Windows\System32\timedate.cpl
2011-12-30 05:27:56 478720 ----a-w- C:\Windows\SysWow64\timedate.cpl
2011-12-28 03:59:24 498688 ----a-w- C:\Windows\System32\drivers\afd.sys
2009-04-08 18:31:56 106496 ----a-w- C:\Program Files (x86)\Common Files\CPInstallAction.dll
2008-08-12 05:45:20 155648 ----a-w- C:\Program Files (x86)\Common Files\MSIactionall.dll
.
============= FINISH: 22:32:02,10 ===============
Anbei der Report von Antivir und die attach - datei

Ich hoffe, dass ich eure forenregeln richtig verstanden habe. und bitte um hilfe. falls es hilft: Ich habe eine Recovery - DVD für mein System. Wie soll ich vorgehen??

Alt 21.03.2012, 11:27   #2
markusg
/// Malware-holic
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



hi
bei dem folgendem scan, den infizierten nutzer wählen.
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.
__________________

__________________

Alt 22.03.2012, 04:50   #3
Los Zementos
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



Guten Morgen,

hier sind nun die Dateinen, sind in einer verpackt.

Gruß
__________________

Alt 22.03.2012, 11:01   #4
markusg
/// Malware-holic
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - Startup: C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.7272582825244596.exe.lnk ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.03.2012, 18:02   #5
Los Zementos
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



Ich habe es wie beschrieben durchgeführt.

Mein Admin -Konto ist wieder verfügbar, jedoch wurde keine otl.txt - datei erstellt oder geöffnet. Habe die festplatte C: durchsuchen lassen. nichts zu finden. habe nur das gefunden!

========== OTL ==========
C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.7272582825244596.exe.lnk moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Gast
->Temp folder emptied: 71854 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 16698344 bytes

User: Michael
->Temp folder emptied: 114301891 bytes
->Temporary Internet Files folder emptied: 33794052 bytes
->Java cache emptied: 6643412 bytes
->FireFox cache emptied: 510731514 bytes
->Flash cache emptied: 45686 bytes

User: Public

User: Tine
->Temp folder emptied: 8418333 bytes
->Temporary Internet Files folder emptied: 158996163 bytes
->Flash cache emptied: 4116 bytes

Total Flash Files Cleaned = 810.00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: Michael
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Tine
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 325115687 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes

Total Files Cleaned = 310.00 mb


OTLPE by OldTimer - Version 3.1.48.0 log created on 03222012_195241

gruß


Alt 22.03.2012, 19:54   #6
markusg
/// Malware-holic
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



das ist sie doch :-)
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
--> BKA/UKash - Windows Gesperrt.

Alt 26.03.2012, 20:03   #7
Los Zementos
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



Hi, das Wochenende ist arbeitsfrei, also nun der Post...

Alt 26.03.2012, 20:18   #8
markusg
/// Malware-holic
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



öffne computer, c: qoobox rechtsklick quarantain, mit winrar oder zip packen, evtl. senden an zip komprimierter ordner, dann hochladen:
Trojaner-Board Upload Channel
wenn erledigt, bescheid sagen bitte
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 27.03.2012, 16:10   #9
Los Zementos
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



Habe die Datei hochgeladen, hoffe es hat funktioniert...

Alt 27.03.2012, 16:47   #10
markusg
/// Malware-holic
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



man dankt.
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 27.03.2012, 17:16   #11
Los Zementos
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



ja nutze ich... Lass mich raten, system neu aufsetzen???

Alt 27.03.2012, 18:23   #12
markusg
/// Malware-holic
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



ja, und die bank anrufen, sorry, dass ich keine besseren nachichten habe.
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.03.2012, 16:11   #13
Los Zementos
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



Hi, ich habe noch fragen.

1. Was muss ich der Bank sagen, bzw. was sollen die dann machen??

2. Warum muss ich Autorun für die Laufwerke abschalten? und voralem welche Laufwerke?

3. Alle Festplatten formatieren? Ich nutze meine recovery cd. Die anleitung zum Formatieren finde ich bestimmt im forum.

Kann ich daraus schließen, dass der pc nicht frei von schädlingen ist...?

gruß.

Alt 28.03.2012, 16:24   #14
markusg
/// Malware-holic
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



du hast den trojan.banker, du möchtest neue zugangsdaten, und bis dahin muss dein zugang gespert werden, autorun deaktivieren ist eine sicherheitsmaßname.
wie sind deine festplatten aufgeteilt, sind da daten partitionen dabei oder eine mit windows, eine mit instalationen?
anleitung zum formatieren etc bekommst du dann.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.03.2012, 19:04   #15
Los Zementos
 
BKA/UKash - Windows Gesperrt. - Standard

BKA/UKash - Windows Gesperrt.



Sehr informativ. Online Banking habe ich Sperren lassen.
Partitionen C: OS D: Eigene Dateien F: Installationen und Downloads.
Dies ist ein Fertig PC. Asus x5DAD. Die Recovery habe ich nach dem ersten Hochfahren damals erstellt mit dem vorinstallieren Programm vom pc hersteller.

Geändert von Los Zementos (28.03.2012 um 19:16 Uhr)

Antwort

Themen zu BKA/UKash - Windows Gesperrt.
100 eur, adobe, antivir guard, asus, avgnt, avira, bingbar, bitte bezahlen sie, bka/ukash, defender, desktop, excel, explorer, firefox, gesperrt, helper, home, hotkey, mozilla, pdf, plug-in, programme, realtek, rundll, security, sound, svchost.exe, usb, wallpaper, windows, windows 7 home, windows 7 home premium, wmp




Ähnliche Themen: BKA/UKash - Windows Gesperrt.


  1. GVU Trojaner hat Windows 7 gesperrt - Webcam - paysafecard oder ukash - Trojaner-Board
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (3)
  2. GVU Trojaner hat Windows 7 gesperrt / Webcam / paysafecard oder ukash
    Log-Analyse und Auswertung - 28.04.2013 (13)
  3. GVU Trojaner hat Windows 7 gesperrt / Webcam / paysafecard oder ukash
    Plagegeister aller Art und deren Bekämpfung - 16.02.2013 (13)
  4. ukash-trojaner-Rechner gesperrt
    Plagegeister aller Art und deren Bekämpfung - 12.01.2013 (2)
  5. GVU Ukash Trojaner - PC gesperrt
    Log-Analyse und Auswertung - 03.09.2012 (3)
  6. Computer gesperrt - vermutlich Ukash
    Plagegeister aller Art und deren Bekämpfung - 18.08.2012 (13)
  7. Ukash: WinXP gesperrt, Taskmanager gesperrt (Driveby Download mit IE)
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (5)
  8. ukash Trojaner Bildschirm gesperrt
    Log-Analyse und Auswertung - 19.05.2012 (3)
  9. Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Log-Analyse und Auswertung - 21.03.2012 (3)
  10. Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Plagegeister aller Art und deren Bekämpfung - 16.03.2012 (11)
  11. Computer gesperrt! security center ukash virus! windows 7
    Log-Analyse und Auswertung - 15.03.2012 (3)
  12. Computer gesperrt, ukash 100€
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (8)
  13. Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Plagegeister aller Art und deren Bekämpfung - 19.02.2012 (9)
  14. Computer gesperrt Windows Security Center 100 € Ukash
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (22)
  15. Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Plagegeister aller Art und deren Bekämpfung - 11.02.2012 (12)
  16. Ebenfalls - Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Log-Analyse und Auswertung - 06.02.2012 (7)
  17. Ukash Trojaner Windows Security Center Computer wurde gesperrt
    Log-Analyse und Auswertung - 29.01.2012 (7)

Zum Thema BKA/UKash - Windows Gesperrt. - Hallo! Als ich vorhin über mein Admin Konto im Netz surfte wurde mein Betriebssystem plötzlich gesperrt. Es erschien nurnoch ein Fenter Zitat: "Das BKA hat Ihr Betriebssystem...wegen ...[krimineller Aktivitäten]... gesperrt... - BKA/UKash - Windows Gesperrt....
Archiv
Du betrachtest: BKA/UKash - Windows Gesperrt. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.