Hallo zusammen!

Ich habe mir den ukash Trojaner von der flirtfever Mahn-email eingefangen. Nachdem ich mir ähnliche Beiträge und alle Tipps eurerseits durchgelesen habe, habe ich Folgendes unternommen:

1. Malwarebytes laufen lassen, jedoch OHNE Fund! Die Zusammenfassung habe ich trotzdem angehängt.

2. Defogger laufen lassen, hier wurde mir keine Meldung ausgegeben.

3. OTL laufen lassen, die txt-Dateien habe ich angehängt.

Ich würde mich sehr freuen wenn mir jemand weiterhelfen könnte! Sitze noch bis Ende Juni in London fest und bezweifle, dass ich hier im normalen Computerladen jemanden finde, der mir bei meinem deutschen Betriebssystem (Windows 7 32 bit) weiterhelfen kann!

Ich kenne mich übrigens nicht besonders gut mit Betriebssystemen/Software/Hardware aus, insofern bin ich um jede simple Anleitung dankbar!

Schon einmal vielen Dank im Voraus!

Jana

hi
1.
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [6C3CFA84] C:\Users\Jana Engel\AppData\Roaming\Aavegvegve\7EADA6046C3CFA84886A.exe (AIMP DevTeam)
 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

2. falls du jetzt in den normalen modus kommst, und verschlüsselte dateien hast, nutze shadow explorer.
http://www.trojaner-board.de/115496-...erstellen.html

3.
falls das geklappt hat, hiermit weiter
die infektionsquelle.

an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hi Markus,

vielen Dank für deine schnelle Antwort!

Leider ist der Trojaner wohl etwas hartnäckig, siehe otl.txt:

All processes killed
Error: Unable to interpret <‎:OTL> in the current context!
Error: Unable to interpret <O4 - HKCU..\Run: [6C3CFA84] C:\Users\Jana Engel\AppData\Roaming\Aavegvegve\7EADA6046C3CFA84886A.exe (AIMP DevTeam)> in the current context!
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 56475 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Jana Engel
->Flash cache emptied: 79285 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Jana Engel
->Temp folder emptied: 1022017366 bytes
->Temporary Internet Files folder emptied: 102480874 bytes
->Java cache emptied: 16023041 bytes
->FireFox cache emptied: 164686947 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 77847447 bytes
RecycleBin emptied: 2212184 bytes

Total Files Cleaned = 1.321,00 mb


OTL by OldTimer - Version 3.2.46.1 log created on 06052012_221623

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Ich konnte auch nach dem Neustart mich nur wenige Minuten im normalen Modus bewegen, dann kam wieder die Bildschirmsperre und die Aufforderung, Geld zu überweisen.

Ich freue mich sehr wenn du noch eine Idee hast, den Fiesling zu killen!

Ich schicke dir gerne die verseuchte Mail nach deiner Anleitung, allerdings rufe ich diesen Email-Account über den Browser ab. (Da "Spam-Adresse" - die nutze ich nur, um mich im Internet zu bewegen und nicht für Geschäftliches, Freunde etc.) Ich bräuchte also leider noch die Anleitung um dir die Mail von web.de aus schicken zu können.

Viele Grüße,

Jana

hi, öffnen und weiterleiten ist ok
kannst du das script noch mal ausführen eig müsste es gehen

Tatsache! Diesmal hat's funktioniert!

Hier kommt der report:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\6C3CFA84 deleted successfully.
C:\Users\Jana Engel\AppData\Roaming\Aavegvegve\7EADA6046C3CFA84886A.exe moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Jana Engel
->Flash cache emptied: 1068 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Jana Engel
->Temp folder emptied: 2887976 bytes
->Temporary Internet Files folder emptied: 118994 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 91487719 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 5106 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 90,00 mb


OTL by OldTimer - Version 3.2.46.1 log created on 06072012_213056

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



Ganz herzlichen Dank! Werde euch auf jeden Fall etwas spenden!
Und die Mail natürlich an dich weiterleiten!

Muss ich jetzt sonst noch irgendwas beachten?

Nochmal vielen Dank an dich!

Jana