Ukash Trojaner ohne abgesicherten modus

kirschrum · 22.07.2012, 16:35

Hi,

haben den ukash trojaner am rechner. abgesicherter modus geht nicht.
hab nach anleitung otlepnet.exe laufen lassen und eine otl.txt und eine extra.txt rausbekommen

lg

t'john · 22.07.2012, 21:43

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

ATTFilter

:OTL
SRV - File not found [Disabled] -- -- (HidServ) 
SRV - File not found [On_Demand] -- -- (AppMgmt) 
DRV - File not found [Kernel | On_Demand] -- -- (WDICA) 
DRV - File not found [Kernel | On_Demand] -- -- (SYMREDRV) 
DRV - File not found [Kernel | On_Demand] -- -- (SYMNDIS) 
DRV - File not found [Kernel | On_Demand] -- -- (SYMIDS) 
DRV - File not found [Kernel | On_Demand] -- -- (SYMFW) 
DRV - File not found [Kernel | On_Demand] -- -- (SYMDNS) 
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) 
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) 
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) 
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) 
DRV - File not found [Kernel | System] -- -- (PCIDump) 
DRV - File not found [Kernel | System] -- -- (lbrtfdc) 
DRV - File not found [Kernel | System] -- -- (i2omgmt) 
DRV - File not found [Kernel | System] -- -- (Changer) 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= 
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Aladdin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2504091 
IE - HKU\Aladdin_ON_C\..\URLSearchHook: - Reg Error: Key error. File not found 
IE - HKU\Aladdin_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) 
IE - HKU\Aladdin_ON_C\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - File not found 
IE - HKU\Aladdin_ON_C\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll () 
IE - HKU\Aladdin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Aladdin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) 
File not found (No name found) -- 
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - File not found 
O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.8.3.6\CoIEPlg.dll (Symantec Corporation) 
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - File not found 
O3 - HKU\Aladdin_ON_C\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. 
O3 - HKU\Aladdin_ON_C\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.8.3.6\CoIEPlg.dll (Symantec Corporation) 
O4 - HKLM..\Run: [Cmd] C:\WINDOWS\command.win () 
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions) 
O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Programme\Logitech\Logitech WebCam Software\LWS.exe () 
O4 - HKLM..\Run: [MsConfig] C:\WINDOWS\system.win () 
O4 - HKLM..\Run: [NDSTray.exe] File not found 
O4 - HKLM..\Run: [TDispVol] C:\WINDOWS\System32\TDispVol.exe (TOSHIBA Corporation) 
O4 - HKLM..\Run: [TFncKy] File not found 
O4 - HKLM..\Run: [TPSMain] C:\WINDOWS\System32\TPSMain.exe (TOSHIBA Corporation) 
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\wpbt0.dll (??????????? ???????????) 
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe () 
O4 - HKLM..\Run: [WindowsVersion] C:\WINDOWS\boot.win () 
O4 - HKU\Aladdin_ON_C..\Run: [gmelbfsvqrnmvsi] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gmelbfsv.exe () 
O4 - HKU\.DEFAULT..\RunOnce: [] File not found 
O4 - HKU\Aladdin_ON_C..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil11e_Plugin.exe (Adobe Systems, Inc.) 
O4 - HKU\LocalService_ON_C..\RunOnce: [] File not found 
O4 - HKU\NetworkService_ON_C..\RunOnce: [] File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 
O7 - HKU\Aladdin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.) 
O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - C:\WINDOWS\System32\cryptnet32.dll () 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{e2902f04-f2fa-11df-8d1f-00a0d1334c22}\Shell\AutoRun\command - "" = E:\backup.exe 
O34 - HKLM BootExecute: (autocheck autochk *) - File not found 
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2012/07/14 21:07:56 | 000,049,152 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gmelbfsv.exe 
[2012/07/14 21:08:11 | 000,049,152 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gmelbfsv.exe 
[2010/10/24 05:48:17 | 000,082,944 | RHS- | C] () -- C:\WINDOWS\svchost.exe 
[7 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe 
[2012/07/22 10:55:10 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 
[2012/07/22 10:26:55 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 
[2012/07/14 21:07:56 | 000,049,152 | ---- | M] () -- C:\Dokumente und Einstellungen\Aladdin\ms.exe 
[2012/07/14 21:07:56 | 000,049,152 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gmelbfsv.exe 
[2012/07/14 21:07:56 | 000,049,152 | ---- | C] () -- C:\Dokumente und Einstellungen\Aladdin\ms.exe 
[2012/07/09 14:00:00 | 000,000,662 | ---- | M] () -- C:\WINDOWS\tasks\Norton Internet Security - Systemprüfung ausführen - Aladdin.job 
[2012/07/14 21:08:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bzytfwadqmglcod 
[2012/07/14 21:08:12 | 000,000,051 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\irukybyimdlmbpl 
[2012/07/14 21:08:11 | 000,049,152 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gmelbfsv.exe 
[2012/07/14 21:08:03 | 000,000,051 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\irukybyimdlmbpl 
[2012/07/14 21:08:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bzytfwadqmglcod 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

t'john · 05.08.2012, 02:05

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

Ukash Trojaner ohne abgesicherten modus

Log-Analyse und Auswertung: Ukash Trojaner ohne abgesicherten modus