Hallo,

es sieht so aus, als bräuchten wir Hilfe...

Ein Freund hat mir gesagt, dass er nicht mehr ins Internet kommt und eine Anzeige hat, die von der Bundespolizei sein soll und er solle Geld bezahlen, damit sein Rechner entsperrt wird, da er pronografische und kinderpornografische Dateien hätte und ein Urheberrechtsproblem. Von Verschlüsselung ist nicht die Rede. Er kann sich selbst auf dem Monitor von seiner Laptopkamera sehen. Er hat nur einen Rechner, kann aber Euer Forum im Handy lesen. Ob wir davon Logs posten können, wissen wir noch nicht, das kann ich aber abends von meinem Rechner tun (per USB-Stick).
Mein Freund hat gerade angerufen: er meint nach Handysurfen den "Ucash-Trojaner" identifiziert zu haben. Aber ich glaube, das ist nicht genau genug: es war nicht ganz genau diesselbe Anzeige (mit Kamerawiedergabe).

Ich fahre in einer Stunde zu ihm gleich zu ihm.

Malwarebytes Anti-Malware läuft bereits, wenn auch mit einer Virendefinition vom Freitag. Zum neuer Aktualisieren kam er nicht, da ja der Trojaner jetzt den Internetzugang sperrt. Wenn es soweit ist, poste ich den Log. Ich habe gesagt, er soll keine befallenen Dateien löschen.

Ich habe bei Chip.de den Kaspersky WindowsUnlocker geladen und gebrannt, hilft der? Hier ist dazu eine Anleitung: hxxp://www.chip.de/bildergalerie/WindowsUnlocker-Starkes-Tool-gegen-Bundespolizei-Virus-Co.-Galerie_54218633.html

Er macht auch Onlinebanking, ich habe ihm geraten, so bald wie möglich sein Passwort zu ändern.

Ich bringe ihm defogger, OTL und GMER vorbei.

Danke dafür, dass ihr uns helft!

Unglücklicherweise fahre ich am 26. in den Urlaub für 3 Wochen... ich hoffe, wir kommen zu etwas bis dahin... gmer scannt ja sehr lange (hat bei mir mal 24 Stunden gedauert...) wie gut ist der Kaspersky WindowsUnlocker?

Der Malwarebyte-Scan ist fertig. Ich habe alle drei gefundenen Bedrohungen in Quarantäne verschieben lassen.

Zitat:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.20.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Uwe :: UWE-PC [Administrator]

23.07.2012 16:02:07
mbam-log-2012-07-23 (16-02-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 347684
Laufzeit: 1 Stunde(n), 26 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\Users\Uwe\AppData\Local\Temp\fe0_zip.exe (Spyware.Zbot.DG) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Uwe\AppData\Local\Temp\fe0_zip.exe (Spyware.Zbot.DG) -> Löschen bei Neustart.
C:\Users\Uwe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Defogger lief ohne Probleme.

OTL Logfiles im Anhang.

GMER scannt noch, poste ich wenns fertig ist.

Hier der GMER Log als Anhang. Jetzt habe ich alles beachtet, oder?