U-Cash-Trojaner startet bei Browserstart und legt Vista lahm

IamShine

Hallo,
ich bitte um Hilfe beim U-Cash-Trojaner. Bin ein durchschnittlicher User, also keine Ahnung hiervon.
Habe evt. irgendwo auf hxxp:\\www.serienjunkies.org einen infizierten Link erwischt, obwohl ich nicht als Administrator gesurft bin. Plötzlich erschien auf dem gesamten Bildschirm ein Text von der angeblichen Bundespolizei, ich hätte einen von mehreren Gesetzesverstößen begangen, die dann aufgeführt wurden, teilweise mit Info, welches Strafmaß darauf steht, z.B. Nutzung von urheberrechtlich geschützten Inhalten, Download von verbotenen pornografischen Inhalten, oder mein Computer wurde ohne mein Wissen zum Versenden von Spams verwendet, und noch einiges andere. Es war eine IP-Adresse dargestellt, die meine sei, und es wurde gesagt, dass gerade meine Identität bestimmt würde und innerhalb der kommenden 72 Stunden ein Strafverfahren gegen mich angestrebt würde. Ich könne dies vermeiden, wenn ich innerhalb dieser Zeit 100 Euro mittels UCash-Verfahren oder einem anderen Verfahren, die dann beide erklärt wurden, zahlen würde. Ansonsten würde nach weiteren 72 Stunden ein Strafverfahren gestartet. Möglich sei diese 100-Euro-Regelung durch eine Gesetzesänderung von ca. Mitte August 2012 (habe den genauen Tag vergessen). Gleichzeitig wurde meine Screen-Kamera aktiviert, so dass ich mich in einem kleinen Kästchen auf dem Bildschirm sah. Habe diesen Trojaner-Screen leider nicht fotografiert. Da ich per W-Lan im Netz war, konnte ich kein LAN-Kabel ziehen und den Bildschirm nur durch Herunterfahren mittels Gedrückthalten der An-Taste verlassen. Nach erneutem Hochfahren konnte ich scheinbar normal auf Vista arbeiten, wenngleich ständig die Meldung kam „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“, doch sobald ich wieder Internetverbindung herstellte und den Internet Explorer öffnete, erschien wieder die Bundespolizei-Meldung und der Laptop war blockiert. Im Nachhinein habe ich festgestellt, dass ich nicht mehr im Abgesicherten Modus mit Eingabeaufforderung starten konnte, wohl aber im Abgesicherten Modus. Der Laptop ist übrigens in kein Netzwerk integriert.
Habe dann mein täglich geupdatetes Avira Free Antivirus gestartet und eine Schnelle Systemprüfung auf C: ohne Administratorrechte durchgeführt.
Ergebnis (da ich mich nicht traue, das logfile vom infizierten Rechner auf Datenträger zu kopieren oder mit dem infizierten Rechner wieder online zu gehen, damit er nicht womöglich Malware nachlädt, muss ich alle folgenden logfiles abtippen und beschränke mich auf das Nötigste und hoffentlich Relevante):
…
Beginne mit der Suche in ‘C:\Users\XXX’
C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C: \Users\XXX\Downloads\Downloads\video_downloader.exe
Beginne mit der Suche in ‘C:\Windows’
Beginne mit der Suche in ‘C:\Users\’
C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C: \Users\XXX\Downloads\Downloads\video_downloader.exe
Beginne mit der Suche in ‘C:\Program Files‘

Beginne mit der Desinfektion:
C: \Users\XXX\Downloads\Downloads\video_downloader.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚569119be.qua‘ verschoben!
C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚4e063619.qua‘ verschoben!

Ende des Suchlaufs…
…
4 Viren bzw. unerwünschte Programme wurden gefunden
…
2 Dateien wurden in die Quarantäne verschoben
…
8 Warnungen
2 Hinweise

Mir fällt ein, dass ich die im logfile genannte Datei video_downloader.exe irgendwo ca. 3 Tage zuvor von serienjunkies.org runtergeladen und möglicherweise auch gestartet hatte, aber eben nicht erst kurz vor Auftauchen des Trojaners. Kurz nach Runterladen der Datei video_downloader.exe hatte avira auch mehrmals eine Meldung angezeigt, dass das Virus ‚Adware‘ gefunden worden sei, irgendwann gab es diese Meldung dann aber nicht mehr. Video_downloader.exe müsste ein download gewesen sein, zu dem ich aufgefordert wurde, als ich entweder nach Streams von Spartacus oder Games of Thrones gesucht habe – sollte ich den Admin von serienjunkies-org informieren? Sollte ich bei der Polizei Anzeige erstatten?

Die Desinfektion durch avira hat nichts gebracht. Avira konnte ab dann auch nicht mehr updaten. Habe danach mit avira eine Vollständige Systemprüfung auf C: und D: durchgeführt und folgendes Ergebnis bekommen:
…
Beginne mit der Suche in ‘C:\‘ <BOOT>
C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V015TM4T/avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Beginne mit der Suche in ‘D:\‘ <RECOVER>

Beginne mit der Desinfektion:
C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚56cd5a57.qua‘ verschoben!

Ende des Suchlaufs…
…
1 Viren bzw. unerwünschte Programme wurden gefunden
…
1 Dateien wurden in die Quarantäne verschoben
…
5 Warnungen
1 Hinweise


Habe dann auf anderem Rechner gegoogelt und einige Infos über den UCash-Trojaner gefunden, aber nur überflogen. Bin dann auf euch gestoßen und habe entsprechend euren Anweisungen die folgenden Schritte unternommen, wobei ich die nötigen Programme davor auf CD gebrannt habe und von CD auf den infizierten Rechner kopiert und von dort gestartet habe:

Habe Malwarebytes AntiMalware auf den infizierten Rechner gebracht. Da die Malware-Datenbank schon 40 Tage alt war, habe ich die rules.ref-Datei durch die aktuelle rules.ref-Datei ersetzt – dann ließ sich Malwarebytes aber nicht mehr starten und gab eine Fehlermeldung aus. Habe dann die 40 Tage alte Malwarebytes AntiMalware gestartet und danach einen Neustart gemacht.
Hier ist das logfile:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
…

Datenbank Version: v2012.07.03.05
Windows Vista Service Pack 2 x86 NFTS
Internet Explorer 9.0.8112.16421
Admin :: xxx-PC [Administrator]
Schutz: Deaktiviert
12.08.2012 15:01:10
mbam-log-2012-08-12 (15-01-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\ID:\)
Aktivierte Suchlaufeinstellungen: Speicher – Autostart –Registrierung – Dateisystem – Heuristiks/Extra – Heuristiks/Shuriken – PUP – PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 499669
Laufzeit: 1 Stunde, 38 Min

…

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion/Uninstall\Video Downloader (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

…

Infizierte Dateien: 1
C.\Program Files\vGrabber-software/‘Uninstall.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Habe dann defogger gestartet entsprechend euren Anweisungen –ohne Fehlermeldung. Habe dann defogger geschlossen. Neustart. Fehlermeldung „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“ erhalten. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled.

Habe dann OTL mehrfach gestartet, weil ich vergessen hatte, das System neu zu starten bzw. den Avira-Echtzeitscanner zu deaktivieren und Malwarebytes Protection zu disablen. Quick Scan durchgeführt. Das „Extras“-Scan-log ist allerdings nur beim ersten Starten von OTL erstellt worden… Meint ihr, ich kann es riskieren, die scan logs per USB-Stick auf einen anderen Rechner zu kopieren, oder riskiere ich dann eine Verseuchung des anderen Rechners? Ansonsten müsste ich die gesamten langen scan logs abtippen??? Oder soll ich schauen, ob ich inzwischen wieder ins Internet kann? Dann kann ich die scan logs vom infizierten Rechner aus posten…???
System neugestartet. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled.
Dann gmer gestartet. Während des Scans Fehlermeldung „96jksucf.exe funktioniert nicht mehr“.
Problemereignisname: APPCRASH
Anwendungsname: 96jksucf.exe
Anwendungsversion: 1.0.15.15641
Anwendungszeitstempel: 4e21f2b1
Fehlermodulname 96jksucf.exe
Fehlermodulversion: 1.0.15.15641
Fehlermodulzeitstempel 4e21f2b1
Ausnahmecode c0000005
Ausnahmeoffset 0000c676
Betriebssystemversion 6.0.6002.2.2.0.768.3
Gebietsschema-ID 1031
Zusatzinformation 1: a76a
Zusatzinformation 2: 5cf9039e0c8e4e0bf02ab3e23db0c4f0
Zusatzinformation 3: b114
Zusatzinformation 4: d9d01fee0875b74ac070be8d125aa4b2

Habe dann das Programm geschlossen. Was kann ich nun tun? Auf dem Rechner sind nur einige Office-Dokumente, Audios und Videos sowie Mails und Kontakte, die ich gerne retten würde und die auch problemlos geöffnet werden können.
Danke im Voraus!