Hallo,

ich bin neu hier im Forum.

Ich leg einfach mal los:
Am 16.7.2012 hatte ich einen BKA-Trojaner mit der KWU_1.0.3.upd.iso erfolgreich bekämpft. Erfolgreich insofern als dass mein Netbook wieder einwandfrei lief.
Am 3.10.2012 habe ich mir mit dem Netbook wieder so was ähnliches eingefangen, rechts oben auf dem "Lockfenster" steht diesmal POLIZEI.
Naja Ihr kennt das ja.
Also habe ich meine Rescue-CD von damals genommen und bin wieder ans Werk gegangen. Diesmal erfolglos, denn da kommt im Ablauf irgendwann die Stelle wo man aufgefordert wird irgend eine Taste zu drücken, macht man das, passiert aber stundenlang genau nichts.

Meine Fragen dazu: Ist die KWU_1.0.3.upd.iso noch aktuell?
Hab ich mein Gerät (Netbook, Windows7) schon kaputt gemacht?
Muss ich daher neu aufsetzen?
Wie kann ich Daten retten bzw. geht das noch?
Was muss ich Euch an Daten liefern, dass mir jemand helfen kann?
Ich bitte um Anleitung, auf Neudeutsch: please advise

Noch was: bei dem alten Virus war es so, dass ich ohne irgend einer Internetverbindung den PC wie üblich hochfahren konnte und so alle Daten auf eine Festplatte kopieren konnte. Das hab ich mit dem neuen Virus noch nicht probiert. Probier ich heute noch.

Vielen Dank erstmal und hoffentlich bin ich in der richtigen Ecke des Forums.
Ich bitte auch denjenigen oder diejenige der/die sich um mich annimmt schon mal um Geduld am WE muss ich noch andere Arbeit erledigen, das mit dem PC läuft so nebenbei.

Beste Grüsse mal an Alle!

hi es reicht eben nicht, wie von den ganzen zeitschriften, chip zb, empfohlen irgenwelche scanner laufen zu lassen etc.
1. können scanner nur das finden was sie kennen, bei der manuellen analyse sieht man unbekannte malware, wenn es denn solche gibt.
2. sind die sicherheitslücken, durch die die infektion ins system kamen immernoch offen.
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hi,
also erst einmal 1000-Dank für die rasche Antwort.
Ich bin bis zu dem Punkt gekommen wo man den REATOGO-X-PE Schirm sieht. Dann hab ich das gelbe OTLPE-icon doppelgeklickt. Dann kommt ein Fenster "Browse for Folder" in dem "My Computer" defaultmäßig vorgewählt ist. Frisch drauflosgeklickt meldet der RunScanner, dass er keine Windows installation findet. Gut, also sucht der RunScanner wohl eine Windowsinstallation, also wählte ich "System(C"aus. Daraufhin meldet Der RunScanner als Error, dass das Target nicht windows 2000 oder später ist.
Was habe ich da übersehen, falsch gemacht oder was auch immer?
Könnt ihr mir da weiterhelfen?
Ich hatte ein Windows7-starter auf meinem Netbook.
Besten Gruß, mb700

Hallo nochmal
Es hat mir keine Ruhe gelassen und durch Herumspielen bin ich ein wenig weitergekommen, bitte aber beachten, dass das was da entstanden ist ein Ergenis des Spielens war:
Ich schrieb schon vorher, dass ich nach dem Doppelklicken des gelben OTLPE-Icons nicht nach "Do you wish to load the remote registry" gefragt worden bin. Ich habe aber einfach alle am Desktop liegenden Programme durch Anklicken hintereinander geöffnet und angeschaut. Irgendwann kam dann obige Frage die ich dann mit Yes beantwortete. Und tatsächlich kam nachher die Frage "Do you wish to load remote user profile(s) for scanning" und genauso wählte ich gemäß der Anleitung: Yes und entfernte den Haken bei "Automatically Load All Remaining Users" , da er gesetzt war."
Dann kam das große Fenster links oben mit den 4 Knöpfen, einer hieß "Run Scan" ein anderer "FixScan" ich wählte "RunScan", das Ergebnis habe ich in OTL.txt gepostet. Anschließend kopierte ich von Deiner Anwort, MarkusG, alle Zeilen beginnend mit "activex" und endend mit "%userprofile%....exe" in die große unten stehende Textbox. Das was da rausgekommen ist, ist in OTL2.txt zu sehen. OTL2 ist größer als OTL, und einige dieser Steueranweisungen führten nur zu einer Fehlermeldung, mehr konnte ich aus dem Überfliegen der OTL2 nicht rauslesen.

Ich hoffe nun meinen Teil beigetragen zu haben, sodaß mir geholfen werden kann. Aber, wie eingangs erwähnt, bin ich mit der Anleitung nicht ganz klar gekommen, weil sich mein babynetbook ein bischen anders verhalten hat. Ich bedanke mich schon mal im voraus für die Mühe, die Ihr (oder Du) euch (dir) machst.

Beste Grüße,
mb700

Hallo,
scheint irgendwie ein schwieriger Fall zu sein. Ich sehe, dass meine OTLs einige male aufgerufen wurden. Darf ich mal höflich fragen ob es an mir bzw. an meinen OTL-Dateien liegt, dass ich keine Antwort erhalte? Oder hab ich mich ganz dumm angestellt? Oder seid Ihr einfach überlastet durch so viele Ukash-befallene Rechner?

Durch die Prozedur kann ich wenigstens meine Dateien ansehen. Ist es in dieser Situation ratsam die Dateien auf meine externe HD zu kopieren? Ich befürchte, dass ich da den Virus mitkopieren könnte. Ist diese Befürchtung gerechtfertigt?


Danke und viele Grüße,
mb700

hi
wie du in meiner signatur sehen kannst, war ich krank
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Papa_ON_D..\Run: [sioughzplurltlz] D:\ProgramData\sioughzp.exe ()
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Hallo markusg,

hoffe es geht Dir wieder besser, ich danke mal für Deine Anleitung, aber ich komme nur langsam weiter.
Ich habe den Runfix gestartet. Vom Stick konnte ich nicht einlesen, da kommt irgendeine Fehlermeldung und die Kiste steht.
Macht aber nichts. Ich hab den Scan laufen lassen, aus dem logfile die lange Zeile "04 - HKU..." rauskopiert und mit paste in das codefenster fallen lassen, den Rest habe ich händisch getippt (war schwierig, denn die Tastaturbelegung war ganz anders) als ich alle Anweisungen beisammen hatte habe ich den runfix erneut laufen lassen. Als ich zum reboot kam und ich mit ja bestätigte tat sich gar nichts, einfach nichts.
Dann musste ich den OTLPE nochmals starten. Diesmal lies ich den Befehl Reboot einfach weg und ich erhielt ein logfile, bitte siehe Anhang.
(purity bewirkt gar nix und emptyflash und emtytemp finden nix was zu löschen ist)
Daher meine ich, dass OTLpe nicht in der Lage ist sioughzp zu entfernen, was durch den anschließenden scan bestätigt wird. Die Zeile "04 - .....sioughzp.exe" ist immer noch im scanlogfile drinnen.

Ach ja, versuchsweise hab ich abschließend von der HD gebootet und natürlich ist Ukash immer noch aktiv.

Heisst die Malware, die mit dem Run-Befehl vom Directory ProgramData aus gestartet wird, immer anders?

Bringt es was einfach im Directory ProgramData die sioughzp.exe manuell zu löschen und/oder in HKU\Pa..\ die Run-Anweisung zu löschen?

Was habe ich falsch gemacht? Kannst Du mir wieder weiterhelfen?

Dankeschön im Voraus und viele Grüße,
mb700

Hallo an alle die zuschauen und ganz besonders dem marcusg!

Ich hoffe, dass es seiner Hand bald wieder besser geht.
Ich habe, nachdem ich mit dem Fix nicht so recht weitergekommen bin, die sioughzp.exe umbenannt auf sioughzp.txt. Dann habe ich eine seltsam benannte Datei(wirre Buchstabenfolge ohne .xyz hinten dran) ebenfalls auf D:\ProgramData mit gleichen Datums, auch auf .txt umbenannt. All das habe ich mit dem Reatogo-Windows-XP gemacht, da ich mit Windows7 die D:\ProgramData gar nicht sehen kann. Von Reatogo hab ich dann auch einen Restart angestoßen und zwar einen normalen, also nicht im abgesicherten Modus, und siehe da, Windows7 läuft normal hoch:Ukash

Aber die Sau ist noch nicht entfernt, sondern kann halt nur nicht mehr arbeiten.

Also bitte ich wieder mal um weitere Anweisungen wie ich weiter verfahren soll.

Danke und beste Grüße,
mb700

bitte unterlasse weitere eigene maßnamen, danke

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo,
habe Combofix laufen lassen, es hat total problemlos funktioniert.
Anbei log.txt
Ich bitte um Analyse.
Besten Dank und viele Grüße,
mb700

hi
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo,
Kinder wie die Zeit vergeht.
Anbei das Logfile vom Malwarebyte.
Bitteschön, wie soll es weitergehen?
Vielen vielen Dank!

lade den CCleaner standard:
CCleaner Download - CCleaner 3.24.1850
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.