Hallo liebes Trojaner-Board Team

Mein Computer hat sich den Ukash Trojaner nun auch eingefangen. Nach einiger Internetrecherche scheint es, dass ich damit lange nicht der einzige damit bin...
Nach einigen Hindernissen und Problemen beim booten der OTL-CD (Festplatte im BIOS auf IDE umstellen hat da geholfen) habe ich es doch noch hingekriegt den Check durchzufuehren. TLO.txt und Extras.txt habe ich angefuegt.
Bin um Hilfe bei den naechten Entfernungsschritten sehr dankbar.

Mit freundlichen Gruessen
Marcel

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
F3 - HKU\Marcel_ON_G WinNT: Load - (C:\Users\Marcel\LOCALS~1\Temp\msaupuxby.exe) - G:\Users\Marcel\Local Settings\Temp\msaupuxby.exe ()
O4 - HKU\Marcel_ON_G..\Run: [Yahoo] G:\Users\Marcel\AppData\Roaming\3A8F62\3A8F62.exe ()
O4 - HKU\Marcel_ON_G..\Run: [Ucuvryhi] G:\Users\Marcel\AppData\Roaming\Wiih\cuent.exe ()
O20 - HKU\Marcel_ON_G Winlogon: Shell - (C:\Users\Marcel\AppData\Roaming\msconfig.dat) - G:\Users\Marcel\AppData\Roaming\msconfig.dat ()
[2012/11/02 04:27:03 | 000,000,000 | ---D | C] -- G:\Users\Marcel\AppData\Roaming\Wiih
[2012/11/02 04:27:03 | 000,000,000 | ---D | C] -- G:\Users\Marcel\AppData\Roaming\Alkimy
:Files
G:\Users\Marcel\Local Settings\Temp\msaupuxby.exe
G:\Users\Marcel\AppData\Roaming\3A8F62
G:\Users\Marcel\AppData\Roaming\Wiih
:Commands
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

für eine weitere analyse benötige ich mal folgendes.
g:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.

Die Fix.txt Datei konnte ich nicht direkt vom USB-Stick laden (es erschien jedes Mal ein Adressfehler). Ich habe den Text in das log-Feld hineinkopiert und den "run fix" Button gedrueckt. OLT hat dann gefragt, ob ich neustarten moechte, was ich akzeptiert habe. Allerdings ist dann nichts passiert, es schien mir als ob der Computer haengengeblieben ist. Also habe ich nach ein paar Minuten manuell neu gestartet (ohne CD) aber die "Cyber Investigation Departement"-Mitteilung hat den Computer immernoch blockiert.

dann versuch den fix erneut auszuführen

Ok, hat zwar mehrere Anläufe gebraucht, aber nun sind die Files "MovedFiles" und "Cache" bei euch auf dem Upload Channel.
Der Virenscanner hat sich auch gemeldet (siehe printscreen)

danke fürs hochladen!
nutzt du den pc für onlinebanking zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

Ich habe bei einigen Flügen mit der Kreditkarte bezahlt, sonst nutze ich e-banking

muss ich meine Kreditkarte sperren lassen?

Ich habe bemerkt, dass einige Einstellungen sich verändert haben. Zum Beispiel läuft die Uhr nun zwei Stunden voraus und im Flash ist die Hardwarebeschleunigung eingestellt (war vorher aus)

hi
bekomm ich noch ne antwort auf meine frage :-)
betreffend banking etc.

Sorry, ich war diese Woche im Dienst.
Ich nutzte die Kreditkarte auf meinem Computer nur zum buchen von Flügen. Mittlerweile wurde die Kreditkarte unkompliziert ersetzt. Für meine Bankangelegenheiten logge ich mich mit Nummernkarte ein. Hat mein Virenscanner alle verseuchten Dateien entdeckt? Oder liest noch immer jemand mit?

nein,awir können nicht 100 %ig sicher gehen, dass wir alles entfernt haben, deswegen muss das system neu aufgesetzt werden, zumindest aus meiner sicht, da du sonst evtl. in zukunft böse überraschungen erleben könntest.
im gleichen zuge werden wir den pc vernünftig absichern, was der sicherheit zu gute kommt, und es dir ermöglicht, im internet wieder beruhigt zu zahlen.
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.