Guten Tag.
Meine Mutter hat sich auf ihrem Laptop den UKASH-trojaner geholt.

Leider habe ich dieses Board viel zu spät gefunden und schon einige Reparatur-Methoden ausprobiert:
- Windows XP - Reparatur-Methode
- Windows XP Recovery Tool
- Windows Reparatur-Installation
- Bart PE
- Hiven Boot CD

Jetziger Status:
Windows XP zeigt nach dem Booten einen weissen Bildschirm. AntiVir meldet sein aktustisches Warnsignal.
Der Abgesicherte Modus geht nicht.
Mit Hiven konnte ich die wichtigsten Daten auf einen USB-Stick ziehen.

Nach dem Lesen von http://www.trojaner-board.de/126802-...infiziert.html hab ich mich an die dort beschriebene Anleitung gehalten.

OTLPE habe ich mir auf eine CD gebrannt und den Scan, wie in der Anleitung beschrieben, durchgeführt.
Die beiden Logfiles sind angehängt. Ich hoffe, ich habe dabei alles richtig gemacht.

Mir wäre es sehr lieb, wenn ich das System retten könnte und nicht den Rechner formatieren oder Windows komplett neu installieren müsste.

Vielen Dank für Ihre Hilfe.
Arne

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [SonyAgent] E:\WINDOWS\Temp\Temp98.exe () 
O4 - HKLM..\Run: [svñhîst] E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\2b42966b.exe (Opera Software) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 45411 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\mseobv.exe () 
:Files
E:\ProgramData\*.exe
E:\ProgramData\*.dll
E:\ProgramData\*.tmp
E:\ProgramData\TEMP
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
E:\Dokumente und Einstellungen\User\Anwendungsdaten\*.exe
E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\*.exe
E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\*.tmp
E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\*.exe
E:\Dokumente und Einstellungen\User\*.exe
E:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\ctfmon.lnk
E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk
E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Vielen Dank für Ihre Hilfe.

(Beim Fixen habe ich erneut die Einstellungen "Use Safelist" und "Minimale Ausgabe" gewählt. Falls das falsch war, bitte kurz informieren.)

Hier das entstandene log file:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SonyAgent deleted successfully.
File E:\WINDOWS\Temp\Temp98.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\svñhîst deleted successfully.
File E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\2b42966b.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\45411 deleted successfully.
D:\Dokumente und Einstellungen\All Users\Local Settings\Temp\mseobv.exe moved successfully.
========== FILES ==========
File\Folder E:\ProgramData\*.exe not found.
File\Folder E:\ProgramData\*.dll not found.
File\Folder E:\ProgramData\*.tmp not found.
File\Folder E:\ProgramData\TEMP not found.
File\Folder E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder E:\Dokumente und Einstellungen\User\Anwendungsdaten\*.exe not found.
File\Folder E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
File\Folder E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\*.exe not found.
File\Folder E:\Dokumente und Einstellungen\User\*.exe not found.
File\Folder E:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\ctfmon.lnk not found.
File\Folder E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk not found.
Folder E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found.
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
D:\cmd.bat deleted successfully.
D:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 12010754 bytes
->Temporary Internet Files folder emptied: 1054445 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: User
->Temp folder emptied: 896791024 bytes
->Temporary Internet Files folder emptied: 548599151 bytes
->Java cache emptied: 1456859 bytes
->FireFox cache emptied: 50361050 bytes
->Google Chrome cache emptied: 6417021 bytes
->Flash cache emptied: 107940 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 6667095 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 39459167 bytes
 
Total Files Cleaned = 1,491.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 11192012_225027
         

Beim Booten in den normalen Windows-Modus wird aber leider weiterhin der Whitescreen angezeigt und die akustische Viren-Warnmeldung ist zu hören.

Nach ca. 5 Minuten wurde die Festplatte leiser und ich entschied mich, den Ausknopf des Laptops zu drücken. Da konnte ich für ca. 2 Sekunden den Desktop und eine Warnmeldung von AntiVir über einen Virus in Ordner "Recycler" sehen.
Ich war vorbereitet und konnte ein Foto machen. Siehe Anhang.

Dann habe ich erneut mit OTLPE gebootet und das System erneut gescannt.
Siehe Anhang.

Für weitergehende Ratschläge wäre ich Ihnen sehr dankbar.

MfG
Arne

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\User_ON_C..\Run: [MSMSGS] File not found 
O4 - HKU\Administrator_ON_C..\RunOnce: [supportdir] File not found 
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Local AppWizard-Generated Applications = C:\Dokumente und Einstellungen\User\Anwendungsdaten\95B163\95B163.exe 
O20 - HKU\User_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\User\Anwendungsdaten\msconfig.dat) - C:\Dokumente und Einstellungen\User\Anwendungsdaten\msconfig.dat () 
[2012/11/19 17:13:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Startmenü\Programme\CyberLink PowerDVD 
[1979/12/31 18:00:00 | 000,068,608 | -HS- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\msconfig.dat 
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Guten morgen,

ich habe wieder mit OTLPE gebootet und dann den Fix ausgeführt.
Logfile:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry value HKEY_USERS\User_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\MSMSGS deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\RunOnce\\supportdir deleted successfully.
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Local AppWizard-Generated Applications deleted successfully.
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\User\Anwendungsdaten\msconfig.dat deleted successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\msconfig.dat moved successfully.
C:\Dokumente und Einstellungen\User\Startmenü\Programme\CyberLink PowerDVD folder moved successfully.
File C:\Dokumente und Einstellungen\User\Anwendungsdaten\msconfig.dat not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: User
->Temp folder emptied: 175389 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33279 bytes
 
Total Files Cleaned = 0.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 11202012_075956
         

Windows zeigt mir jetzt den normalen Desktop-Hintergrund wieder an.
Vielen Dank!
AntiVir zeigt mir eine Warnmeldung an (siehe Screenshot vergangener Post).

Wie geht es nun weiter?

Mit freundlichen Grüßen
Arne

Sehr gut!



1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Guten Abend,

ich habe von meinem "Sauberen System" die aktuelle Malware Bytes Datenbank auf den Laptop kopiert und dann dort den Vollständigen Scan ausgeführt.
Logs anbei: 4 Funde.
Währenddessen hat auch AntiVir angeschlagen. Logs anbei.

Maleware Bytes hat nach dem Scan das System neugesstartet.

Dann habe ich AdwCleaner ebenfalls vom "Sauberen System" downloaden lassen und auf den Laptop kopiert und dort die Suche ausgeführt.
Logs anbei.

Vielen Dank schon mal im voraus für den nächsten Schritt.
Mit freundlichen Grüßen
Arne

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

dann




ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Abend.

Danke für die Anleitungen. Das hat soweit alles geklappt.
Anbei die logfiles.

Zur Information: Firewall und AntiVir habe ich nach Beenden der Prozeduren wieder eingeschaltet.

Wie geht es nun weiter?
Mit freundlichen Grüßen
Arne

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 9 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Vielen Dank.
Es hat etwas gedauert, bis ich wieder am Computer meiner Mutter war.

Java updaten hat soweit geklappt.
Der "PluginCheck hat zunächst folgendes Ergebnis gebracht:

Zitat:

- Firefox 14.0.1 ist veraltet!
- Flash 11,4,402,287 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version!
- Java (1,7,0,9) ist aktuell.
- Adobe Reader 9,5,2,295 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version: 11.0

Ich bin dem dann nachgekommen.
Fortsetzung folgt in wenigen Minuten. Ich muss den Browser neu starten.

Zitat:

Firefox 17.0 ist aktuell

Mal gucken, ob ein Neustart weiterhilft.

Zitat:

Firefox 17.0 ist aktuell

Flash (11,5,502,110) ist aktuell.

Java (1,7,0,9) ist aktuell.

Adobe Reader 11,0,0,379 ist aktuell.

Dann habe ich Java im Firefox deaktiviert:

Zitat:

Firefox 17.0 ist aktuell

Flash (11,5,502,110) ist aktuell.

Java ist Installiert aber nicht aktiviert.

Adobe Reader 11,0,0,379 ist aktuell.

Wie geht es nun weiter?
Mit freundlichen Grüßen
Arne

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

• Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
• temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?