Trojaner-Board - Neue Variante von Ukash

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Neue Variante von Ukash (https://www.trojaner-board.de/104378-neue-variante-ukash.html)

Neue Variante von Ukash

Auf dem Laptop meines Sohnes hat sich eine neue Variante von Ukash eingenistet. Hatte bereits bei einem Bekannten Ukash mittels Avira Rescue CD seinen infizierten Rechner gesäubert. Doch mit der Rescue CD von Avira habe ich zwar 2 Funde gehabt auf dem Laptop meines Sohnes und diese auch anschließend entfernt. Aber nach neustart erscheint unmittelbar nach einloggen der weiße Schirm mit der Überschrift Bundeskriminalamt und Ukash.

Weiß jemand Rat!?

Vielen Dank schon einmal im Voraus

Ergänzen muss ich noch das ich div. im Netz beschriebene Varianten zur Entfernung schon probiert habe! Wie z.B. F8 Menü letzte funktionierende
Konfiguration starten, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run und HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run manuell entfernen, die dort ausführbare Datei bekommt allerdings einen zufälligen Dateinamen, was eine exakte Entfernungsanleitung unmöglich macht. Über Taskmanager überhaupt keine Chance Prozesse abzuschalten.

hi,
na, dass malware dateien angepasst werden, so dass sie nicht mehr erkannt werden ist klar.
schaun wir mal, denke das bekommen wir schon hin.
download:
http://filepony.de/download-otlpe/
und brenne es mit ISOBurner auf eine CD.
Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW.
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

Herzlichen Dank für den Tipp markusg

aber leider erscheint nur kurz der Windows Startbildschirm nach laden von REATOGO
kommt kurz das Startbild dann Blue Screen mit einer Meldung das Virus zunächst entfernen sollte.
REATOGO-X-PE Desktop erscheint erst garnicht :(

läuft der pc im abgesicherten modusß?

Hallo markusg

nach REATOGO, nach Avira Rescue Disk und jetzt noch Kaspersky Notfall CD 10 ist es möglich wenigstens auf den Abgesicherten Modus zu kommen ja!
Dank Kaspersky

bitte führe nicht irgendwelche tools aus, dass kann dem system schaden, vor allem weis ich dann nicht was gefunden wurde und kann nicht dem entsprechend helfen.
was hat kaspersky also gefunden?

Funde keine
Aber es ist nach dem Durchlaufen der Kaspersky Notfall CD 10 wieder möglich
beim Start über F8 in das Auswahlmenü zu gelangen und eben u.a. auch den abgesicherten modus zu starten was zuvor nicht möglich war.

ok.
ist es der mit netzwerk?
dann lade dort das folgende programm, falls nicht musst du es rüber kopieren.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Also ich lade mir Combofix runter und brenne es auf CD und von CD übertrage/kopiere ich
es auf den infizierten Laptop (Desktop) und führe es im abgesicherten Modus aus!?
Richtig?

lösche mal deine icq nummer.
nein du sollst combofix einfach nur laden und ausführen, wenn du im abges.modus internet hast dort laden, falls nicht mit nem stick vom sauberen auf den infizierten pc kopieren.
wenn combofix durch ist kannst wieder in den normalen modus und log posten.

Also hab es jetzt runtergeladen und auf CD gebrannt anschließend auf dem infizierten Laptop im abgesicherten Modus auf dem Desktop abgelegt und ausgeführt!

na auf cd brennen ist eig ne verschwendung, nen usb stick hätte es auch getan. :-)

ok Combofix läuft noch gerade Stufe 30

Anschließend neu starten normalen start ok
wo wird der log abgelegt?

Ah ok bereitet Logdatei vor