Trojaner-Board - malwarebytes findet ucash - infizierte Dateien nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - malwarebytes findet ucash - infizierte Dateien nicht mehr (https://www.trojaner-board.de/119878-malwarebytes-findet-ucash-infizierte-dateien-mehr.html)

malwarebytes findet ucash - infizierte Dateien nicht mehr

Hallo liebe Experten,

nachdem ich inzwischen nicht mehr weiß, was ich noch tun kann, um den Ucash-Trojaner von meinem Rechner (BS Windows XP Professional Version 2002 Service Pack 3) zu entfernen, bitte ich hierfür um Eure Unterstützung.

Vor einigen Monaten hatte ich mir solch einen Trojaner auf einem anderen Rechner schon einmal eingefangen, konnte ihn aber damals problemlos durch eine Anleitung aus dem Netz und mit Hilfe von Malwarebytes problemlos entfernen.

Dementsprechend habe ich mich zwar gestern Abend geärgert als das fiese Popup erschien, dachte aber, das sei nicht weiter dramatisch.

Ich hatte gerade auf movie2k einen Film angesehen als mein avast Free Antivirus warnte, Malware gefunden zu haben. Und dann erschien auch bereits das folgende Popup:

http://www.wort-wunder-werk.de/images/ucash.jpg

Ich startete den Rechner im abgesicherten Modus mit Netzwerkunterstützung neu und habe mir die aktuelle Version von Malwarebytes heruntergeladen, sie installiert und auch das Update ausgeführt. Anschließend gabe ich einen vollständigen Scan drchführen lassen.

Es wurden 4 infizierte Dateien gefunden, welche ich über die Malwarebytes-Oberflächeentfernt habe. Nach dem Neustart war der Tjojaner aber wieder aktiv. Ich wiederholte den Scan, diemal im abgesicherten Modus ohne Netzwerkzugriff. Diesmal wurden zwei infizierte Dateien gefunden, welche ich wiederum entfernte. Neustart -> Trojaner wieder aktiv.

Wieder im abgesicherten Modus mit Netzwerkzugriff, habe ich im Netz eine Anleitung gefunden, alle Dateien in C:\Users\USERNAME\Appdata\local\temp\locallow\sun\Java\Deployment\Cache\6.0 alle Dateien über die Eingabeaufforderung zu löschen. (Leider habe ich die Ratgeber-Seite nicht wieder gefunden.) Dieses Verzeichnis existiert aber nicht auf meinem Rechner, genauso wenig wie in der regedit der Eintrag HKEY:CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Vadja, der zu löschen sei.

Also ließ ich (diesmal angemeldet als Administrator) einen neuen vollständigen Scan durchführen, der keine infizierte Datei mehr fand. Trotzdem ist der Trojaner noch aktiv! Ich führte den Scan nochmals aus, diesmal mit meinem Standard-Usern-Login. Wieder kein Fund.

Hier das Protokoll des letzten Scans:

Zitat:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.18.13

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
dell :: XIN [Administrator]

Schutz: Deaktiviert

19.07.2012 10:10:27
mbam-log-2012-07-19 (10-10-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333543
Laufzeit: 1 Stunde(n), 26 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Anschließend habe ich Malwarebytes de- und neu installiert, der Scan lieferte aber wieder keine Funde.

Ich habe dann auf Eurer Seite gelesen, wie ein neuer Thread zu erstellen ist und welche Schritte ich durchführen soll. Das habe ich befolgt:

Der Defogger ist sauber durchgelaufen. (Siehe Zipfile)

OTL allerdings hat sich beim Scan aufgeängt. Es erschien die folgende Meldung:

http://www.wort-wunder-werk.de/images/otl.jpg

Anschließend hing der Scan bei "Scanning Chrome Preferences". Ich habe also abgebrochen, Logfiles wurden scheinbar nicht erstellt.

Könnt Ihr mir bitte auf die Sprünge helfen, wie ich weiter vorgehen soll?

Danke schon einmal für's Lesen

Tanja

Nachtrag

Chrome habe ich deinstalliert, danach lieft dann auch OTL durch. Anschließend habe ich auch Gmer laufen lassen, hat ewig gedauert, es steht aber nicht viel darin. Habe ich da etwas falsch gemacht?

Im Gmer-Logfile wird avast erwähnt... bedeutet das, dass der aktiv gewesen ist und ich noch einmal scannen lassen muß? Ich hatte vor dem Scan im Taskmanager geschaut, dort aber keinen avast-Prozess gesehen und im abgesicherten Modus läuft er ja lt. Meldung nicht in Echtzeit.

Die drei Logfiles hänge ich an

Zweiter Nachtrag

ich habe beim Gemer nun IAT/EAT ab- und Show all angeschaltet und noch einmal scannen lassen. Log hängt an.

dritter Nachtrag

heute morgen habe ich Malwarebytes noch einmal aktualisiert und anschließend einen neuen Suchlauf gestartet. Es wurden tatsächlich wieder vier Funde gemeldet.

Zitat:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.20.04

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
dell :: XIN [Administrator]

Schutz: Deaktiviert

20.07.2012 09:52:26
mbam-log-2012-07-20 (11-22-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333763
Laufzeit: 1 Stunde(n), 23 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|pdwciupsbezumrs (Trojan.Ransom) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdwciups.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|pdwciupsbezumrs (Trojan.Ransom) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdwciups.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdwciups.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{E92EEFCF-7723-40A8-A4D2-085BD4C68EE4}\RP162\A0035756.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.

(Ende)

Trojanericon
http://www.wort-wunder-werk.de/images/trojanericon.jpg

Die beiden gefundenen Registry-Einträge und die beiden Exe-Files habe ich diesmal per Hand gelöscht und anschließend den Papierkorb geleert. Nach dem anschließenden Neustart (WLAN war gekappt) war das Popup nicht mehr da! :taenzer:

Nach meinerm Beitrag hier werde ich nochmals einen Scan laufen lassen.

Nun bleibt noch eine Frage:

Kann ich danach wieder online gehen, sollte nichts gefunden werden, oder sind zuvor noch irgendwelche Maßnahmen notwendig?

Beim neuen Suchlauf hat Malwarebytes zwei weitere Dateien gefunden.

Zitat:

Infizierte Dateien: 2
C:\System Volume Information\_restore{E92EEFCF-7723-40A8-A4D2-085BD4C68EE4}\RP162\A0042124.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{E92EEFCF-7723-40A8-A4D2-085BD4C68EE4}\RP162\A0042125.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.

Ich habe sie per Hand gelöscht und starte nun noch einen Lauf.