![]() |
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Hallo, ich bitte um Hilfe beim U-Cash-Trojaner. Bin ein durchschnittlicher User, also keine Ahnung hiervon. Habe evt. irgendwo auf hxxp:\\www.serienjunkies.org einen infizierten Link erwischt, obwohl ich nicht als Administrator gesurft bin. Plötzlich erschien auf dem gesamten Bildschirm ein Text von der angeblichen Bundespolizei, ich hätte einen von mehreren Gesetzesverstößen begangen, die dann aufgeführt wurden, teilweise mit Info, welches Strafmaß darauf steht, z.B. Nutzung von urheberrechtlich geschützten Inhalten, Download von verbotenen pornografischen Inhalten, oder mein Computer wurde ohne mein Wissen zum Versenden von Spams verwendet, und noch einiges andere. Es war eine IP-Adresse dargestellt, die meine sei, und es wurde gesagt, dass gerade meine Identität bestimmt würde und innerhalb der kommenden 72 Stunden ein Strafverfahren gegen mich angestrebt würde. Ich könne dies vermeiden, wenn ich innerhalb dieser Zeit 100 Euro mittels UCash-Verfahren oder einem anderen Verfahren, die dann beide erklärt wurden, zahlen würde. Ansonsten würde nach weiteren 72 Stunden ein Strafverfahren gestartet. Möglich sei diese 100-Euro-Regelung durch eine Gesetzesänderung von ca. Mitte August 2012 (habe den genauen Tag vergessen). Gleichzeitig wurde meine Screen-Kamera aktiviert, so dass ich mich in einem kleinen Kästchen auf dem Bildschirm sah. Habe diesen Trojaner-Screen leider nicht fotografiert. Da ich per W-Lan im Netz war, konnte ich kein LAN-Kabel ziehen und den Bildschirm nur durch Herunterfahren mittels Gedrückthalten der An-Taste verlassen. Nach erneutem Hochfahren konnte ich scheinbar normal auf Vista arbeiten, wenngleich ständig die Meldung kam „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“, doch sobald ich wieder Internetverbindung herstellte und den Internet Explorer öffnete, erschien wieder die Bundespolizei-Meldung und der Laptop war blockiert. Im Nachhinein habe ich festgestellt, dass ich nicht mehr im Abgesicherten Modus mit Eingabeaufforderung starten konnte, wohl aber im Abgesicherten Modus. Der Laptop ist übrigens in kein Netzwerk integriert. Habe dann mein täglich geupdatetes Avira Free Antivirus gestartet und eine Schnelle Systemprüfung auf C: ohne Administratorrechte durchgeführt. Ergebnis (da ich mich nicht traue, das logfile vom infizierten Rechner auf Datenträger zu kopieren oder mit dem infizierten Rechner wieder online zu gehen, damit er nicht womöglich Malware nachlädt, muss ich alle folgenden logfiles abtippen und beschränke mich auf das Nötigste und hoffentlich Relevante): … Beginne mit der Suche in ‘C:\Users\XXX’ C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht C: \Users\XXX\Downloads\Downloads\video_downloader.exe Beginne mit der Suche in ‘C:\Windows’ Beginne mit der Suche in ‘C:\Users\’ C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht C: \Users\XXX\Downloads\Downloads\video_downloader.exe Beginne mit der Suche in ‘C:\Program Files‘ Beginne mit der Desinfektion: C: \Users\XXX\Downloads\Downloads\video_downloader.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚569119be.qua‘ verschoben! C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚4e063619.qua‘ verschoben! Ende des Suchlaufs… … 4 Viren bzw. unerwünschte Programme wurden gefunden … 2 Dateien wurden in die Quarantäne verschoben … 8 Warnungen 2 Hinweise Mir fällt ein, dass ich die im logfile genannte Datei video_downloader.exe irgendwo ca. 3 Tage zuvor von serienjunkies.org runtergeladen und möglicherweise auch gestartet hatte, aber eben nicht erst kurz vor Auftauchen des Trojaners. Kurz nach Runterladen der Datei video_downloader.exe hatte avira auch mehrmals eine Meldung angezeigt, dass das Virus ‚Adware‘ gefunden worden sei, irgendwann gab es diese Meldung dann aber nicht mehr. Video_downloader.exe müsste ein download gewesen sein, zu dem ich aufgefordert wurde, als ich entweder nach Streams von Spartacus oder Games of Thrones gesucht habe – sollte ich den Admin von serienjunkies-org informieren? Sollte ich bei der Polizei Anzeige erstatten? Die Desinfektion durch avira hat nichts gebracht. Avira konnte ab dann auch nicht mehr updaten. Habe danach mit avira eine Vollständige Systemprüfung auf C: und D: durchgeführt und folgendes Ergebnis bekommen: … Beginne mit der Suche in ‘C:\‘ <BOOT> C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V015TM4T/avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht Beginne mit der Suche in ‘D:\‘ <RECOVER> Beginne mit der Desinfektion: C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚56cd5a57.qua‘ verschoben! Ende des Suchlaufs… … 1 Viren bzw. unerwünschte Programme wurden gefunden … 1 Dateien wurden in die Quarantäne verschoben … 5 Warnungen 1 Hinweise Habe dann auf anderem Rechner gegoogelt und einige Infos über den UCash-Trojaner gefunden, aber nur überflogen. Bin dann auf euch gestoßen und habe entsprechend euren Anweisungen die folgenden Schritte unternommen, wobei ich die nötigen Programme davor auf CD gebrannt habe und von CD auf den infizierten Rechner kopiert und von dort gestartet habe: Habe Malwarebytes AntiMalware auf den infizierten Rechner gebracht. Da die Malware-Datenbank schon 40 Tage alt war, habe ich die rules.ref-Datei durch die aktuelle rules.ref-Datei ersetzt – dann ließ sich Malwarebytes aber nicht mehr starten und gab eine Fehlermeldung aus. Habe dann die 40 Tage alte Malwarebytes AntiMalware gestartet und danach einen Neustart gemacht. Hier ist das logfile: Malwarebytes Anti-Malware (Test) 1.62.0.1300 … Datenbank Version: v2012.07.03.05 Windows Vista Service Pack 2 x86 NFTS Internet Explorer 9.0.8112.16421 Admin :: xxx-PC [Administrator] Schutz: Deaktiviert 12.08.2012 15:01:10 mbam-log-2012-08-12 (15-01-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\ID:\) Aktivierte Suchlaufeinstellungen: Speicher – Autostart –Registrierung – Dateisystem – Heuristiks/Extra – Heuristiks/Shuriken – PUP – PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 499669 Laufzeit: 1 Stunde, 38 Min … Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion/Uninstall\Video Downloader (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt. … Infizierte Dateien: 1 C.\Program Files\vGrabber-software/‘Uninstall.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Habe dann defogger gestartet entsprechend euren Anweisungen –ohne Fehlermeldung. Habe dann defogger geschlossen. Neustart. Fehlermeldung „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“ erhalten. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled. Habe dann OTL mehrfach gestartet, weil ich vergessen hatte, das System neu zu starten bzw. den Avira-Echtzeitscanner zu deaktivieren und Malwarebytes Protection zu disablen. Quick Scan durchgeführt. Das „Extras“-Scan-log ist allerdings nur beim ersten Starten von OTL erstellt worden… Meint ihr, ich kann es riskieren, die scan logs per USB-Stick auf einen anderen Rechner zu kopieren, oder riskiere ich dann eine Verseuchung des anderen Rechners? Ansonsten müsste ich die gesamten langen scan logs abtippen??? Oder soll ich schauen, ob ich inzwischen wieder ins Internet kann? Dann kann ich die scan logs vom infizierten Rechner aus posten…??? System neugestartet. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled. Dann gmer gestartet. Während des Scans Fehlermeldung „96jksucf.exe funktioniert nicht mehr“. Problemereignisname: APPCRASH Anwendungsname: 96jksucf.exe Anwendungsversion: 1.0.15.15641 Anwendungszeitstempel: 4e21f2b1 Fehlermodulname 96jksucf.exe Fehlermodulversion: 1.0.15.15641 Fehlermodulzeitstempel 4e21f2b1 Ausnahmecode c0000005 Ausnahmeoffset 0000c676 Betriebssystemversion 6.0.6002.2.2.0.768.3 Gebietsschema-ID 1031 Zusatzinformation 1: a76a Zusatzinformation 2: 5cf9039e0c8e4e0bf02ab3e23db0c4f0 Zusatzinformation 3: b114 Zusatzinformation 4: d9d01fee0875b74ac070be8d125aa4b2 Habe dann das Programm geschlossen. Was kann ich nun tun? Auf dem Rechner sind nur einige Office-Dokumente, Audios und Videos sowie Mails und Kontakte, die ich gerne retten würde und die auch problemlos geöffnet werden können. Danke im Voraus! |
Lass die Finger von solchen Portalen! Die Links zu den Filmen verweisen immer auf irgendwelche 1click Hoster, diese Angebote sind illegal und meistens ungeprüft! Zudem haben solche Portale meist die Nutzer in Abofallen laufen lassen und gerade solche standen schon vor Monaten in dem Verdacht, Malware zu verteilen zB über Exploits, die den Bundestrojaner bzw. deren Ableger auf verwundbare Rechner installiert! Poste bitte alle Logs von Malwarebytes vollständig und unzensiert Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Vielen Dank für deine Antwort, ja, man lernt wohl am besten durch Schmerz. Wie bekomme ich das log vom infizierten Rechner runter, ohne zu riskieren, andere Rechner zu infizieren, oder kann ich nach Ausführen von Malwarebytes wieder versuchen, mit dem Rechner online zu gehen? Danke! |
Ja mit dem Rechner ins Internet gehen, für eine Analyse/Bereinigung brauchen wir das eh |
Auch nach Durchlauf der 40-Tage alten Malwarebytes-Version ist der Trojaner noch drauf, wenn ich den Browser im normalen Modus starte...??? Der Trojaner hat sich nun verändert - nicht erst bei Browserstart, sondern schon bei Einloggen ins Internet wird er aktiv und blockiert alles. Wollte gerade im abgesicherten Modus mit Eingabeaufforderung starten - dabei Systemabsturz während des Bootvorgangs... Habe nun noch einmal einen fullscan mit Malwarebytes 1.62.0.1300 gemacht, ohne Befunde (und trotzdem ist der Trojaner ab Interneteinwahl aktiv). Wie gesagt, ist die rules.ref-Datei mittlerweile mehr als 40 Tage alt, ich kann sie aber nicht durch die aktuelle ersetzen, weil sich Malwarebytes dann nicht mehr starten lässt. Neustart im abgesicherten Modus mit Eingabeaufforderung hat eben gerade funktioniert, falls das hilft??? |
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung
|
ja, danke! Schreibe gerade vom infizierten Rechner. Soll ich die aktualisierte Malwarebytes-Version runterladen und fullscan machen? Dauert über 1 Stunde. Hallo Cosinus, meine Antwort von eben taucht im Thread gar nicht auf? Die Antwort war ja. Habe jetzt die aktualisierte Malwarebytes ausgeführt, Quickscan, und 2 Trojaner gefunden und die 2 gefundenen Trojaner noch nicht entfernt. Hier das logfile: Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300 habe jetzt auch den vollständigen scan durchgeführt. Hier das logfile: Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300 |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt" Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt" Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
ja, habe in den letzten Tagen mehrfach malwarebytes gestartet, und ich finde 6 log-Dateien im Reiter von malwarebytes, kann aber nicht mehr posten, weil ich mich vom infizierten Rechner aus scheinbar nicht mehr in euer Board einloggen kann. Schon bei Einwahl ins WLAN braucht der Rechner ca. 4-5 Versuche, bevor es klappt. Wenn ich mich dann im Trojaner-Board einlogge, kommt zwar der Wollkommensgruß, aber auf der Startseite ist dann kein Benutzername eingetragen (egal ob ich gerade mit einem anderen Rechner bei euch eingeloggt bin oder nicht). Wenn ich dann ein paar andere Links auf eurer Startseite klicke, bis irgendwo unten "Gehe zu Benutzerkontrollzentrum" anklickbar ist, komme ich darüber auf den normalen Startbildschirm mit Text "Willkommen, IamShine". Wenn ich dann in Meine Themen reingehe, zeigt er mir nur den Thread-Stand an, den ich hatte, direkt bevor ich den fullscan mit malwarebytes gemacht habe (letzter Beitrag 18:22 von cosinus), und ich kann darauf nicht direkt antworten, weil das securitytoken nicht mehr gültig ist (aber von einem sicheren Rechner aus, von dem aus ich jetztg schreibe, habe ich Zugriff auf den späteren Thread-Verlauf bis jetzt). Übrigens arbeite ich die ganze Zeit über nur aus dem abgesicherten Modus mit Netzwerktreibern heraus, soll ich es mal aus de´m normalen Modus probieren? Okay, 30 Min. später - lasse gerade ESET laufen. Weiß aber noch nicht, wie ich das ESET-log und die 6 malwarebytes-logs ins Forum bringen soll, da die Anmeldung nicht von dem Rechner aus klappt, auch nicht im normalen Windows-Modus, in dem ich jetzt bin, sondern immer auf dem Stand um ca. 18 Uhr ist, kurz bevor ich mit malwarebytes 2 Trojanerfiles gefunden habe...??? Die 6 malware-logs und das ESET-log hätte ich hier, ESET hat 7 Hits angezeigt, kann aber nicht vom infizierten Rechner ins Forum einloggen, um zu posten - soll ich mal von dem Rechner aus ein neues Thema eröffnen, um die logs darüber reinzustellen - das funktioniert nämlich, gerade probiert...? Komme jetzt übrigens wieder immer beim ersten Einwählen ins Internet. |
Bitte kein neues Thema aufmachen! Schieb die Logs auf einen Stick und dann postest du die Logs von einem funktionierenden Rechner aus |
danke. Hatte nur Angst, dass ich mir den nächsten Rechner infiziere. erstes protection log von malwarebytes: Code: 2012/08/12 11:56:01 +0200 GERRIT-PC Gerrit MESSAGE Starting protection Code: Malwarebytes Anti-Malware (Trial) 1.62.0.1300 Code: 2012/08/13 00:02:53 +0200 GERRIT-PC Gerrit MESSAGE Starting protection Code: 2012/08/16 13:39:14 +0200 GERRIT-PC (null) MESSAGE Executing scheduled update: Daily Code: Malwarebytes Anti-Malware (Trial) 1.62.0.1300 Code: 2012/08/17 22:54:56 +0200 GERRIT-PC Gerrit MESSAGE Starting protection Code: 2012/08/18 01:37:39 +0200 GERRIT-PC Gerrit MESSAGE Starting protection ESET-log: Code: ESETSmartInstaller@High as CAB hook log: Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300 Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300 Code: Malwarebytes Anti-Malware (Test) 1.62.0.1300 |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Hallo cosinus, hier das adwcleaner-log: Code: # AdwCleaner v1.801 - Logfile created 08/19/2012 at 20:59:13 |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
|
Hier das log: Code: # AdwCleaner v1.801 - Logfile created 08/20/2012 at 23:15:34 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board