|
Weißer Bildschirm, Ukash Zahlungsaufforderung (leider auch bei mir) Hallo, leider scheine auch ich mir einen Trojaner eingefangen zu haben ("Weißer Bildschirm, Ukash Zahlungsaufforderung"). Auf der Basis der Hinweise vom Sept. 2012 hab ich auch schon die entsprechenden Dateien erstellt und auch einiges versucht, was bei mir aber nicht zum gewünschten Erfolg geführt hat. Ein paar Zusatzinfos: 1) Ich habe an meinem Rechner 2 (Admin-)User eingerichtet; der Virus wirkt sich nur bei GT aus, weshalb ich jetzt als AK eingeloggt bin, um normal arbeiten zu können. 2) Der Versuch, als GT im abgesicherten Modus zu starten, klappt leider nicht ganz, denn unmittelbar nach dem Einloggen als GT wird der Rechner dann wieder heruntergefahren. 3) Einen Start des "Fix"-Programm im OTL-exe war nicht mögliuch, weil "nichts zu fixen" vorlag. Ich füge die beiden Dateien OTL.txt und Extras.txt bei, wobei meine OTL in zwei Teile aufgeteilt werden musste, weil sie sonst nicht hoichgeladen werden konnte; bitte einfach zweiten Teil in die erste Datei reinkopieren (Wird sonst noch etwas gebraucht?) Wer kann mir helfen? Schönen Abend noch wünscht Euch Gottfried. Anhang 53542 Anhang 53543 Anhang 53544 |
Hi, schauen wir mal rein.. (Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].) Schritt 1 Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!). Schliesse den USB Stick an den infizierten Rechner an. Du musst das System nun in die System Reparatur Option booten: Variante 1 - Über den Boot Manager Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
Bitte poste in deiner nächsten Antwort:
|
Log von FRST Zitat:
VG Gottfried |
Hallo Gottfried, Zitat:
Schritt 1 entsperrt das betroffene Benutzerkonto. Die weiteren Schritte dann wieder in diesem ausführen. Schritt 1 Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument: Code: HKU\GT\...\Winlogon: [Shell] explorer.exe,C:\Users\GT\AppData\Roaming\skype.dat [x]
Schritt 2 Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
Schritt 3 Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
Bitte poste in deiner nächsten Antwort:
|
Fixlog von FRST / Log von Gmer / Logs von OTL Hallo Leo, super! ich kann schon wieder als GT arbeiten, hab aber natürlich trotzdem die anderen Files erzeugt und schicke sie Dir unten eingefügt zu (wobei ich bei Gmer schon dachte, "er" will gar nicht mehr aufhören - hat wohl fast eine Stunde gedauert :-( ). ************************************* ... Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier. ************************************* Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 24-04-2013 Ran by SYSTEM at 2013-04-24 11:30:57 Run:1 Running from F:\ Boot Mode: Recovery ============================================== HKEY_USERS\GT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell value deleted successfully. C:\Users\GT\AppData\Roaming\skype.dat moved successfully. C:\Users\GT\AppData\Roaming\skype.ini moved successfully. ==== End of Fixlog ==== ************************************* ...[*]Füge bitte den Inhalt des Logfiles hier in deine Thread ein.[/list] ************************************* GMER Logfile: Code: GMER 2.1.19163 - hxxp://www.gmer.net************************************* ...[*]Poste den Inhalt dieser Logfiles hier in den Thread.[/list]*************************************OTL.txt: OTL Logfile: Code: OTL logfile created on: 24.04.2013 12:45:52 - Run 4*************************************Extras.txt: OTL Logfile: Code: OTL Extras logfile created on: 24.04.2013 12:45:52 - Run 4************************************* Noch ein Hinweis: Neben der Netzverbindung und den Virenscannern sollte man beim Laufen von Gmer auch den Bildschirmschoner ausschalten, denn (zumindest ist es mir passiert) sonst findet plötzlich ein Neustart des Rechners statt und die gewünschten Datei konnte noch nciht erzeugt werden. Das vielleicht noch als kleiner Tipp für die Zukunft, wenn Du auch noch anderen helfen willst / kannst... Auf jeden Fall schon mal an dieser Stelle ganz herzlichen Dank für die Hilfe - ich fühl mich nun wieder wesentlich besser... Noch eine Frage: Beim Durchlaufen von Gmer vor allem hab ich gemerkt, wie viele (inzwischen sicher völlig unnütze) Dateien in dem Verzeichnis "Temporary Internet Files" herumliegen. Wie kann man die denn eigentlich löschen (denn der direkte Zugriff wird mir nicht gestattet)? Hast Du da auch noch einen Tipp für mich? Gibt's noch was zu den neuen 3 Dateien zu sagen als Fachmann-Interpretation? VG Gottfried. |
Hallo Gottfried, Zitat:
Und zum Schluss geb ich dir dann auch noch einen Tipp mit, wie du das in Zukunft selbst ganz einfach machen kannst. Schritt 1
Schritt 2 Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
Schritt 3 Starte bitte die OTL.exe.
Bitte poste in deiner nächsten Antwort:
|
Log von AdwCleaner / Log von OTL Zitat:
Und was sagen Dir diese txt-Dateien nun? Schönes Wochenende schon mal wünscht dir Gottfried. |
Hallo Gottfried, dann bleibt noch eine Kontrolle und das Schliessen der vorhandenen Sicherheitslücken. Schritt 1
Code: :OTL
Schritt 2 Downloade dir bitte Malwarebytes Anti-Malware.
Schritt 3 Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
Schritt 4 Downloade dir bitte SecurityCheck (Link 1, Link 2).
Bitte poste in deiner nächsten Antwort:
|
Nur Fixlog von OTL, weil Malware immer abstürzte... Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
********************************* |
Ok, dann überspring diesen Punkt und mach mit dem nächsten Schritt weiter. |
Zitat:
okay, ich hab dann bei den Schritten 3 und 4 weitergemacht und folgende Textdateien erhalten: ESET.txt: (Hat übrigens über 15 Stunden vor sich hingearbeitet!) **************************************** C:\FRST\Quarantine\skype.dat a variant of Win32/Kryptik.AZLE trojan C:\Users\GT\AppData\Local\Temp\DrYZj4K3.zip.part a variant of Win32/Kryptik.AZVU trojan **************************************** (Hier wurden offensichtlich zwei Trojaner gefunden und entfernt, richtig?) Checkup.txt: **************************************** Results of screen317's Security Check version 0.99.63 Windows 7 Service Pack 1 x86 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.75.0.1300 TuneUp Utilities 2012 TuneUp Utilities Language Pack (de-DE) Duplicate Cleaner Free 3.0.1 Java(TM) 6 Update 37 Java(TM) SE Runtime Environment 6 Update 1 Java version out of Date! Adobe Flash Player 11.7.700.169 Adobe Reader XI Mozilla Firefox (20.0.1) Mozilla Thunderbird (17.0.4) ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` **************************************** Und was meinst Du nun: Bin ich wieder "clean" (trotz des misslungenen mit dem Anti-Malware-Prigramm?)? Schönen 1. Mai noch wünscht Dir Gottfried. |
Hallo Gottfried, doch, das sieht eigentlich gut aus. Schritt 1 Downloade und installiere den Internet Explorer 10. Der Internet Explorer sollte auch dann aktuell gehalten werden, wenn er nicht zum Surfen verwendet wird. Schritt 2 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können. Die aktuelle Version ist Java 7 Update 21.
Überleg dir also, ob du eine Java-Installation wirklich brauchst. Falls du Java weiterhin verwenden möchtest, dann:
Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls. Cleanup Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
>> OK << Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst. Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann. Epilog: Tipps, Dos & Don'ts  Aktualität von System und SoftwareDas Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-SoftwareEine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im InternetNebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine HinweiseAbschliessend noch ein paar grundsätzliche Bemerkungen:
Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen. Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) |
Hallo Leo, sorry, dass ich mich so lange nicht gemeldet habe (ist ja meist dann aber auch ein gutes Zeichen :-)), aber erst mal war ich n atürlich froh, dass Deine ganzen Aktivitäten so zum effolg geführt hatten, dann hatte ich aber noch mit der hiesigen Telefongesellschaft ein Problem mit den Leitungen (statt der vereinbarften Transfer-Rate von bis zu 10 MB hatte ich meist nur ca. 600 kB!), und schließlich ergab sich mit meinem AVIRA-Programm auch noch ein Problem, dass nämlich der Browser- und E-Mail-Schutz ausgeschaltet blieb und sich nicht mehr einschalten lassen wollten. All das ist nun aber gelöst - und nun will ich mich endlich nochmals auf Deine letzte Mail (vom 1.5.) melden: ****************************** Zitat:
... eine Spende werde ich demnächst Euch auch noch zukommen lassen - bei soooo viel Hilfe!!!! Vielen Dank nochmals, inzwischen fühle ich mich nicht nur sicherer sondern vor allem auch gut aufgehoben für den Fall, dass mal wieder etwas "passiert" - was wir ja alle nicht hoffen wollen! Alles Gute weiterhin auch Dir und für heute erst mal Frohe Pfingsten, Gottfried. *************** |
Danke für die Rückmeldung, Gottfried. Und im Namen des Teams vielen Dank für die Spende! Freut mich, dass wir helfen konnten. :abklatsch: Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun. Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board