Trojaner-Board - Problem Ukash

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem Ukash (https://www.trojaner-board.de/99286-problem-ukash.html)

Hallo
Habe das Problem mit dem Virus U kash.Habe mich bei Google schlau gemacht und bin hier gelandet in der hoffnung geholfen zu werden.
Habe otl Bootdisc erstellt und alles so gemacht wie beschrieben.Nun wie sol ich weiter vorgehen?
Danke

hi,
günstig wäre es, auch otl.txt zu posten :-) ist leider nur extras.txt

ja hier.muste zipen.

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:

:OTL

O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\Ulf\LOKALE~1\Temp\90.tmp) - C:\Dokumente und Einstellungen\Ulf\Lokale Einstellungen\Temp\90.tmp (BitDefender)

:Files

C:\Dokumente und Einstellungen\Ulf\Lokale Einstellungen\Temp\90.tmp

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne arbeitsplatz , öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

soweit alles klar.bis auf 2mal auf butten fix tut sich nichts.

ich verstehe nciht was du meinst, was ist butten... drück dich bitte deutlicher aus :-)

sorry.ich meinte fix button.nachdem ich fix.txt geladen habe tut sich nichts mehr.zeigt zwar unten im fenster den text an das wars dann.

steht doch da was du machen sollst wenns nicht klappt, den fix manuell eintragen :-)

jo.manuell war gut.rechner ist neu gestartet.bild von ukash ist weg aber nur der mouszeiger ist zu sehen.an die datei kamich nur mit neuem task öffnen in explorer.exe ran.hoffe du kannst damit was anfangen.

warum hängst du die datei hier an, was steht oben.
willst du das sich leute deine malware einhandeln?
weiter hiermit.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

So da bin ich wieder.
die beiden dateien.hoffe es sind die richtigen.bin total nervös.zuviel kaffee.
danke füreure gedult.

kein grund dazu...
arbeite lieber in ruhe, sonst gibts vllt noch probleme.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\Ulf\LOKALE~1\Temp\90.tmp) - C:\Dokumente und Einstellungen\Ulf\Lokale Einstellungen\Temp\90.tmp (BitDefender)

:Files

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

es ist geschaft.danke,danke,danke.ihr seid spitze.nun wo soll ich den text reinkopieren?
möchte da nichts falsch machen.:party::abklatsch:

den text einfach ins text feld hier reinkopieren.
danach gehts weiter:

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\DOKUME~1\Ulf\LOKALE~1\Temp\90.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Ulf\Lokale Einstellungen\Temp\90.tmp not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService
->Flash cache emptied: 0 bytes

User: Ulf
->Flash cache emptied: 289 bytes

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 3322880 bytes

User: All Users

User: Default User
->Temporary Internet Files folder emptied: 134 bytes
->Java cache emptied: 3322880 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Ulf
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 212227 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 7,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 05202011_043632

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

combofix.log wie beschrieben im anhang.

guten morgen.
erst mal danke für die gute bewertung :-)
machst du onlinebanking, einkäufe oder sonst was wichtiges mit diesem pc?

guten morgen
ja das trift zu.onlinebanking,ebay und einkäufe.

jetzt kommen wir also zum unangenehmen teil.
du hast einen spyeye trojaner auf dem pc, mit dem kann man, je nach ausstattung seeehr viel unsinn anstellen, das geht vom ausspähen von daten, bis zu straftaten, das heißt, dein pc wird zu DdoS angriffen auf websites genutzt.
deswegen jetzt sofort die bank anrufen, onlinebanking sperren lassen.

da wir nicht sagen können ob wir das system sauber bekommen, ist es jetzt nötig, dass er neu aufgesetzt wird, vorher daten sichern.
danach würde ich dir zeigen, wie du das system richtig absicherst.
und danach müssen alle passwörter geendert werden.

o.k.mit der bank erledige ich sofort.

wie sichere ich die daten am besten?

autorun deaktivieren:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
dann sichere bilder dokumente, persönliches, auf ne externe festplatte zb.
nichts evtl. illegales wie keygens cracks etc.

sowei alles gut.mit den datenverlust kann ich leben.denn mal weiter.

na du kannst deine daten ja sichern die du brauchst.
weist du wie das mit dem formatieren läuft? falls nein, nutzt du:
windows cd, recovery cd oder recovery partition?

ich habe recovery cd und die partition.was ist sinvoll?

kannst du halten wie du willst :-)
nimm von mir aus die recovery partiton :-)

o.k.dann mach ich es.meldemich dann wenn der rechner wieder da ist.o.k.?