TR\crypt\ULPM.gen
 

Liebes Trojaner-Board,

mein Laptop (ein dell inspiron, Betriebssystem: Vista) wurde von oben genanntem Plagegeist befallen. Eingehandelt habe ich mir den Trojaner bei irgendeinem Download.
Aufgefallen ist er dadurch, dass kein Online-Banking mehr möglich war. Antivir hat nix erkannt.
Daraufhin habe ich meine Daten auf Extern gesichert, Festplatte D formatiert und über MediaDirect im Boot-Menü alles Restliche gelöscht und das System neu augespielt. Dann habe ich angefangen, alles wieder hübsch herzurichten und schließlich auch die externe Festplatte angesteckt, um die Daten wieder raufzuziehen. Und tataa, Trojaner wird gefunden. Da hab ich ihn wohl leider mitgesichert. :wtf:

Nun weiß ich nicht so recht, was ich machen soll und möchte euch um Hilfe bitten. Antivir hat den Trojaner gefunden und in Quarantäne verschoben. Jeder Scan (egal ob Antivir, Spybot oder avast) findet nix. Auch ein Tool, mit dem ich über den durch Antivir genannten Pfad die Datei löschen wollte, konnte nichts tun. Fehlermeldung: Datei nicht vorhanden.

Was meint ihr dazu? Ich habe meine Daten einzeln auf eine weitere externe Festplatte gesichert und die vorher Befallene formatiert. Und dann die Daten wieder auf den PC verschoben.

Fazit: Ist der PC sicher? Gibt es Wege das herauszufinden? Oder ist es besser, alles noch einmal neu platt zu machen und aufzuspielen?

Ich würde mich sehr über eure Hilfe freuen. Ich bin, wie man merkt, ein ziemlicher Noobie auf diesem Gebiet, deshalb bitte möglichst für Dummies erklären. :)

Vielen Dank!
Emma

hi,
wie wäre es denn erstmal mit der info was avira gefunden hatt?

Gefunden wurde TR\crypt\ULPM.gen

das weis ich, ich will die ganze meldung mit fund ort

sorry.
-Dateiname: F:\xxx\xxx\AppData\Roaming\Dyba\bitui.exe
(xxx= Datenschutz)
-Quarantäneobjekt: 4bb61e49.qua
-Suchengine: 8.02.06.80
- Virendefinitionsdatei: 7.11.15.173

Avira Virus Lab Report:
"We received the following archive files:
File ID Filename Size (Byte) Result
26339102 4e94c1c52a330.zip 183.93 KB OK


A listing of files contained inside archives alongside their results can be found below:File ID Filename Size (Byte) Result
26339103 4bb61e49.vir 192.5 KB MALWARE



Please find a detailed report concerning each individual sample below:Filename Result
4bb61e49.vir MALWARE


The file '4bb61e49.vir' has been determined to be 'MALWARE'.Our analysts named the threat TR/Crypt.ULPM.Gen.The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.This file is detected by a special detection routine from the engine module."


Außerdem wird bei Anstecken der externen Festplatte von Avira immer
G:\autorun.inf gestoppt.

hi,
machst du onlinebanking, einkäufe oder sonst was wichtiges mit dem pc?

ja, alles!

ok.
du hast einen zbot trojaner.
dein onlinebanking muss gesperrt werden, da es möglich ist das daten gestohlen wurden die es erlauben geld abzuheben.
notfall nummer:
116 116
danach musst du daten wie bilder filme dokumente extern sichern.
vorher autorun deaktivieren:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
dann daten sichern.
danach müssen wir den pc formatieren, neu aufsetzen, falls anleitung erwünscht, bekommst du die.
danach zeige ich dir wie du das system absicherst und das verwendete online banking verfahren.
passwörter müssen auf dem neuen system geendert werden.

all das ist bereits passiert. konten gesperrt, passwärter geändert. dabei habe ich ja dann auch dummerweise den trojaner auf extern gesichert. banking etc ist seit dem nicht mehr gelaufen.

soll ich nun also nochmal auf extern sichern und dann nochmal alles neu aufspielen? der trojaner wurde ja nur auf der externen platte gefunden.
oder heißt das, dass der trojaner nach dem anstecken an den pc wieder zugriff auf alles auf dem pc hat?

vielen dank für deine mühe!

hast du einfach alles auf f: gezogen? man sichert nur persönliche daten, nicht alle verzeichnisse, dass macht ja auch keinen sinn außer man nutzt ne backup software

Naürlich nicht. Aber ich hatte halt ursprünglich alle meine musik in einem ordner. Die habe ich gesichert, obwohl da auch musik von downloads dabei war. Da muss der dann auch drin gewesen sein. Tja, so isses halt. Würd ich auch nicht noch mal so machen...

aber was ist den f: für ein laufwerk, externe festplatte?
denn du hast ja folgendes gesichert, falls f: das externe laufwerk ist.
F:\xxx\xxx\AppData\Roaming
damit kann man auf dem neuen system nichts anfangen

Ja, das habe ich. Der trojaner wurde auf extern gesichert.
Deshalb habe ich ja hier um hilfe gebeten! Weil mich jetzt interssiert, ob der pc sicher ist, auch wenn die externe festplatte mit dem pc verbunden wurde.

Vielleicht gibt es dazu noch weitere Meinungen?

ja ich möchte wissen ob f: das externe laufwerk ist

ja, ist es.

ok, ist es dir möglich dein wichtiges zeug wie bilder, dokumente vidios, musik, auf deinen pc zu kopieren, dann über rechtsklick, laufwerk f: zu formatieren?
dann ist der ganze nutzlose müll wo zb der trojaner drinnen ist weg, und du kannst die platte wieder nutzen :-)

uff, wie bereits oben in meinem anfangsstatement geschrieben,
habe ich genau das bereits getan.

meine frage ist und bleibt. wie sicher ist mein pc?

also, da nur auf f: was gefunden wurde, kannst davon ausgehen dass alles io ist.
ich werd mir den pc ansehen, aber wie gesagt solltest du trotzdem f: formatieren denn du hast da noch malware drauf.
danach:
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die
  OTL.exe
  
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal
  Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan
  links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

DANKE!!
übrigens ist hier die festplatte F eine Partitionierung und nicht die verseuchte externe Platte!OTL EXTRAS Logfile:
--- --- ---

OTL Logfile:
--- --- ---

aber ich hatte dich doch gefragt ob f: die externe platte ist und du sagtest ja.
egal, kannst du f: formatieren, vorher wichtige daten kopieren von dort.
hier haben wir noch n bissel zu tun mit updates, aber erst mal kümmern wir uns um f:

ist ja eigentlich egal wie die platte heißt. damals hieß sie halt F. jetzt hab ich ne Festplattenpartionierung mit F und die externe heißt jetzt halt G.
Trojaner war auf EXTERN.

ok. da jetzt ja nichts mehr gefunden werden dürften, sichern wir den pc ab.
start suchen tippe:
windows update
enter
einstellung, updates automatisch instalieren, täglich, passende uhrzeit wählen, dann alles anhaken außer detailierte infos anzeigen.
ok
updates suchen.
klicke wichtige updates, instaliere so lange bis es nichts mehr gibt.
wird evtl. neustarts geben, dann wieder suchen, instalieren.
das selbe mit optionalen.
nachdem die optionalen instaliert sind, noch mal updates suchen, es könnten noch mal wichtige nachgekommen sein. instalieren.

ist gut. danke

habe jetzt alles installiert.

und schon wieder ne meldung. :(
wie sicher ist eigentlich die Quarantäne? und wie kann man die gefundene Malware endgültig entfernen?


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 20. Oktober 2011 10:43

Es wird nach 3414164 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : INSPIRE

Versionsinformationen:
BUILD.DAT : 12.0.0.855 41827 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 05.10.2011 08:17:52
AVSCAN.DLL : 12.1.0.17 65744 Bytes 05.10.2011 08:18:04
LUKE.DLL : 12.1.0.17 68304 Bytes 05.10.2011 08:17:59
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 05.10.2011 08:17:52
AVREG.DLL : 12.1.0.20 227024 Bytes 05.10.2011 08:17:51
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 09:44:27
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 09:44:27
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 09:44:27
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 09:44:27
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 09:44:27
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 09:44:27
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 18:54:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 21:59:34
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 21:59:35
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 17:07:37
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 15:15:58
VBASE018.VDF : 7.11.16.35 2048 Bytes 18.10.2011 15:15:58
VBASE019.VDF : 7.11.16.36 2048 Bytes 18.10.2011 15:15:58
VBASE020.VDF : 7.11.16.37 2048 Bytes 18.10.2011 15:15:58
VBASE021.VDF : 7.11.16.38 2048 Bytes 18.10.2011 15:15:58
VBASE022.VDF : 7.11.16.39 2048 Bytes 18.10.2011 15:15:58
VBASE023.VDF : 7.11.16.40 2048 Bytes 18.10.2011 15:15:58
VBASE024.VDF : 7.11.16.41 2048 Bytes 18.10.2011 15:15:58
VBASE025.VDF : 7.11.16.42 2048 Bytes 18.10.2011 15:15:58
VBASE026.VDF : 7.11.16.43 2048 Bytes 18.10.2011 15:15:58
VBASE027.VDF : 7.11.16.44 2048 Bytes 18.10.2011 15:15:58
VBASE028.VDF : 7.11.16.45 2048 Bytes 18.10.2011 15:15:58
VBASE029.VDF : 7.11.16.46 2048 Bytes 18.10.2011 15:15:58
VBASE030.VDF : 7.11.16.47 2048 Bytes 18.10.2011 15:15:59
VBASE031.VDF : 7.11.16.66 100864 Bytes 19.10.2011 17:47:21
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 04.10.2011 17:01:31
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 15:36:14
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 05.10.2011 08:17:53
AVPREF.DLL : 12.1.0.17 51920 Bytes 05.10.2011 08:17:51
AVREP.DLL : 12.1.0.17 179408 Bytes 05.10.2011 08:17:51
AVARKT.DLL : 12.1.0.17 223184 Bytes 05.10.2011 08:17:48
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 05.10.2011 08:17:50
SQLITE3.DLL : 3.7.0.0 398288 Bytes 05.10.2011 08:18:02
AVSMTP.DLL : 12.1.0.17 62928 Bytes 05.10.2011 08:17:52
NETNT.DLL : 12.1.0.17 17104 Bytes 05.10.2011 08:17:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 05.10.2011 08:18:06
RCTEXT.DLL : 12.1.0.16 98512 Bytes 05.10.2011 08:18:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4e9fde05\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 20. Oktober 2011 10:43

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'mscorsvw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'datamngrUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvastUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OEM02Mon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DellWMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvastSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\xxx\AppData\Local\Opera\Opera\cache\g_0022\opr003F7.tmp'
C:\Users\xxx\AppData\Local\Opera\Opera\cache\g_0022\opr003F7.tmp
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2c769c.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 20. Oktober 2011 10:43
Benötigte Zeit: 00:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
62 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
61 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

hi, hast du evtl. nen programm geladen vor kurzem, sieht nach chache, des operas aus.

die quarantäne ist sicher.
entfernen kannst du die über avira, quarantäne.

vielen dank für die hilfe. dann hoffe ich jetzt mal sehr, dass alles gut geht.
DANKE! :)