|
GEMA UKASH Trojaner Hallo ihr potentiellen Helfer, ich bin neu im Forum, verzeiht mir bitte Anfängerfehler (und typos). Sind nicht gewollt. Mein Problem: Habe mir gestern (7.12.) diesen GEMA Ukash Trojaner auf meinem Laptop eingefangen. Ich habe recht schnell alle Internetverbindungen gekappt. Ansonsten ist alles so, wie hier schon öfters zu lesen. Zu meinem Rechner: Ist ein IBM Lenovo, Windows XP Professional. Die Festplatte habe ich geteilt: C: Programme, D: Die Daten. dh, zur not kann ich C: formattieren (wenn ich hier richtig denke). Der Lenovo hat ja den Thinkvantage Button mit Systemwiederherstellung. Der Button funktioniert, ich war im Menü. BEVOR ich aber auf irgendeinen Knopf (Sytemwiederherstellung etc) drücke, wollte ich mich hier erkundigen, ob das (zunächst zumindest) der richtige Weg ist. Wenn es "sportlicher" werden sollte, brauche ich Eure Hilfe und muss mir vielleicht auch hier am PC noch Beistand (von "oben" oder "unten" überleg ich mir noch:-) ) suchen. :dankeschoen: |
Hi, kommt darauf von wann die letzte Sicherung ist... und ob IBM alleszurücksetzt (inkl. Daten?)... Vorher Datensicherung machenn... OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop * Doppelklick auf die OTL.exe * Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen * Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output * Unter Extra Registry, wähle bitte Use SafeList * Klicke nun auf Run Scan links oben * Wenn der Scan beendet wurde werden 2 Logfiles erstellt * Poste die Logfiles hier in den Thread. chris |
danke dir chris4you. Frage: ich kann die OTL ja erst ausführen wenn die wiederherstellung geklapp hat, denn momentan geht ja nix. das gleiche mit der datensicherung. bin aber ganz (noch) zuversichtlich mit der systemwiederherstellung, denn der trojaner hat bei neustart immer "gejammert", dass eine internet verbindung fehlt, ist nicht mehr komplett mit bild etc gestartet. nichts desto trotz ist der desktop weg. die IBM rescue ist ein jahr her, also sicher vor dem hijack. wäre schon OK für mich. werde es morgen versuchen. |
Hi, prüfe ob Du in den abgesicherten Modus mit Commandokonsole kommst... (F8 beim Booten drücken...); Vorher OTLauf einen USB-Stick kopieren, oder noch besser auf CD brennen und dann auf das Desktop kopieren (copy e:otl.exe c:\) und anschließend starten (c:\otl). die erstellten Logs dann per USB-Stick kopieren und hier posten... chris |
hallo chris, bin in den abgesicherten modus gelangt mit DOS eingabe gelangt, habe das OTL laufen lassen. dann konnte ich erst die daten nur auf C: speichern, weil er mich nicht auf den USB hat zugreifen klassen (ich denke der trojaner). aber nachdem das IBM thinkvantage ja von seiner geschützten partition aus funktioniert, konnte ich die beiden files (und die neuesten daten) problemlos auf eine externe FP kopieren. Die OTL Files habe ich angehängt. glg |
Hi, das nachfolgende Script abkopieren und auf dem USB-Stick speichern und dann wie besprieben in OTL-kopieren und abfahren... Log wieder hier posten...
Code: :OTL
Du hattest schon mal eine "üble" Infektion: O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - File not found Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. Danach noch: TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... chris |
Hi chris, im abgesicherten modus funktioniert nur DOS eingabeaufforderung. ich würde zwar mit einigen kustgriffen (über das CD laufwerk) den script auf C: bekommen, und kann dann das OTL ja auch starten (wie oben), aber wie bekomme ich den fix textfile in das OTL? die anderen programme könnte ich ja danach laufen lassen wenn das windows wieder funktioniert.... die rescue / recovery funktion bei lenovo ist eine völlig separate partition, die weder beschrieben noch gelöscht werden kann und völlig unabhängig von windows läuft. damit kann ich nur daten sichern nach USB sichern, nicht hochladen. das ist KEIN windows was da läuft. hast du nen tipp? |
Hi, starte über die Commandline notepad (einfach notepad eingeben und "Datenfreigabe"), laden dann das script und, kopiere es und anschließend OTL-starten, reinkopieren und wie beschrieben weiter machen... chris |
Hallo Chris, du hast mindestens 7 sterne verdient. Alles funktioniert, alles da - soweit ichs derzeit überblicke. die files hängen dran. TDSS hat dann nichts mehr gefunden Wie kann ich mich bedanken? :dankeschoen: |
Hi, noch ein neues OTL-Log posten... MAM alles bereinigen lassen, zusätzlich noch ein Scan mit SASW... Superantispyware (SASW): http://www.trojaner-board.de/51871-a...tispyware.html chris |
hi chris, hier das aktuelle OTL log und extra. MAM läuft gerade, die superspyware mach ich danach.. viele grüße |
Hi, OTL sieht gut aus... Mache jetzt Schluß, bis morgen Abend.... chris |
hi chris, MAM und superspyware sind gelaufen. MAM war zufrieden, superspy hat noch was gefunden aber brav getilgt. der rechner läuft einwandfrei. vielen vielen dank. doors |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board