Trojaner-Board - UKASH, Bundespolizei wird von Scans nicht erkannt, zeigt aber (fast) alle Symptome

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - UKASH, Bundespolizei wird von Scans nicht erkannt, zeigt aber (fast) alle Symptome (https://www.trojaner-board.de/117573-ukash-bundespolizei-scans-erkannt-zeigt-fast-alle-symptome.html)

UKASH, Bundespolizei wird von Scans nicht erkannt, zeigt aber (fast) alle Symptome

Guten Abend,

heute wurde der PC meiner Schwester plötzlich weiss und die Bundespolizei hat mit €100 Bezahlung gelockt. Natürlich wurde uns schnell klar, dass dies ein Virus/Maleware sein muss und sind dabei auf dieses Forum gestoßen.

Wir haben den PC sofort abgeschalten und im abgesicherten Modus gestartet - tatsächlich konnte ich dank der vielen verfügbaren Antworten die entsprechenden Dateien finden und die Exe aus dem Startmenü entfernen.

Eine Verschlüsselung der Daten ist nicht erfolgt - auch in den entsprechenden Reg-Einträgen wurde ich nicht fündig. Ebenso wurde keiner der verwendeten Virenscanner aktiv. Verwendet haben wir nach den Empfehlungen Microsoft Security Essentials, Malewarebyte und die beiden online Scanner: jotti Scan und Virustotal. Nur bei Virus total wurde bei zwei Scannern etwas erkannt:

AVG -> SHeur4.AHXN
K7Antivirus -> Trojan

Nun meine Frage: Was soll ich mit den entsprechenden Exe und Ordnern tun? Einfach löschen!?

Und wenn ich die Einträge richtig gelesen habe - um eine vollständige Neuinstallation des Systems komme ich nicht herum oder!?

Vielen Dank für Ihre Zeit und Hilfe!!

MFG
Michael

Schön und wo sind die Virenscanner-Logs dazu? :wtf:

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo Arne,

vielen Dank für deine Nachricht. Ich konnte zu diesem Zeitpunkt keine Logs posten, da alle Virenscanner meinten es gibt keine Bedrohungen (oder ich hab etwas falsch gemacht).

Am nächsten Tag hat, dann MSE angeschlagen und ich habe folgende Meldung erhalten

Code:

Trojan:Win32/Weelsof.A
 

Kategorie: Trojaner
 

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.
 

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.
 

Elemente: 

file:C:\ProgramData\lszwvlgq.exe

file:C:\ProgramData\ogfqbzos.exe

Ich habe nun gerade die Punkte aus der Checkliste gesehen - soll ich das noch machen!? Vermutlich sind die obigen Informationen ja auch eher null-Information...

Vielen Dank
Michael

Poste alle Log von Malwarebytes!

Hallo Arne,

anbei die Logs die in diesen Zeitraum passen:

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
 

www.malwarebytes.org
 

Datenbank Version: v2012.06.18.07
 

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
 

Internet Explorer 9.0.8112.16421
 

YYYYYYYYYY :: PCXXXXXXXXXX [Administrator]
 
 

Schutz: Deaktiviert

 
 

18.06.2012 23:30:55
 

mbam-log-2012-06-18 (23-30-55).txt
 

 
 

Art des Suchlaufs: Vollständiger Suchlauf
 

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
 

Deaktivierte Suchlaufeinstellungen: P2P
 

Durchsuchte Objekte: 373460
 

Laufzeit: 33 Minute(n),
 

 
 

Infizierte Speicherprozesse: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Speichermodule: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Registrierungsschlüssel: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Registrierungswerte: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Dateiobjekte der Registrierung: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Verzeichnisse: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Dateien: 2
 

C:\Users\YYYYYYYYYY\Downloads\SoftonicDownloader_fuer_gdoc-creator.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

C:\Users\YYYYYYYYYY\0.4009505514826599.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

 
 

(Ende)
 

 
 

===============================================================================
 

Malwarebytes Anti-Malware (Test) 1.61.0.1400
 

www.malwarebytes.org
 

 
 

Datenbank Version: v2012.06.18.07
 

 
 

Windows 7 Service Pack 1 x64 NTFS
 

Internet Explorer 9.0.8112.16421
 

YYYYYYYYYY :: PCXXXXXXXX [Administrator]
 

 
 

Schutz: Aktiviert
 

 
 

19.06.2012 00:21:39
 

mbam-log-2012-06-19 (00-21-39).txt
 

 
 

Art des Suchlaufs: Benutzerdefinierter Suchlauf
 

Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
 

Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
 

Durchsuchte Objekte: 1
 

Laufzeit: 7 Sekunde(n)
 

 
 

Infizierte Speicherprozesse: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Speichermodule: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Registrierungsschlüssel: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Registrierungswerte: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Dateiobjekte der Registrierung: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Verzeichnisse: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

Infizierte Dateien: 0
 

(Keine bösartigen Objekte gefunden)
 

 
 

(Ende)

Danke!!

LG Michael

Code:

C:\Users\YYYYYYYYYY\Downloads\SoftonicDownloader_fuer_gdoc-creator.exe

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo Arne,

nein - es war vorher nur MSE installiert. Malewarebytes habe ich nur durch dieses Forum installiert und verwendet. Zur Zeit habe ich auf dem entsprechenden PC MSE und MWB aktiviert - aber die anderen Logs von MWB sind alle leer (im Sinne von keine Probleme erkannt).

MFG
Michael

Führ bitte auch ESET aus, danach sehen wir weiter:

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Haken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

Hello,

der hat auch nichts (mehr) gefunden...

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner64.ocx - registred OK

OnlineScanner.ocx - registred OK

Kann ich noch mehr tun!? Was mich vor allem wundert: wie konnte der Virus auf den PC, wenn MSE ihn im Nachgang sogar erkannt hat. Habe ich hier falsche Einstellungen aktiviert? (Echtzeitschutz und täglicher Scan sind aktiv)

LG und vielen Dank
Michael

ESET hast du wahrscheinlich falsch gemacht, da gab es extra einen dicken Hinweis zu

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

Hallo,

ich habs heute nochmals wiederholt (auch mit Admin-Rechten) - das Ergebnis ist laut Logs das gleiche... 100% Keine Gefahren gefunden...

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?