Trojaner-Board - Ukash & Eidgenossenschaft

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ukash & Eidgenossenschaft (https://www.trojaner-board.de/122065-ukash-eidgenossenschaft.html)

Ukash & Eidgenossenschaft

Hallo!

Leider habe auch ich, hervorgerufen durch einen alten Virenscanner, mir den Trojaner eingefangen, welcher auf dem PC alles sperrt bzw. unterdrückt und nur noch seine Bildschirmmeldung bringt.
Inhalt der Meldung in etwa:
1. verbotene Seiten besucht
2. PC gesperrt bis die 100$ via Ukash bezahlt wurden
3. Absender "Schweizerische Eidgenossenschaft

Ich habe folgendes inzwischen unternommen:

1. Malwarebytes AM gelaufen lassen und 1 Datei bereinigen lassen
2. OTL (LOG im Anhang)
3. GMER (läuft noch)

Danke für die Hilfe

So, nun ist die GMER Log Datei auch fertig.

:dankeschoen:

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

SRV - (testsvc) -- exit File not found 

DRV - (WDICA) -- File not found 

DRV - (pxtdapod) -- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pxtdapod.sys File not found 

DRV - (PDRFRAME) -- File not found 

DRV - (PDRELI) -- File not found 

DRV - (PDFRAME) -- File not found 

DRV - (PDCOMP) -- File not found 

DRV - (PCIDump) -- File not found 

DRV - (lbrtfdc) -- File not found 

DRV - (i2omgmt) -- File not found 

DRV - (Changer) -- File not found 

DRV - (a92nwmbk) -- File not found 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-746137067-688789844-682003330-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. 

O4 - HKLM..\Run: [] File not found 

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Zetafax-Client.lnk = C:\WINDOWS\Installer\{229EEB8E-F6A0-4F0D-BCF4-A6E6194D5054}\ZetafaxShortcut_115B5C301D8E4E168B86272EB56647DE.EXE (InstallShield Software Corp.) 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-21-746137067-688789844-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O9 - Extra Button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - Reg Error: Value error. File not found 

O9 - Extra 'Tools' menuitem : iMacros Web Automation - {0483894E-2422-45E0-8384-021AFF1AF3CD} - Reg Error: Value error. File not found 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) 

O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2007.12.31 16:05:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 

[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

[2012.08.13 16:26:52 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\svf4zh2j.exe 

[2012.08.13 14:34:14 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\urgipzsh.exe 

[2012.08.13 10:29:11 | 000,057,344 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wousnmwz.exe 
 

@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:B349D7E4 

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:DFC5A2B2 

@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:A8ADE5D8 

@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:0D786AE3 

 

[2012.07.18 10:29:07 | 000,001,720 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MyPhoneExplorer.lnk 

[2012.08.14 09:04:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job 

[2012.08.13 10:29:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jboafzknfsdqpfu 

[2012.08.13 10:29:24 | 000,000,051 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtkxkecahlqlauk 
 

:Files
 
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo,

soweit mal Danke.
Leider bleibt OTL mit diesen anweisungen hängen. Der Pc ist nun auch plötzlich extrem langsam.

Statusmeldung OTL bleibt bei: Killing processes. Do not interrupt... stehen.
Verstrichene Zeit ca. 30min.

Gruss

AF

Neustarten. Nochmal versuchen.

Neustart
- OTL mit custom fix gestartet
--j OTL = keine Rückmeldung

Bleibt wieder hängen.
Programm als lokaler Admin gestartet, AV Scanner aus.
:headbang:

Zitat:

Zitat von AndrewF (Beitrag 892851)

Neustart
- OTL mit custom fix gestartet
--j OTL = keine Rückmeldung

Bleibt wieder hängen.
Programm als lokaler Admin gestartet, AV Scanner aus.
:headbang:

Ich lass nun nochmals einen normalen Quick-Scann laufen.
Seit dem ersten Post hat sich durch AM und AVK eventuell etwas geändert.

Fuehre diesen Fix aus:

Code:

:OTL

[2012.08.13 16:26:52 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\svf4zh2j.exe 

[2012.08.13 14:34:14 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\urgipzsh.exe 

[2012.08.13 10:29:11 | 000,057,344 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wousnmwz.exe 
 

@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:B349D7E4 

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:DFC5A2B2 

@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:A8ADE5D8 

@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:0D786AE3 

 

[2012.07.18 10:29:07 | 000,001,720 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MyPhoneExplorer.lnk 

[2012.08.14 09:04:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job 

[2012.08.13 10:29:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jboafzknfsdqpfu 

[2012.08.13 10:29:24 | 000,000,051 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtkxkecahlqlauk 
 

:Files
 
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

Hallo!

So, als Anlage die aktuellen LOG Files vom OTL Scann

Hast du den Fix http://www.trojaner-board.de/122065-...tml#post892903 Laufen lassen?
Wo ist das Log?

Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hallo!

Die letzten Logs sind vor dem letzten Fix.

Der "aktuelle" Fix ergab kein LOG, da selbes Ergebnis => keine Rückmeldung

Neustarten, nochmal probieren.

Zitat:

Zitat von t'john (Beitrag 893104)

Hast du den Fix http://www.trojaner-board.de/122065-...tml#post892903 Laufen lassen?
Wo ist das Log?

Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hallo!

Der OTL LOG-Ordner wird zwar mit Datum und Zeit angelegt, ist aber leer. Kein LOG File vorhanden.
Die Maschine läuft unter anderen User Konti noch normal, nur ein Konto hat das Trojaner Problem.
Bei den anderen scheint der aktuelle AV Wächster schlimmeres zu verhindern.

Was nun?

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.