Bundespolizeivirus, Ukash
 

Hi zusammen,

Ich brech zusammen - anscheinend habe ich mir genauso den Bundestrojaner zugezogen.

Bisher habe ich nichts weiter unternommen und wollte hier erst nach einer Meinung fragen, denn:
- der Virus sperrt nur ein Nutzerprofil und augenscheinlich kein anderes (Habe es am Nutzeraccount mit Jundendschutzsperre ausprobiert)
- der abgesicherte Modus lässt sich starten und auch das Profil laden
- in diesem Nutzerprofil gibt es keine Berechtigung zur Installation, daher habe ich auch noch kein Tool installiert und einen Scan durchgeführt
- als Administrator habe ich mich seitdem nicht angemeldet und wollte auch erst eine Meinung hören

Da ich regelmäßig ein Systembackup mache, nun meine Frage:
Lässt sich im Admin-Profil durch Einspielen des Systembackups das Problem beheben?
Oder sollte ich das ensprechende Profil platt machen?

Welches wäre jett der beste Schritt?

Danke Euch und Gruß
Dodger

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
wenn das Backup 100%ig sauber, ja

ist auch eine Lösung

ansonsten:

► Hilfeleistung - geplante Vorgehensweise:

• Problemsuche
• Problembeseitigung/Systembereinigung
• Verwendete Programme deinstallieren/entfernen
• Thema abschließen: Tipps zur Computersicherheit

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• "Scanne alle Benutzer" bitte anhaken
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Mache Häckchen bei LOP- und Purity-Prüfung
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

gruß
kira

Hallo Kira,

Danke, dass Du Dich so flott meinem Problem widmest und danke für Deine Hinweise.
Die Lösung mit dem Backup würde ich auch vorziehen wollen, da das Ding 100% heute bzw. vorhin (19:12 Uhr) auf meiner Kiste gelandet ist!!
Mein System ist W7, 64 Bit, Servicepack 1.
Eine Verschlüsselung von Dateien konnte ich nicht feststellen.

folgende Punkte würde ich gern aber vorab mit Dir besprechen:
a) Wenn ich das Backup einspiele, ist eventuell alles wieder ok, aber ich kann nicht zur Bekämpfung beitragen, da die relevanten Dateien dann nicht mehr zu finden sind
b) kann ich mir dann immer noch nicht sicher sein und
c) In der Zwischenzeit habe ich im abgesicherten Modus das System angeschaut und habe einige merkwürdige Dateien gefunden.
Die würde ich Euch auch gern zukommen lassen, da die aus meiner Sicht sicher etwas mit der Infektion zu tun haben und Euch vielleicht bei der Bekämpfung weiter bringen könnten.

Ich lege einfach mal los, bevor ich etwas unternehme:
Gefunden habe ich unter:
Ein Umbenennen in *.txt hat aber keine Abhilfe geschaffen.
Nach Starten des Profils war immer noch die "Sperrung" vorhanden.

Daher habe ich weiter gesucht und noch folgende Änderungen gefunden:

Der Onlinescan bei Virustotal dieser exe-Dateien brachte folgende Erkenntnis (die mir noch nicht viel sagt):

Der Ordner enthält die Dateien zum Aufbau der Anzeige.
Das sind mehrere *.png-Dateien, 2 html-Dateien (main.html und wait.html) und eine "ie6-7.css" sowie eine "jquery.main.js"

Wenn Euch das weiter helfen sollte, schicke ich Euch das gern zu.
Ansonsten würde ich dann morgen versuchen das Backup einzuspielen und mit Dir einige wahrscheinlich nötige Scans durchführen...

Wäre das in Deinem/Eurem Sinne?

Viele Grüße
Dodger

UPDATE:
Testweise habe ich nun die benannten *.exe, besagte Datei und den Ordner in ein temp-Verzeichnis verschoben und habe auch zum Test den Rechner normal gestartet.

Damit wurde nun keinerlei "Sperrung" des Rechners verursacht.

Hilft Dir (und mir :balla:) das weiter?

Danke und Gruß
Dodger

Diese Art von Malware ist uns längst bekannt. Zufällige-Buchstaben-Kombination (RANDOM) ändern sich bei jedem
aber trotzdem vielen Dank für Deine Mühe :)

man kann nie sichern sein!

c) In der Zwischenzeit habe ich im abgesicherten Modus das System angeschaut und habe einige merkwürdige Dateien gefunden.
warum herumbasteln, wenn Du vorhast das Backup zu einspelen? Solange der Schädling sein Wesen auf dein Rechner herumtreibt bzw aktiv, lädt er weitere Malware aus dem Internet nach!

Der Onlinescan bei Virustotal dieser exe-Dateien brachte folgende Erkenntnis (die mir noch nicht viel sagt):

Ja, die sind die schädlichen Dateien

wenn Du das Backup so oder so einspielen willst, ich denke sind wir hier fertig?

Hallo Kira,

Ok - dann spiel ich jetzt das Backup ein und würde mich danach nochmal melden, ob alles sauber gelaufen ist.

Danach könnte ich dann das System nochmal Scannen.
Sorry für die Mühe

Danke Dir vielmals und bis später
Dodger

kein Problem, melde dich dann erneut :)

Hallo Kira,

als hätte ich es geahnt: Ich konnte zwar mit der Systemwiederherstellung und dem Backup die Nutzer- und System-Dateien zum größten Teil wieder herstellen bzw. überschreiben, aber das Image direkt drüber bügeln ging nicht, da das verdammte Windows auf der externen Platte das besch***eidene Image nicht findet (per eSATA und per USB nicht :killpc:).

Ich hab im Moment noch keine Ahnung, ob oder wie ich das noch hinbekomme, aber eventuell können wir trotzdem einen Scan durchführen, um zu schauen, ob sich noch verdächtige Sachen auf dem jetzigen System befinden?

Falls Dir irgendwelche Programme/Anwendungen verdächtig vorkommen, versuche ich Dir gern - wenn ich es weiß - zu sagen, was das genau ist bzw. wofür ich das brauche.

Also einen OTL-Scan (hat verdammt lange gedauert - daher auch erst jetzt meine Antwort) habe ich vor den Aktionen durchgeführt und dabei folgende Dateien erhalten - (ich habe aber nur nach Dateien der letzten 7 Tage gescannt, Vollscan, alle User):
OTL.txt:
und hier das Extras.txt:

Und hier die Liste der Programme aus dem CCleaner:
Falls Du etwas finden solltest, was verdächtig aussieht...
Oder sollte ich sogar besser einen neuen Scan durchführen?

(ich weiß, das ist mühsam die Rechner anderer zu durchstöbern...eigentlich wollte ich hier auch mal im Forum unterstützen verdammt :schmoll:, aber irgendwie bekomme ich es zeitlich nicht hin...im Grunde wäre nicht mal hierfür Zeit...:daumenrunter:)

Danke Dir...

Systemreinigung und Prüfung:

► Wenn Du nun alle Schritte erledigt hast, melde dich mit die gewünschten Ergebnisse zurück!
Nur bei Probleme inzwischen melden!

1.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

3.
Adobe Reader aktualisieren :
- Während der Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus")
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

4.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java "Empfohlen Version Java(TM) 7 Update 7 - von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!
Tipp: -> Java-Updates konfigurieren

5.
Tipps - Der Internet Explorer von Microsoft gehört zur Grundausstattung unter Windows, somit wie alle andere installierte Software muss gepflegt werden! Auch bei Nicht-Verwendung!:
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Ändern oder Auswählen eines Suchanbieters in Internet Explorer 7/8
-> Wie kann ich den Cache im Internet Explorer leeren?

6.
Alle Programme/Fenster schliessen
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

7.
Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  http://image.hijackthis.eu/upload/activex1.jpg
  .

Den PC NUR online scannen und NICHT ein zweites Antivirenprogramm installieren!!!

• Eset Online Scanner (NOD32)
  • Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT.
  • Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "YES, I accept the Terms of Use." machen und auf den Button "Start" drücken.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Wenn fertig, das Protokoll speichern und mir posten.
    -> List of found threats
    -> Export to text file
    -> Back
    -> Delete quarantäne files
  • Finish drücken.
  • Browser schließen.
  • Deinstallation nachdem das Protokoll mir gepostet hast: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

Hallo Kira,

mbam und OTL habe ich durchgeführt.
Nun komme ich aber nicht weiter.

mbam-Log:
OTL-Ausgabe: 10042012_121604.log
folgende Probleme sind nun aufgetreten:

- mbam lässt sich nicht mehr stareten oder neu installieren: Runtime-Error '419': Permission to use object denied

- Adobe Reader 9 lässt sich nicht starten oder deinstallieren.
- Einer der Regschlüssel fehlt wohl: HKEY_LOCAL_MASCHINE32\Software\Classes\CLSID\{98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}
- Die Version 10 kann ich nicht installieren - das Install-Skript startet zwar, aber es erscheint kein Installationsdialog.

- IE-Explorer startet gar nicht.

Mehr habe ich jetzt noch nicht untersucht.
Auch im abgesicherten Modus ist es genauso...

Danke Dir und Gruß
Dodger

wann genau denn? ein bisschen mehr Details bitte

Hi Kira,

na genau nach den ersten beiden Schritten vor dem dritten:
- (Schritt 1) mbam fertig
- (Schritt 2) OTL Fix fertig - Neustart
- (Schritt 3) Updateversuch Adobe: Problem wie beschrieben
- Deinstalltionsversuch Version 9.5 Problem wie beschrieben
- Installationsversuch Version 10.x Problem (Prozess läuft in der Prozessliste, aber kein Installationsdialog oder Popup)
- IE-Startversuch, um damit zu installieren: Problem startet gar nicht
- Testweise Startversuch mbam: Problem wie beschrieben
- Deinstallation, Neuinstallation mbam: gleiches Problem (da habe ich aber auch keinen Neustart mehr gemacht)

Welche Details wären sonst noch interessant?

Danke und Gruß
Dodger

Hallo Kira,

Eine Ergänzung:
Habe gerade versucht im abgesicherten Modus Java (bzw. zum Test danach ein weiniger wichtiges Programm) zu deinstallieren.

Da bekomme ich die Meldung:
"Auf den Windows Installer-Dienst konnte nicht zugegriffen werden. Dies kann auftreten, wenn der Windows Installer nicht richtig installiert wurde...."

Danke Dir und Gruß
Dodger

Noch ein Update:
also grundsätzlich ist mir das alles erst nach dem OTL-Fix aufgefallen, aber da funktionierte soweit auch Installation und Ausführen von mbam und Kollegen.

Den Installerdienst musste ich extra starten - damit ging dann wenigstens die De- und Installation von Java.
Der Installerdienst des Acrobat 10 startete damit aber immer noch nicht.
Nun habe ich zusätzlich in der Registry nach entsprechenden Schlüsseln gescannt, die mir der AcrobatReader angibt - die konnte ich nicht finden (einen hatte ich oben angegeben, bei den Installations- oder Änderungsversuchen war es noch ein anderer).

Was mir nun noch zusätzlich aufgefallen ist: Ich kann keine Benutzerkontoverwaltung mehr vornehmen (anderes Konto verwalten usw.). In das Menü komme ich nicht bzw. es lässt sich nicht starten.
Ist das evtl. mit dem OTL-Fix alles deaktiviert worden oder fehlen jetzt Services oder woran kann das liegen?

Gruß
Dodger

Gibt es einen "relativ einfachen Weg", wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte. Dies bietet Dir die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.

Hallo Kira,

Ja ok - das hätte ich in meiner Verzweiflung auch erstmal versucht, wollte aber erst Deine Meinung hören.

Die Herstellung war erfolgreich - ich habe das System auf den 30.09.2012 zurückgeschraubt.
Damit funktionieren die Installationen, Deinstallationen, Benutzerkonten und IE-Explorer wieder wie zuvor.
Damit war ich nun aber beim Stand von heute Morgen. Hatte ja gestern bereits mit der Wiederherstellung herumgehampelt.

Daher habe ich nun folgende Schritte durchgeführt:
- Adobe Reader Update (keine Neuinstallation) - ist jetzt Version 9.5.2
- Java 6 deinstalliert, Version 7 für 32 und 64 Bit installiert
- WindowsUpdate (mache ich eh regelmäßig, sobald Updates angeboten werden)
- CCleaner neu installiert (höhere Version) und aufgeräumt sowie Registry gesäubert

hier der aktuelle Stand meiner Programme aus dem CCleaner (hab die Liste etwas formatiert, damit sie lesbarer ist):
Ich würde jetzt noch den Punkt 7 Eset Online Scanner durchführen.
Punkt 3 zum IE - war das ein valider Punkt (ich habe da erstmal nur Empfehlungen herausgelesen bzw. Hinweise und Anleitungen, oder?).

Was sollte ich noch tun?
Nochmal ein aktiver Kontrollscan, da die OTL-Fixeinstellungen ja nun sicher auch nicht mehr vorhanden sind?

Danke Dir und Gruß
Dodger

ja, mach das bitte!

Hallo Kira,

schwere Geburt - erst habe ich den Scan gestern Nacht abgebrochen, weil er zu lang lief.

Dann war heute den gesamten Vormittag Erneuerung des Stromanschlusses in unserem Haus - also kein Saft auf den Dosen.
Und nach dem endlich erfolgreichen Scan konnte ich dann die zuvor gefundenen Objekte nicht mehr in ein txt-File exportieren. Daher habe ich den nun ein zweites Mal laufen lassen.
Den Windows Defender konnte ich aber nicht ausschalten - wollte auch nicht zuviel am System schrauben.

Also folgende Funde kamen dabei heraus, wobei ich sagen muss, dass es sich dabei um ziemlich alte exe-Dateien handelt (Skin-Installationen für Win98 noch, glaube ich) , die ich seit 8 oder 10 Jahren (auf einem alten Rechner schon) liegen habe/hatte und die bisher keinem anderen Scanner aufgestoßen sind.
Das ist auch 2 mal die gleiche Datei. Da liegen auch alte zip-Archive, in denen Dateien sind. Im Grunde kann ich den Rest auch weglöschen, da ich das Zeug eh nicht brauch.

Die Dateien habe ich durch den Scanner löschen lassen und würde Eset jetzt auch deinstallieren und die Reste entfernen.

Was sollte ich noch durchführen?

Danke Dir und Gruß
Dodger