Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.02.2012, 13:55   #1
Rup089
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



Hallo,

auf diesem Rechner (Windows 7) ist dieser Trojaner erschienen:

Auf weißem Hintergrund erschien ein Fenster mit der Nachricht, dass der PC gesperrt wurde und wegen nicht lizenzierter Software eine Strafe von 100€ zu zahlen sei. Darunter dann Hinweise auf Ucash, etc.

Das gilt bisher nur für den User Account meiner Freundin, meiner ist verschont geblieben.

Bei ihr kam einmal zuerst der Bildschirm, den konnte man dann mit strg alt entf wieder wegmachen. Daraufhin kam irgendwann eine Windows Update Meldung und danach kam nur noch der Weiße Bildschirm mit der Windows Lizenz. Daraufhin haben wir auf meinen Acc gewechselt. nun kam auch hier die Windows Update Meldung - keine Ahnung ob das was mit einander zu tun hat.

Habe mal Malware laufen lassen. und alles gelöscht. Hier ist das Ergebnis.
Ich mächte aber im Moment nicht neustarten, da ich Angst habe, dass dann auch mein ACC trojanisiert ist...Wahrscheinlich steht deswegen dahinter: "keine Aktion durchgeführt"

Ich wäre euch sooo dankbar, wenn ihr uns helfen könnt. Meine Freundin hat demnächst zahlreiche Klausuren und brauch den Rechner so schnell wie möglich wieder.

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.18.03

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Sam :: ANNA-PC [Administrator]

Schutz: Aktiviert

18.02.2012 14:27:48
mbam-log-2012-02-18 (14-46-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 201908
Laufzeit: 7 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Anna\AppData\Local\Temp\mor.exe (Trojan.Cryptbel.Gen) -> 4044 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 15
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: ;áÃzÊ;XA³0öm»Áµ -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: VShareTB -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Anna\AppData\Local\Temp\mor.exe (Trojan.Cryptbel.Gen) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Keine Aktion durchgeführt.

(Ende)

Alt 18.02.2012, 14:44   #2
markusg
/// Malware-holic
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



hi,
starte mal im abgesicherten modus mit netzwerk, wähle den betroffnen nutzer aus, internet sollte ohne problene gehen.
wenn dem so ist:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 18.02.2012, 15:37   #3
Rup089
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



Hi Markus,

danke schonmal für deine rasche Antwort. Ich komme heute sicher nicht mehr dazu, muss jetzt leider weg. Ich mach das morgen.

Nur schonmal eine Sache. Meine Freundin studiert Architektur und da wird von ihr VERLANGT, dass sie manche Programme hat - die aber hunderte Euro kosten und nicht als Studentenversion existieren. Deswegen sind 2-3 Programme drauf, die....

Kannst du trotzdem helfen? Wäre echt toll, sie vermasselt sich sonst nächste Woche die Prüfungen...

LG und danke
__________________

Alt 18.02.2012, 15:40   #4
markusg
/// Malware-holic
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



warum schreibst du das, hättest du die logs dann einfach so geendert das ich es nicht sehe dann wäre das in ordnung..
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.02.2012, 12:07   #5
Rup089
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



Hi Thomas,

Ehrlichkeit währt am längsten.
Meine Freundin hat vom Lehrstuhl übrigens auch eine gecrackete CD bekommen - weil sie wissen, dass sich das niemand leisten kann.

Und irgendwas aus logfiles löschen? Keine Ahnung, wie das geht...

Hier mal die log files (beide in der extra.zip)
Wäre super, wenn ihr helfen könntet.

Danke


Alt 19.02.2012, 15:57   #6
markusg
/// Malware-holic
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



hi
wie kommst du auf thomas :-) mein name ist markus


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [vasja] C:\Users\Anna\AppData\Local\Temp\mor.exe File not found
 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden
__________________
--> Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash

Alt 19.02.2012, 16:22   #7
Rup089
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



Servus Markus,

keine Ahnung, wie ich auf Thomas gekommen bin ;-)

Danke für deine Hilfe, hier die log Datei:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\vasja deleted successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Anna
->Flash cache emptied: 79945 bytes

User: Default
->Flash cache emptied: 56502 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

User: Sam
->Flash cache emptied: 52638 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Anna
->Temp folder emptied: 191204832 bytes
->Temporary Internet Files folder emptied: 12381020 bytes
->Java cache emptied: 947175 bytes
->FireFox cache emptied: 38550190 bytes
->Opera cache emptied: 4478246 bytes
->Flash cache emptied: 0 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Sam
->Temp folder emptied: 390056516 bytes
->Temporary Internet Files folder emptied: 175115448 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 308843755 bytes
->Opera cache emptied: 19455470 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 21144970 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 85230 bytes
RecycleBin emptied: 1335577464 bytes

Total Files Cleaned = 2.382,00 mb

Error: Unable to interpret <[Reboot> in the current context!

OTL by OldTimer - Version 3.2.33.0 log created on 02192012_171529

Files\Folders moved on Reboot...
C:\Users\Anna\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Alt 19.02.2012, 16:31   #8
markusg
/// Malware-holic
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



na ich nehme an ich werds überleben :-)
upload nicht vergessen
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.02.2012, 16:50   #9
Rup089
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



Hi Thomas,

jetzt stehe ich auf dem Schlauch. Upload?

Die Textdatei habe ich ja hier reinkopiert.

Lg

Alt 19.02.2012, 17:40   #10
markusg
/// Malware-holic
 
Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Standard

Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash



sorry, vergiss es, war mein fehler.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
administrator, anti-malware, autostart, bildschirm, browser, center, dateien, dateisystem, explorer, gesperrt, helper, heuristiks/extra, heuristiks/shuriken, hintergrund, malware, mor.exe, neustarten, pup.vshareredir, rechner, security, software, speicher, temp, trojan.cryptbel.gen, trojaner, update, windows, windows update



Ähnliche Themen: Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash


  1. Computer gesperrt durch windows security center, 100euro bezahlen
    Plagegeister aller Art und deren Bekämpfung - 15.04.2012 (5)
  2. Windows Security Center - PC gesperrt - 100 Euro bezahlen
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (1)
  3. Windows Security Center - PC gesperrt - 100 Euro bezahlen
    Alles rund um Windows - 30.03.2012 (1)
  4. Windows Security Center Virus , Bezahlen mit Ukash und PSC , Betrug.
    Log-Analyse und Auswertung - 29.03.2012 (2)
  5. Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Log-Analyse und Auswertung - 21.03.2012 (3)
  6. Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Plagegeister aller Art und deren Bekämpfung - 16.03.2012 (11)
  7. windows security center: ihr computer wurde gesperrt. zahle 100 euro
    Plagegeister aller Art und deren Bekämpfung - 15.03.2012 (6)
  8. Computer gesperrt! security center ukash virus! windows 7
    Log-Analyse und Auswertung - 15.03.2012 (3)
  9. Computer gesperrt! security center ukash virus
    Log-Analyse und Auswertung - 15.03.2012 (3)
  10. Windows Security Center (100 euro zahlen) Achtung Ihr Computer wurde gesperrt
    Log-Analyse und Auswertung - 14.03.2012 (1)
  11. Computer gesperrt Windows Security Center 100 € Ukash
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (22)
  12. Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Plagegeister aller Art und deren Bekämpfung - 11.02.2012 (12)
  13. Ebenfalls - Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash
    Log-Analyse und Auswertung - 06.02.2012 (7)
  14. Windows security center 100 Euro strafe computer gesperrt u kash Hilfe bitte
    Plagegeister aller Art und deren Bekämpfung - 04.02.2012 (15)
  15. windows security center : Computer ist gesperrt!100 Euro U kash
    Log-Analyse und Auswertung - 03.02.2012 (1)
  16. Security Center 100 Euro, Computer gesperrt
    Log-Analyse und Auswertung - 03.02.2012 (17)
  17. Ukash Trojaner Windows Security Center Computer wurde gesperrt
    Log-Analyse und Auswertung - 29.01.2012 (7)

Zum Thema Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash - Hallo, auf diesem Rechner (Windows 7) ist dieser Trojaner erschienen: Auf weißem Hintergrund erschien ein Fenster mit der Nachricht, dass der PC gesperrt wurde und wegen nicht lizenzierter Software eine - Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash...
Archiv
Du betrachtest: Windows Security Center - PC gesperrt - 100 Euro bezahlen - Ukash auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.