Mein Problem besteht darin dass ich diesen bundeskriminalamt virus schon seit einiger zeit auf meinem pc habe. Allerdings ist von meinen drei benutzerkonten unter windows 7 nur ein konto davon befallen (also äußerlich d.h. ich klicke auf das konto es lädt alles ganz normal und auf einmal kommt halt dieser bildschirm mit ucash).
Ich hab nun eigenständig gegoogelt und versucht den virus zu entfernen, weil ich eine anleitung zur entfernung von hotkeys in der registry gefunden hatte. Ich habe demnach einen virus bei current user namens mahmud.exe im befallenen konto gefunden und gelöscht aber nach dem neustart blieb alles unverändert... Ich hab dann noch bei local machine in dem gesuchten pfad eine datei mit dem namen explorer.exe gefunden den ich aber der anleitung nach nicht löschen sollte.. wie gehe ich nun vor?
danke im voraus

Hi,

mit dem verseuchten Konto booten und dann:

OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Hallo
habe otl vom stick auf verseuchtes konto überspielt und ausgeführt.
nach dem scan kam folgende meldung: die datei extra.txt/otl.txt wurde im pfad windows/system32/[...] nicht gefunden, soll diese datei erstellt werden?
ich habe auf ja geklickt und die neu erstellten dateien rüberkopiert aber die waren leer :S?!
was mache ich nun? nochmal wiederholen?
LG Stefan

ahja und was ich noch hinzufügen wollte: wie führe ich im dos eingabefenster ein programm als administrator aus?

Hi,

wechsle in der CMD das Verzeichnis, in Systemverzeichnissen (Windows) gibts so einfach keine Schreibrechte...
cd..
Ausführen als anderer User: Runas...

Oder einfach auf den Stick wechseln und dort ausführen...

chris

Hat geklappt

Hi,

das hier schmeisse ich mal raus, wenn Du es kennst aus dem script rausnehmen: C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat(2x)

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
F3:64bit: - HKCU WinNT: Load - (C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat) - C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat (The cURL library)
F3 - HKCU WinNT: Load - (C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat) - C:\Users\A&S~1.VIJ\LOCALS~1\Temp\msonlpc.bat (The cURL library)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O33 - MountPoints2\{c9d636e4-c64e-11df-b5cf-00016c6f69cf}\Shell\AutoRun\command - "" = K:\Autorun.exe
[2012.03.05 13:56:02 | 000,000,928 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-622775202-2694618919-1245981529-1001UA.job
[2012.03.05 13:56:00 | 000,000,906 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-622775202-2694618919-1245981529-1001Core.job
@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:E1F04E8D
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:ABE89FFE
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:AB689DEA
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:E3C56885

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris