Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.04.2012, 23:15   #1
xxxxxx
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Icon17

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



Hallo,

auf dem Computer meiner Eltern hat sich der BKA/UCash-Trojaner eingenistet und ich soll ihn nun beseitigen.



Da ich schon einmal sehr gute Erfahrungen mit diesem Board gemacht habe, suche ich hier nach Hilfe...



Hier die Daten zum System:

Windows XP Professional (32Bit), Version 2002, SP3
Virus Programm Avira

Was ich bereits gemacht habe:

(1) Start im abgesicherten Modus.
(2) Schritte 1,2,3 in Schritt 2 in der Anleitung: d.h. defogger, dds, gmer. (Keine Probleme dabei!)

Anbei die log files!

Jetzt rätzele ich, wie es weiter geht...



Schon einmal vielen, vielen Dank!!!



xxxxxx







----

Mir fällt grad auf, dass das gmer-file etwas kurz geraten ist. Sollte ich das vielleicht nochmal versuchen??
Angehängte Dateien
Dateityp: txt dds.txt (4,9 KB, 138x aufgerufen)
Dateityp: txt attach.txt (15,7 KB, 160x aufgerufen)
Dateityp: txt gmer.txt (1,9 KB, 140x aufgerufen)

Geändert von xxxxxx (02.04.2012 um 23:17 Uhr) Grund: Nachtrag

Alt 03.04.2012, 09:30   #2
markusg
/// Malware-holic
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



hi,
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 03.04.2012, 12:00   #3
xxxxxx
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



Vielen Dank für die Antwort, Markus!

Ich habe den Text eingegeben und im Menü-Punkt "Extra Registrierung" die Option "Benutze Safelist" gewählt (wie in der Anleitung verlangt). Allerdings hat OTL diese Einstellung beim Start des Scans immer automatisch geändert. Ich nehme an, dass deswegen kein Extra.txt raus kam. Habe ich da vielleicht etwas falsch gemacht?

Hier jedesfalls schon mal das OTL.txt meines letzten Versuchs!
__________________
Angehängte Dateien
Dateityp: txt OTL.Txt (53,9 KB, 156x aufgerufen)

Alt 03.04.2012, 16:54   #4
markusg
/// Malware-holic
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



hi
geht auch so
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



[CODE]
:OTL
O4 - HKCU..\Run: [ctfmon.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\subqweaim32.dat ()
:Files
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\subqweaim32.dat
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]



• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 03.04.2012, 18:42   #5
xxxxxx
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



Wunderbar! Hat alles geklappt.

Hier ist der Code:

All processes killed
Error: Unable to interpret <[CODE]> in the current context!
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon.exe deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\subqweaim32.dat moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\subqweaim32.dat not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 56895 bytes

User: All Users

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 1347160518 bytes
->Temporary Internet Files folder emptied: 300684720 bytes
->Java cache emptied: 1337960 bytes
->FireFox cache emptied: 530450603 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 27866375 bytes
%systemroot%\System32\dllcache .tmp files removed: 1000064 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 10195330 bytes
RecycleBin emptied: 14152972 bytes

Total Files Cleaned = 2.132,00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 04032012_181528

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...






Lade ich auch gleich in den Uploadchannel...

Bis nachher und - wie gehabt -VIELEN Dank für Deine Mühe!!



Upload hat offensichtlich geklappt!



Sind wir jetzt fertig...?


Alt 03.04.2012, 20:47   #6
markusg
/// Malware-holic
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



weiter hiermit:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
--> BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)

Alt 03.04.2012, 22:20   #7
xxxxxx
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



Ich habe in der Avira-Verwaltung alles deaktiviert und Combofix laufen lassen. Habe allerdings mehrmals eine Nachricht von Avira bekommen, mit der Frage, ob Combofix erlaubt ist. Ich hoffe, das hat den Erfolg der Aktion nicht behindert. Leider konnte ich nicht feststellen, wie man dieses doofe Programm ganz deaktiviert...

Hier der Bericht!! Vielen Dank schonmal für Deine nächste Anweisung...

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-04-03.02 - Administrator 03.04.2012  22:06:44.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1377 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: Avira FireWall *Disabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-03 bis 2012-04-03  ))))))))))))))))))))))))))))))
.
.
2012-04-03 16:48 . 2012-04-03 16:48	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2012-04-03 16:36 . 2010-03-01 08:04	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-04-03 16:36 . 2010-02-18 08:51	102856	----a-w-	c:\windows\system32\drivers\avfwot.sys
2012-04-03 16:36 . 2010-02-16 12:24	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-04-03 16:36 . 2009-05-11 10:49	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2012-04-03 16:36 . 2009-05-11 10:49	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2012-04-03 16:36 . 2010-02-15 13:23	79432	----a-w-	c:\windows\system32\drivers\avfwim.sys
2012-04-03 16:36 . 2012-04-03 16:36	--------	d-----w-	c:\programme\Avira
2012-04-03 16:15 . 2012-04-03 16:45	--------	d-----w-	C:\_OTL
2012-03-18 17:22 . 2012-03-18 17:22	592824	----a-w-	c:\programme\Mozilla Firefox\gkmedias.dll
2012-03-18 17:22 . 2012-03-18 17:22	44472	----a-w-	c:\programme\Mozilla Firefox\mozglue.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-17 09:32 . 2011-08-26 05:06	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-03 09:57 . 2008-04-14 11:00	1860224	----a-w-	c:\windows\system32\win32k.sys
2012-01-11 19:06 . 2012-02-16 16:03	3072	------w-	c:\windows\system32\iacenc.dll
2012-01-09 16:20 . 2010-07-23 12:03	139784	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-03-18 17:22 . 2011-09-07 12:33	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-11-20 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SharpTray"="c:\programme\Sharp\Sharpdesk\SharpTray.exe" [2003-07-18 28672]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-18 925696]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37	843712	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrowserChoice]
2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
.
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [03.04.2012 18:36 102856]
R2 AntiVirFirewallService;Avira FireWall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [03.04.2012 18:36 536232]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [03.04.2012 18:36 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.04.2012 18:36 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [03.04.2012 18:36 405672]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [03.04.2012 18:36 79432]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [12.12.2011 21:26 27632]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [18.10.2010 17:23 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [18.10.2010 17:23 136176]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - ANTIVIRFIREWALLSERVICE
*NewlyCreated* - ANTIVIRMAILSERVICE
*NewlyCreated* - ANTIVIRSERVICE
*NewlyCreated* - ANTIVIRWEBSERVICE
*NewlyCreated* - SSMDRV
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-18 15:23]
.
2012-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-18 15:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hiergehtslos.de
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\viiifrz7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.hiergehtslos.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKU-Default-Run-CTFMON.EXE - c:\dokume~1\alluse~1\anwend~1\subqweaim32.dat
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-SearchSettings - c:\programme\pdfforge Toolbar\SearchSettings.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-03 22:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-507921405-1647877149-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,40,2b,b9,f5,f1,ac,70,45,a9,7a,dc,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,40,2b,b9,f5,f1,ac,70,45,a9,7a,dc,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(972)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(1028)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2012-04-03  22:12:10
ComboFix-quarantined-files.txt  2012-04-03 20:12
.
Vor Suchlauf: 11 Verzeichnis(se), 50.309.890.048 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 50.765.373.440 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - ACFF9E1435178B03D40E7A853072ECA1
         
--- --- ---


Mir fällt grad selber auf, dass meine Eltern den Computer mit dem Admin-Konto benutzen...


Alt 04.04.2012, 10:16   #8
markusg
/// Malware-holic
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



passt soweit alles.
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.04.2012, 13:44   #9
xxxxxx
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



So, malwarebytes is durch! Ein Fund, hab ihn entfernt.

Hat bisher alles super geklappt, vielen Dank!!

Hier is das log-file:

Code:
ATTFilter
 Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.04.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: xxxxxx-B84B159 [Administrator]

04.04.2012 12:00:39
mbam-log-2012-04-04 (12-00-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 375429
Laufzeit: 1 Stunde(n), 36 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\04032012_181528\C_Dokumente und Einstellungen\All Users\Anwendungsdaten\subqweaim32.dat (Trojan.Agent.RDGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Und jetz...?



Eine Frage hab ich noch: zum Zeitpunkt der Infektion waren mehrere externe Datenträger an dem Computer. Was mach ich denn mit denen??

Alt 04.04.2012, 16:36   #10
markusg
/// Malware-holic
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



eig dürfte nichts passiert sein, schließe sie an, update malwarebytes, komplett scan, funde löschen log posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.04.2012, 22:04   #11
xxxxxx
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



Habe auf den externen erstmal nix finden können. Also nehme ich an, dass alles okay ist.

Ansonsten habe ich ein normales eingeschränktes Kto eingerichtet und Avira aktualisiert. Sollte dann soweit alles passen, oder? Muss ich noch an etwas anderes denken??

Alt 05.04.2012, 11:01   #12
markusg
/// Malware-holic
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



jepp.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 05.04.2012, 21:58   #13
xxxxxx
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



Alles klar! Hier ist die Liste...

Code:
ATTFilter
2007 Microsoft Office system NOTWENDIG
Adobe Flash Player 10 ActiveX NOTWENDIG
Adobe Flash Player 11 Plugin NOTWENDIG
Adobe Reader X (10.1.2) NOTWENDIG
ATI - Dienstprogramm zur Deinstallation der Software UNBEKANNT
ATI Catalyst Control Center UNBEKANNT
ATI Display Driver        04.04.2012  UNBEKANNT
ATI Parental Control & Encoder UNBEKANNT
Avira Premium Security Suite   NOTWENDIG
CCleaner    Piriform  NOTWENDIG
ElsterFormular NOTWENDIG
Google Chrome UNNÖTIG
Google Earth NOTWENDIG
HP PSC & Officejet NOTWENDIG
Java(TM) 6 Update 30 NOTWENDIG
Malwarebytes Anti-Malware Version NOTWENDIG
Microsoft .NET Framework 1.1 UNBEKANNT        
Microsoft .NET Framework 1.1 German Language Pack    UNBEKANNT
Microsoft .NET Framework 2.0 Service Pack 2 UNBEKANNT
Microsoft .NET Framework 3.0 Service Pack 2 UNBEKANNT
Microsoft .NET Framework 3.5 SP1    UNBEKANNT
Microsoft .NET Framework 4 Client Profile  UNBEKANNT
Microsoft .NET Framework 4 Client Profile DEU Language Pack UNBEKANNT
Microsoft Compression Client Pack 1.0 for Windows XP    UNBEKANNT
Microsoft User-Mode Driver Framework Feature Pack 1.0 UNBEKANNT
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729  UNBEKANNT
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148  UNBEKANNT
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 UNBEKANNT
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket  UNBEKANNT
Mozilla Firefox 11.0 (x86 de)    NOTWENDIG
MSXML 4.0 SP2 (KB954430)    UNBEKANNT
MSXML 4.0 SP2 (KB973688)    UNBEKANNT
Nero Suite        NOTWENDIG
OpenOffice.org 3.2    NOTWENDIG
PDFCreator    NOTWENDIG
REALTEK GbE & FE Ethernet PCI-E NIC Driver NOTWENDIG
Security Update for Windows Search 4 - KB963093  NOTWENDIG
SHARP AR-M160/M205/5220 Series MFP Driver NOTWENDIG       04.04.2012        
Sharp Button Manager A  UNBEKANNT
SoundMAX    Analog Devices UNBEKANNT
T-Online 6.0 NOTWENDIG
VLC media player 1.1.11   UNBEKANNT
Windows Genuine Advantage Validation Tool (KB892130) UNBEKANNT
Windows Internet Explorer 8    Microsoft Corporation UNNÖTIG
Windows Media Format 11 runtime      NOTWENDIG
Windows Media Player 11        NOTWENDIG
Windows Messenger 5.1    UNBEKANNT
         

Alt 06.04.2012, 18:39   #14
markusg
/// Malware-holic
 
BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Standard

BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)



deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



avira: welche version verwendest du da genau? aktuell ist version 12, evtl. upgrade einspielen
deinstaliere:
Google Chrome
Java
Download der kostenlosen Java-Software
downloade java jre, instaliern.

deinstaliere:


öffne CCleaner analysieren, ccleaner starten.
pc neustarten testen wie das system läuft
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)
32bit, abgesicherte, abgesicherten, anleitung, bereits, board, compu, computer, daten, defogger, erfahrungen, files, glaskugel, kaffee, leitung, log, log files, probleme, professional, programm, schritte, start, suche, system, version



Ähnliche Themen: BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)


  1. Computer gesperrt bei Netzverbindung 100EUR Paysafe
    Log-Analyse und Auswertung - 13.01.2013 (15)
  2. Ucash Trojaner Windows XP
    Log-Analyse und Auswertung - 14.10.2012 (9)
  3. BKA Trojaner - UCash 100€
    Log-Analyse und Auswertung - 25.09.2012 (23)
  4. BKA Trojaner/Ucash
    Log-Analyse und Auswertung - 09.08.2012 (6)
  5. Gvu Trojaner Ucash 100€
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (4)
  6. UCash-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (3)
  7. Ucash - Trojaner
    Log-Analyse und Auswertung - 02.05.2012 (9)
  8. BKA Trojaner Aufforderung 100EUR zu beahlen
    Log-Analyse und Auswertung - 12.04.2012 (22)
  9. Backup nach Trojaner Bundeskriminalamt der 100Eur erpresst
    Log-Analyse und Auswertung - 27.03.2012 (18)
  10. Bundespolizei Trojaner ucash
    Log-Analyse und Auswertung - 21.11.2011 (17)
  11. FakeAlert!fakealert-REP in C:\Windows\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
    Plagegeister aller Art und deren Bekämpfung - 02.09.2011 (45)
  12. Bundeskriminalamt Trojaner UCASH
    Log-Analyse und Auswertung - 20.04.2011 (16)
  13. BKA Trojaner mit Ucash
    Plagegeister aller Art und deren Bekämpfung - 20.04.2011 (1)
  14. Antivir meldet HTLM/Spoofing.Gen
    Log-Analyse und Auswertung - 20.08.2010 (21)
  15. Habe Trojan.HTLM.BayFraud.A gefunden, brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 19.11.2006 (1)
  16. Bitte um Hilfe Trojan.HTLM.BayFraud.a
    Plagegeister aller Art und deren Bekämpfung - 03.10.2006 (6)

Zum Thema BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) - Hallo, auf dem Computer meiner Eltern hat sich der BKA/UCash-Trojaner eingenistet und ich soll ihn nun beseitigen. Da ich schon einmal sehr gute Erfahrungen mit diesem Board gemacht habe, suche - BKA/UCash-100EUR-Trojaner (htlm/fakealert AP)...
Archiv
Du betrachtest: BKA/UCash-100EUR-Trojaner (htlm/fakealert AP) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.