Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 01.05.2012, 11:47   #1
s.sid
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Hallo Leute!
Frisch aus dem Urlaub zurück brachte mir meine Mutter als Willkommensgeschenk ihr Notebook mit einem Trojaner verseucht vorbei... .
Es handelt sich hierbei um die Windows-Update - Meldung:
"Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert."
Da ich außer den "Windows-Update" - Bildschirm nichts mehr sehe oder anklicken kann (TaskMgr ist ebenfalls gesperrt), habe ich mich an folgender Anleitung gehalten:
Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
Zumindest bin ich soweit gekommen, dass die LOG-Datei vom Scan nach Änderungsdatum (OLT.txt) vorliegt. Allerdings benötige ich schon hier eure Hilfe: Ich weiß nicht, welche Dateien als fix.txt eingetragen werden müssen.

Der Trojaner kam als eMail via Outlook herein. Der Anhang wurde am 25.04. zwischen 17:40 und 18:20 Uhr geöffnet. Die LOG-Datei OLT.txt schicke ich im Anhang mit.
Es scheinen alle persönlichen Dateien verschlüsselt zu sein. Dies gilt leider auch für die BackupDateien, da das Medium angeschlossen war. Wären dort nicht unwiederbringliche Dateien und Bilder, würde ich euch damit nicht belästigen wollen.

So bleibt mir nur auf eure Hilfe zu hoffen. Vielen Dank schon mal im Voraus!

Alt 02.05.2012, 19:23   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten
__________________

__________________

Alt 02.05.2012, 20:09   #3
s.sid
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Hi Arne,

leider erscheint im Abgesicherten Modus (auch ohne Netzwerktreiber) ein Bluesreen, gefolgt vom automatischen Reboot.


Das Notebook lässt sich nur noch "Normal" starten...




Gruß
Sid
__________________

Alt 02.05.2012, 20:22   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O4 - HKU\Gast_ON_C..\Run: [D48ACA77] C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe (THHiq)
O4 - HKU\Mama_ON_C..\Run: [Bomgar Support Reconnect []]  File not found
O4 - HKU\Mama_ON_C..\Run: [D48ACA77] C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe (THHiq)
O4 - HKU\Mama_ON_C..\Run: [Realtecdriver]  File not found
O4 - HKU\Mama_ON_C..\Run: [TomTomHOME.exe]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe) - C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe (THHiq)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007/12/01 08:25:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell - "" = AutoRun
O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell\AutoRun\command - "" = F:\VTP_Manager.exe
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C46995DA
:Files
C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf
C:\WINDOWS\System32\2BE82C09D48ACA774D0E.exe
C:\WINDOWS\System32\winsh323
C:\WINDOWS\System32\winsh322
C:\WINDOWS\System32\winsh321
C:\WINDOWS\System32\winsh320
C:\WINDOWS\System32\winsh325
C:\WINDOWS\System32\winsh324
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.05.2012, 21:49   #5
s.sid
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Hallo,

sorry das es so lange dauert.

Also, der Reihe nach:
Nach dem Fix lässt sich das Notebook wieder starten!
(Erster wichtiger Teilerfolg!!)
Klar, die Dateien sind noch verschlüsselt.... .

Leider wurde anscheint zuletzt der "Gast" - User angemeldet. (Ein Versuch meiner verzweifelten Ma) Dieser kann sich jetzt auch wieder anmelden. Alle anderen Konten, darunter die Admin-Konten, können nicht angemeldet werden. Die Konten sind noch vorhanden und nicht gesperrt, das PW kann (falls es vom Trojaner verändert wurde) nicht über das Gastkonto verändert werden.

Um die movedfiles zu zippen, soll n. M. der Virenscanner deaktiviert werden. Dies kann der Gast-Account nicht.

Ich suche nun fieberhaft eine lauffähige ERD, um das Adminkonto mit einem neuen PW zu überschreiben.

Hier schon einemal das LOGfile vom Fix:

HTML-Code:
========== OTL ==========
Registry value HKEY_USERS\Gast_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\D48ACA77 deleted successfully.
C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe moved successfully.
Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Bomgar Support Reconnect [ not found.
Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\D48ACA77 deleted successfully.
C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe moved successfully.
Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Realtecdriver deleted successfully.
Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\TomTomHOME.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe deleted successfully.
File C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.
File F:\VTP_Manager.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C46995DA deleted successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf folder moved successfully.
File\Folder C:\WINDOWS\System32\2BE82C09D48ACA774D0E.exe not found.
C:\WINDOWS\System32\winsh323 moved successfully.
C:\WINDOWS\System32\winsh322 moved successfully.
C:\WINDOWS\System32\winsh321 moved successfully.
C:\WINDOWS\System32\winsh320 moved successfully.
C:\WINDOWS\System32\winsh325 moved successfully.
C:\WINDOWS\System32\winsh324 moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 05022012_234038
Ich eile.... .

Vielen Dank schon einmal für deine Hilfe!!

Sooooooooo!!!!!

Nach einer gefühlten Ewigkeit konnte ich das PW vom Administrator wieder zurücksetzten.

Nun besteht auch wieder uneingeschränkter Zugriff auf Dateien und Programme.

Die Dateien im Ordner MovedFiles habe ich via Upload-Channel entsprechend hochgeladen.


Bevor ich mit irgendwelchen wilden entschlüsselungsversuche anfange, warte ich lieber auf dein GO....
Zumal es immer mal wieder andere Programme sind, die von euch eingesetzt bzw. empfohlen werden.

So long, und vielen Dank!!


Alt 03.05.2012, 13:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
--> Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash

Alt 03.05.2012, 18:30   #7
s.sid
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Halöle,
hier nun die LOG-Dateien:

LOG von Malwarebytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.03.04

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 7.0.5730.13
Administrator :: MAMA-MOBILE [Administrator]

Schutz: Aktiviert

03.05.2012 16:29:01
mbam-log-2012-05-03 (16-29-01).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 340934
Laufzeit: 46 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 18
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Mdpflgw\307D3DBED48ACA772A23.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Realtec\Realtecdriver.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\bzvtiansgf.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\ndysnpbtcr.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\nrmsaybvkr.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\shanlvtiej.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\giexzgqnpd.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Temp\humipflgwh.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Nero\Nero 7\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Nero\Nero 7\CD\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0000004.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001007.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001012.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001021.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001026.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\05022012_234038\C_Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\05022012_234038\C_WINDOWS\system32\2BE82C09D48ACA774D0E.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\DecryptHelper-0.5.2.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
und das LOG von ESET-Online-Scanner:

Code:
ATTFilter
 ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=7.00.6000.17109 (vista_gdr.120227-1644)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=06f63a875080e64db6f00c1500aa90ac
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-03 04:51:51
# local_time=2012-05-03 06:51:51 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 680 680 0 0
# scanned=77496
# found=1
# cleaned=0
# scan_time=3175
C:\_OTL\MovedFiles.zip	Win32/Trustezeb.A trojan (unable to clean)	00000000000000000000000000000000	I
         

Danke!!!!

Alt 03.05.2012, 18:39   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Zitat:
C:\Programme\Nero\Nero 7\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Nero\Nero 7\CD\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Sry aber bei illegaler Software gibt es hier nur noch Hilfe zur Datensicherung + Neuinstallation von Windows

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.05.2012, 19:13   #9
s.sid
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Hallo,

klar, ist auch I.O.

Natürlich war auch mir der Eintrag aufgefallen, dennoch hielt ich es für völlig daneben diesen zu "verschleiern".... .
Leider hatte ich kein Einfluss darauf, was meine Geschwister so mit dem Notebook anstellen.

LG
Sid

Alt 04.05.2012, 09:00   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Standard

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash



Tja, das ist natürlich nicht schön, da müsstest du evtl auch mal den Mitbenutzern mitteilen was man darf und was nicht - nicht nur deswegen, sondern weil illegale Cracks/Keygens brandgefährlich für das Windows-System sind

Falls noch Dateien entschlüsselt werden müssen, findesu dazu Hinweise genug hier im Board, anschließend sollst du alles sichern und dem Artikel zur Neuinstallation von Windows folgen.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash
anhang, anleitung, benötige, bilder, bildschirm, dateien, dateien verschlüsselt, ebenfalls, email, folge, geschlossen, gesperrt, infiziert, infiziert., klicke, klicken, leute, log-datei, meldung, nichts, notebook, outlook, scan, trojaner, trojaner - gesperrte dateien, urlaub, verschlüsselung trojaner ukash 50, verseucht, windows-update



Ähnliche Themen: Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash


  1. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (1)
  2. Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 18.06.2012 (9)
  3. OTL.txt ""sie haben sich mit einem windows-verschlüsselungs trojaner infiziert", ich bitte um hilfe.
    Log-Analyse und Auswertung - 10.06.2012 (3)
  4. Windows XP: "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert."
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (2)
  5. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert. XP
    Alles rund um Windows - 10.06.2012 (2)
  6. sie haben sich mit einem windows verschlüsselungs trojaner infiziert
    Log-Analyse und Auswertung - 31.05.2012 (1)
  7. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 31.05.2012 (1)
  8. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 28.05.2012 (15)
  9. Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert. PC reinigen.
    Log-Analyse und Auswertung - 23.05.2012 (9)
  10. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 17.05.2012 (2)
  11. sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 11.05.2012 (27)
  12. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 100€ Paysafe
    Log-Analyse und Auswertung - 05.05.2012 (11)
  13. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 04.05.2012 (15)
  14. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 01.05.2012 (9)
  15. Sie haben sich mit einem Windows Verschlüsselungstrojaner infiziert 50Euro Ukash Code
    Log-Analyse und Auswertung - 29.04.2012 (12)
  16. Sie haben sich mit einem windows-verschlüsselungs trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (7)
  17. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert uKash
    Log-Analyse und Auswertung - 27.04.2012 (1)

Zum Thema Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash - Hallo Leute! Frisch aus dem Urlaub zurück brachte mir meine Mutter als Willkommensgeschenk ihr Notebook mit einem Trojaner verseucht vorbei... . Es handelt sich hierbei um die Windows-Update - Meldung: - Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash...
Archiv
Du betrachtest: Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.