Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "Ukash" Trojaner eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.07.2012, 17:10   #1
mladjo
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



Hallo leute,

erstmal großes lob für das Forum da sind ein Paar echte kenner unterwegs. Respekt. Ich hoffe Ihr könnt mir auch helfen.

Es geht um folgendes ich habe mir einen "ukash" Trojaner eingefangen. Vorhin während dem Surfen bekam ich einen "Sperrbildschirm" mit so nem möchtegern Gesetzestext und ich möge bitte €100 zahlen um meinen Computer zu entsperren

Ich ließ daraufhin im abgesicherten Modus den Rechner mit AVG Internet Security Pro und Malwarebytes scannen. Die fanden zwar das ein oder andere aber nicht das was ich gehofft hatte. Das Problem besteht weiterhin.

Ich bin für jeden Tipp dankbar, mag den Laptop nicht neu aufsetzen.

OTL scan ebenfalls im abgesicherten Modus:

lg
mladjo

Alt 12.07.2012, 18:13   #2
markusg
/// Malware-holic
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



hi,
was heißt das ein oder andere, poste die berichte bitte.
__________________

__________________

Alt 12.07.2012, 19:31   #3
mladjo
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



Hi,

hier das log vom AVG

Zitat:
AVG 2012 Anti-Virus Befehlszeilenscanner
Copyright (c) 1992 - 2011 AVG Technologies
Programmversion 2012.0.1869, Engine 2012.0.2092
Virendatenbank: Version 2092/4591 2011-11-02

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\Mladjo\NTUSER.DAT Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\Mladjo\ntuser.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Gesperrte Datei. Nicht getestet.
C:\pagefile.sys Gesperrte Datei. Nicht getestet.
C:\System Volume Information\ Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\default Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\default.LOG Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\SAM Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\SAM.LOG Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\SECURITY Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\SECURITY.LOG Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\software Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\software.LOG Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\system Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\system.LOG Gesperrte Datei. Nicht getestet.
G:\ADCDA2\adbcd.dll Trojaner: Delf.ZQA Objekt wurde in die Virenquarantäne verschoben.
G:\ADCDA2\adbcd.exe Virus identifiziert: Citem_c.CIB Objekt wurde in die Virenquarantäne verschoben.
G:\System Volume Information\ Gesperrte Datei. Nicht getestet.

------------------------------------------------------------
Test gestartet: 12.7.2012 15:17:00
Testdauer: 27 Minute(n) 56 Sekunde(n)
------------------------------------------------------------
Gescannte Objekte: 548304
Gefundene Infektionen: 2
Gefundene unerwünschte Programme: 0
Bereinigte Infektionen: 2
Bereinigte unerwünschte Programme: 0
Warnungen: 0
------------------------------------------------------------
Malwarebytes:

Zitat:
Malwarebytes Anti-Malware (PRO) 1.62.0.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.07.03.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
Mladjo :: MLADJO-CCCC0A16 [Administrator]

Schutz: Deaktiviert

12.07.2012 16:09:17
mbam-log-2012-07-12 (16-09-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 72261
Laufzeit: 35 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Mladjo\Eigene Dateien\Downloads\SoftonicDownloader_fuer_pdf24-pdf-creator.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Temp\AdbeRdr_de_DEh.exe (Trojan.Happili) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
__________________

Alt 13.07.2012, 11:30   #4
markusg
/// Malware-holic
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [Juniper Networks] C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Juniper Networks\vmhzupwr.dll (Microsoft Corporation)
O4 - HKLM..\Run: [wlanutil] C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\921\wlanutil.exe ()
 :Files
C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\921
C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Juniper Networks\vmhzupwr.dll
:Commands
[Reboot]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.07.2012, 13:40   #5
mladjo
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



Hi vielen Dank für die Hilfe!

Upload der Movedfiles war erfolgreich
Zitat:
Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.
Seit dem Fix funktioniert wieder alles

Bitte um Info falls noch was zu tun ist. Danke schon mal

LG
mladjo


Alt 13.07.2012, 14:05   #6
markusg
/// Malware-holic
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



sehr gut, danke fürs hochladen

für eine weitere analyse benötige ich mal folgendes.
C:\Dokumente und Einstellungen\name\Anwendungsdaten\Sun\Java\Deployment\cache

dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
__________________
--> "Ukash" Trojaner eingefangen

Alt 13.07.2012, 14:57   #7
mladjo
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



Hi nochmals,

ich habe in dem Ordner cache keinen Unterordner namens cache sondern einen Ordner namens 6.0

Ich habe trotzdem probiert den Ordner Cache (Unterordner vom deployment) hochzuladen bekomme aber keine "successful" Meldung sondern kehre immer wieder zum Uploadscreen zurück. Internet Security ist ausgeschaltet. Der Ordner hat 16MB(gezipt).

Ich bin mir jetzt nicht sicher ob was hochgeladen wurde oder nicht.

lg
mladjo

Alt 13.07.2012, 15:05   #8
markusg
/// Malware-holic
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



hi
bitte mal den ordner bei
File-Upload.net - Ihr kostenloser File Hoster!
hochladen, link als private nachicht an mich
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.07.2012, 18:41   #9
mladjo
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



Sie haben Post

ich bin gespannt was dabei herauskommt

lg
mladjo

Alt 14.07.2012, 16:06   #10
markusg
/// Malware-holic
 
"Ukash" Trojaner eingefangen - Standard

"Ukash" Trojaner eingefangen



danke, nichts neues.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu "Ukash" Trojaner eingefangen
abgesicherten, avg, computer, ebenfalls, eingefangen, folge, folgendes, forum, gen, großes, interne, internet, internet security pro, laptop, leute, malwarebytes, modus, neu, problem, rechner, scan, security, sperrbildschirm, sperre, surfen, trojaner, zahlen, €100 zahlen



Ähnliche Themen: "Ukash" Trojaner eingefangen


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Beim Treiber Update "wiederspenstige" Software eingefangen. "SpeedUpMyComputer"
    Plagegeister aller Art und deren Bekämpfung - 27.05.2014 (3)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. Ich habe mir vor drei Tagen den Ukash-BKA-Virus "eingefangen". Wie bekomme ich den wieder los?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2012 (1)
  5. auswertung Logdatei des Trojaner "der Computer ist für die Verletzung der Gesetze der Bundesrepublik deutschland wurde Blockert" Ukash
    Log-Analyse und Auswertung - 03.10.2012 (13)
  6. Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"
    Log-Analyse und Auswertung - 27.09.2012 (22)
  7. UKASH-Trojaner "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik Deutschland wurde blockiert"
    Log-Analyse und Auswertung - 08.09.2012 (14)
  8. "Polizei-Trojaner" Österreich (100€ Ukash-"Bußgeld")
    Plagegeister aller Art und deren Bekämpfung - 02.09.2012 (10)
  9. Trojaner "Ihr Computer wurde gesperrt" - Ukash EUR 100
    Log-Analyse und Auswertung - 14.07.2012 (5)
  10. Bundespolizei Ukash Trojaner ; "Xubuntu 12.04" findet Laufwerk "C" nicht.
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  11. "Windows wurde aus Sicherheitsgründen blockiert" - Ukash-Trojaner?
    Log-Analyse und Auswertung - 29.02.2012 (5)
  12. Frage zum "Aufsetzen" des Systems nach Ukash bzw. BKA Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.12.2011 (11)
  13. [Ukash - "Bundespolizei" - Trojaner]
    Plagegeister aller Art und deren Bekämpfung - 23.08.2011 (4)
  14. Bitte um fix.txt für "Bundeskriminalamt Ukash" Trojaner
    Log-Analyse und Auswertung - 27.05.2011 (5)
  15. "BKA/uKash"-Trojaner - Wie komplett beseitigen?
    Log-Analyse und Auswertung - 12.05.2011 (43)
  16. "bundespolizei" ukash trojaner - fix request
    Log-Analyse und Auswertung - 11.05.2011 (5)
  17. "bundespolizei" ukash trojaner - fix request
    Mülltonne - 11.05.2011 (1)

Zum Thema "Ukash" Trojaner eingefangen - Hallo leute, erstmal großes lob für das Forum da sind ein Paar echte kenner unterwegs. Respekt. Ich hoffe Ihr könnt mir auch helfen. Es geht um folgendes ich habe mir - "Ukash" Trojaner eingefangen...
Archiv
Du betrachtest: "Ukash" Trojaner eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.