Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: U-Cash-Trojaner startet bei Browserstart und legt Vista lahm

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.08.2012, 00:45   #1
IamShine
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Hallo,
ich bitte um Hilfe beim U-Cash-Trojaner. Bin ein durchschnittlicher User, also keine Ahnung hiervon.
Habe evt. irgendwo auf hxxp:\\www.serienjunkies.org einen infizierten Link erwischt, obwohl ich nicht als Administrator gesurft bin. Plötzlich erschien auf dem gesamten Bildschirm ein Text von der angeblichen Bundespolizei, ich hätte einen von mehreren Gesetzesverstößen begangen, die dann aufgeführt wurden, teilweise mit Info, welches Strafmaß darauf steht, z.B. Nutzung von urheberrechtlich geschützten Inhalten, Download von verbotenen pornografischen Inhalten, oder mein Computer wurde ohne mein Wissen zum Versenden von Spams verwendet, und noch einiges andere. Es war eine IP-Adresse dargestellt, die meine sei, und es wurde gesagt, dass gerade meine Identität bestimmt würde und innerhalb der kommenden 72 Stunden ein Strafverfahren gegen mich angestrebt würde. Ich könne dies vermeiden, wenn ich innerhalb dieser Zeit 100 Euro mittels UCash-Verfahren oder einem anderen Verfahren, die dann beide erklärt wurden, zahlen würde. Ansonsten würde nach weiteren 72 Stunden ein Strafverfahren gestartet. Möglich sei diese 100-Euro-Regelung durch eine Gesetzesänderung von ca. Mitte August 2012 (habe den genauen Tag vergessen). Gleichzeitig wurde meine Screen-Kamera aktiviert, so dass ich mich in einem kleinen Kästchen auf dem Bildschirm sah. Habe diesen Trojaner-Screen leider nicht fotografiert. Da ich per W-Lan im Netz war, konnte ich kein LAN-Kabel ziehen und den Bildschirm nur durch Herunterfahren mittels Gedrückthalten der An-Taste verlassen. Nach erneutem Hochfahren konnte ich scheinbar normal auf Vista arbeiten, wenngleich ständig die Meldung kam „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“, doch sobald ich wieder Internetverbindung herstellte und den Internet Explorer öffnete, erschien wieder die Bundespolizei-Meldung und der Laptop war blockiert. Im Nachhinein habe ich festgestellt, dass ich nicht mehr im Abgesicherten Modus mit Eingabeaufforderung starten konnte, wohl aber im Abgesicherten Modus. Der Laptop ist übrigens in kein Netzwerk integriert.
Habe dann mein täglich geupdatetes Avira Free Antivirus gestartet und eine Schnelle Systemprüfung auf C: ohne Administratorrechte durchgeführt.
Ergebnis (da ich mich nicht traue, das logfile vom infizierten Rechner auf Datenträger zu kopieren oder mit dem infizierten Rechner wieder online zu gehen, damit er nicht womöglich Malware nachlädt, muss ich alle folgenden logfiles abtippen und beschränke mich auf das Nötigste und hoffentlich Relevante):

Beginne mit der Suche in ‘C:\Users\XXX’
C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C: \Users\XXX\Downloads\Downloads\video_downloader.exe
Beginne mit der Suche in ‘C:\Windows’
Beginne mit der Suche in ‘C:\Users\’
C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C: \Users\XXX\Downloads\Downloads\video_downloader.exe
Beginne mit der Suche in ‘C:\Program Files‘

Beginne mit der Desinfektion:
C: \Users\XXX\Downloads\Downloads\video_downloader.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚569119be.qua‘ verschoben!
C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚4e063619.qua‘ verschoben!

Ende des Suchlaufs…

4 Viren bzw. unerwünschte Programme wurden gefunden

2 Dateien wurden in die Quarantäne verschoben

8 Warnungen
2 Hinweise

Mir fällt ein, dass ich die im logfile genannte Datei video_downloader.exe irgendwo ca. 3 Tage zuvor von serienjunkies.org runtergeladen und möglicherweise auch gestartet hatte, aber eben nicht erst kurz vor Auftauchen des Trojaners. Kurz nach Runterladen der Datei video_downloader.exe hatte avira auch mehrmals eine Meldung angezeigt, dass das Virus ‚Adware‘ gefunden worden sei, irgendwann gab es diese Meldung dann aber nicht mehr. Video_downloader.exe müsste ein download gewesen sein, zu dem ich aufgefordert wurde, als ich entweder nach Streams von Spartacus oder Games of Thrones gesucht habe – sollte ich den Admin von serienjunkies-org informieren? Sollte ich bei der Polizei Anzeige erstatten?

Die Desinfektion durch avira hat nichts gebracht. Avira konnte ab dann auch nicht mehr updaten. Habe danach mit avira eine Vollständige Systemprüfung auf C: und D: durchgeführt und folgendes Ergebnis bekommen:

Beginne mit der Suche in ‘C:\‘ <BOOT>
C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V015TM4T/avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Beginne mit der Suche in ‘D:\‘ <RECOVER>

Beginne mit der Desinfektion:
C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚56cd5a57.qua‘ verschoben!

Ende des Suchlaufs…

1 Viren bzw. unerwünschte Programme wurden gefunden

1 Dateien wurden in die Quarantäne verschoben

5 Warnungen
1 Hinweise


Habe dann auf anderem Rechner gegoogelt und einige Infos über den UCash-Trojaner gefunden, aber nur überflogen. Bin dann auf euch gestoßen und habe entsprechend euren Anweisungen die folgenden Schritte unternommen, wobei ich die nötigen Programme davor auf CD gebrannt habe und von CD auf den infizierten Rechner kopiert und von dort gestartet habe:

Habe Malwarebytes AntiMalware auf den infizierten Rechner gebracht. Da die Malware-Datenbank schon 40 Tage alt war, habe ich die rules.ref-Datei durch die aktuelle rules.ref-Datei ersetzt – dann ließ sich Malwarebytes aber nicht mehr starten und gab eine Fehlermeldung aus. Habe dann die 40 Tage alte Malwarebytes AntiMalware gestartet und danach einen Neustart gemacht.
Hier ist das logfile:
Malwarebytes Anti-Malware (Test) 1.62.0.1300


Datenbank Version: v2012.07.03.05
Windows Vista Service Pack 2 x86 NFTS
Internet Explorer 9.0.8112.16421
Admin :: xxx-PC [Administrator]
Schutz: Deaktiviert
12.08.2012 15:01:10
mbam-log-2012-08-12 (15-01-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\ID:\)
Aktivierte Suchlaufeinstellungen: Speicher – Autostart –Registrierung – Dateisystem – Heuristiks/Extra – Heuristiks/Shuriken – PUP – PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 499669
Laufzeit: 1 Stunde, 38 Min



Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion/Uninstall\Video Downloader (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.



Infizierte Dateien: 1
C.\Program Files\vGrabber-software/‘Uninstall.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Habe dann defogger gestartet entsprechend euren Anweisungen –ohne Fehlermeldung. Habe dann defogger geschlossen. Neustart. Fehlermeldung „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“ erhalten. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled.

Habe dann OTL mehrfach gestartet, weil ich vergessen hatte, das System neu zu starten bzw. den Avira-Echtzeitscanner zu deaktivieren und Malwarebytes Protection zu disablen. Quick Scan durchgeführt. Das „Extras“-Scan-log ist allerdings nur beim ersten Starten von OTL erstellt worden… Meint ihr, ich kann es riskieren, die scan logs per USB-Stick auf einen anderen Rechner zu kopieren, oder riskiere ich dann eine Verseuchung des anderen Rechners? Ansonsten müsste ich die gesamten langen scan logs abtippen??? Oder soll ich schauen, ob ich inzwischen wieder ins Internet kann? Dann kann ich die scan logs vom infizierten Rechner aus posten…???
System neugestartet. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled.
Dann gmer gestartet. Während des Scans Fehlermeldung „96jksucf.exe funktioniert nicht mehr“.
Problemereignisname: APPCRASH
Anwendungsname: 96jksucf.exe
Anwendungsversion: 1.0.15.15641
Anwendungszeitstempel: 4e21f2b1
Fehlermodulname 96jksucf.exe
Fehlermodulversion: 1.0.15.15641
Fehlermodulzeitstempel 4e21f2b1
Ausnahmecode c0000005
Ausnahmeoffset 0000c676
Betriebssystemversion 6.0.6002.2.2.0.768.3
Gebietsschema-ID 1031
Zusatzinformation 1: a76a
Zusatzinformation 2: 5cf9039e0c8e4e0bf02ab3e23db0c4f0
Zusatzinformation 3: b114
Zusatzinformation 4: d9d01fee0875b74ac070be8d125aa4b2

Habe dann das Programm geschlossen. Was kann ich nun tun? Auf dem Rechner sind nur einige Office-Dokumente, Audios und Videos sowie Mails und Kontakte, die ich gerne retten würde und die auch problemlos geöffnet werden können.
Danke im Voraus!

Alt 16.08.2012, 11:49   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Lass die Finger von solchen Portalen!
Die Links zu den Filmen verweisen immer auf irgendwelche 1click Hoster, diese Angebote sind illegal und meistens ungeprüft!
Zudem haben solche Portale meist die Nutzer in Abofallen laufen lassen und gerade solche standen schon vor Monaten in dem Verdacht, Malware zu verteilen zB über Exploits, die den Bundestrojaner bzw. deren Ableger auf verwundbare Rechner installiert!

Poste bitte alle Logs von Malwarebytes vollständig und unzensiert

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 16.08.2012, 13:31   #3
IamShine
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Vielen Dank für deine Antwort, ja, man lernt wohl am besten durch Schmerz.

Wie bekomme ich das log vom infizierten Rechner runter, ohne zu riskieren, andere Rechner zu infizieren, oder kann ich nach Ausführen von Malwarebytes wieder versuchen, mit dem Rechner online zu gehen?

Danke!
__________________

Geändert von IamShine (16.08.2012 um 14:15 Uhr)

Alt 16.08.2012, 14:52   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Ja mit dem Rechner ins Internet gehen, für eine Analyse/Bereinigung brauchen wir das eh
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.08.2012, 15:20   #5
IamShine
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Auch nach Durchlauf der 40-Tage alten Malwarebytes-Version ist der Trojaner noch drauf, wenn ich den Browser im normalen Modus starte...???

Der Trojaner hat sich nun verändert - nicht erst bei Browserstart, sondern schon bei Einloggen ins Internet wird er aktiv und blockiert alles.

Wollte gerade im abgesicherten Modus mit Eingabeaufforderung starten - dabei Systemabsturz während des Bootvorgangs...

Habe nun noch einmal einen fullscan mit Malwarebytes 1.62.0.1300 gemacht, ohne Befunde (und trotzdem ist der Trojaner ab Interneteinwahl aktiv). Wie gesagt, ist die rules.ref-Datei mittlerweile mehr als 40 Tage alt, ich kann sie aber nicht durch die aktuelle ersetzen, weil sich Malwarebytes dann nicht mehr starten lässt.

Neustart im abgesicherten Modus mit Eingabeaufforderung hat eben gerade funktioniert, falls das hilft???


Geändert von IamShine (16.08.2012 um 15:34 Uhr)

Alt 17.08.2012, 18:22   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten
__________________
--> U-Cash-Trojaner startet bei Browserstart und legt Vista lahm

Alt 17.08.2012, 18:47   #7
IamShine
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



ja, danke! Schreibe gerade vom infizierten Rechner. Soll ich die aktualisierte Malwarebytes-Version runterladen und fullscan machen? Dauert über 1 Stunde.

Hallo Cosinus,

meine Antwort von eben taucht im Thread gar nicht auf?
Die Antwort war ja. Habe jetzt die aktualisierte Malwarebytes ausgeführt, Quickscan, und 2 Trojaner gefunden und die 2 gefundenen Trojaner noch nicht entfernt.
Hier das logfile:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.17.06

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Admin :: GERRIT-PC [Administrator]

Schutz: Deaktiviert

17.08.2012 18:57:31
mbam-log-2012-08-17 (19-11-11).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 229066
Laufzeit: 3 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Gerrit\AppData\Local\Temp\update00.b.exe (Trojan.Inject) -> Keine Aktion durchgeführt.
C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt.

(Ende)
         
Hallo cosinus,

habe jetzt auch den vollständigen scan durchgeführt. Hier das logfile:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.17.06

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Admin :: GERRIT-PC [Administrator]

Schutz: Deaktiviert

17.08.2012 19:35:04
mbam-log-2012-08-17 (19-35-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 395104
Laufzeit: 51 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS001FD.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS001FE.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Habe defogger als admin gestartet, bin auf disable gegangen, keine Fehlermeldung nach scanende. Habe nicht auf re-enable geklickt. Starte Rechner jetzt neu.

Alt 17.08.2012, 22:08   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use.
  • Drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
  • drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:
ATTFilter
"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
         
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:
ATTFilter
"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
         
Poste nun den Inhalt der log.txt.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.08.2012, 22:46   #9
IamShine
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



ja, habe in den letzten Tagen mehrfach Malwarebytes gestartet, und ich finde 6 log-Dateien im Reiter von malwarebytes, kann aber nicht mehr posten, weil ich mich vom infizierten Rechner aus scheinbar nicht mehr in euer Board einloggen kann. Schon bei Einwahl ins WLAN braucht der Rechner ca. 4-5 Versuche, bevor es klappt. Wenn ich mich dann im Trojaner-Board einlogge, kommt zwar der Wollkommensgruß, aber auf der Startseite ist dann kein Benutzername eingetragen (egal ob ich gerade mit einem anderen Rechner bei euch eingeloggt bin oder nicht). Wenn ich dann ein paar andere Links auf eurer Startseite klicke, bis irgendwo unten "Gehe zu Benutzerkontrollzentrum" anklickbar ist, komme ich darüber auf den normalen Startbildschirm mit Text "Willkommen, IamShine". Wenn ich dann in Meine Themen reingehe, zeigt er mir nur den Thread-Stand an, den ich hatte, direkt bevor ich den fullscan mit Malwarebytes gemacht habe (letzter Beitrag 18:22 von cosinus), und ich kann darauf nicht direkt antworten, weil das securitytoken nicht mehr gültig ist (aber von einem sicheren Rechner aus, von dem aus ich jetztg schreibe, habe ich Zugriff auf den späteren Thread-Verlauf bis jetzt). Übrigens arbeite ich die ganze Zeit über nur aus dem abgesicherten Modus mit Netzwerktreibern heraus, soll ich es mal aus de´m normalen Modus probieren?

Okay, 30 Min. später - lasse gerade ESET laufen. Weiß aber noch nicht, wie ich das ESET-log und die 6 malwarebytes-logs ins Forum bringen soll, da die Anmeldung nicht von dem Rechner aus klappt, auch nicht im normalen Windows-Modus, in dem ich jetzt bin, sondern immer auf dem Stand um ca. 18 Uhr ist, kurz bevor ich mit Malwarebytes 2 Trojanerfiles gefunden habe...???

Die 6 malware-logs und das ESET-log hätte ich hier, ESET hat 7 Hits angezeigt, kann aber nicht vom infizierten Rechner ins Forum einloggen, um zu posten - soll ich mal von dem Rechner aus ein neues Thema eröffnen, um die logs darüber reinzustellen - das funktioniert nämlich, gerade probiert...? Komme jetzt übrigens wieder immer beim ersten Einwählen ins Internet.

Geändert von IamShine (17.08.2012 um 23:29 Uhr)

Alt 18.08.2012, 14:11   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Bitte kein neues Thema aufmachen!
Schieb die Logs auf einen Stick und dann postest du die Logs von einem funktionierenden Rechner aus
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.08.2012, 16:51   #11
IamShine
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



danke. Hatte nur Angst, dass ich mir den nächsten Rechner infiziere.

erstes protection log von malwarebytes:
Code:
ATTFilter
2012/08/12 11:56:01 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/12 11:56:05 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/12 11:56:08 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/12 11:56:10 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
2012/08/12 12:01:28 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/12 12:01:31 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/12 12:01:34 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/12 12:01:37 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
2012/08/12 12:18:09 +0200	GERRIT-PC	Gerrit	MESSAGE	Executing scheduled update:  Daily
2012/08/12 12:18:09 +0200	GERRIT-PC	Gerrit	ERROR	Scheduled update failed:  Host not found failed with error code 0
2012/08/12 14:59:28 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/12 14:59:31 +0200	GERRIT-PC	Gerrit	ERROR	Integrity verification failed failed with error code 2
2012/08/12 14:59:31 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection stopped
2012/08/12 21:50:28 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/12 21:50:31 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/12 21:50:34 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/12 21:50:37 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
2012/08/12 23:35:14 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/12 23:35:17 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/12 23:35:20 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/12 23:35:23 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
         
erstes scan log:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Trial) 1.62.0.1300
www.malwarebytes.org

Database version: v2012.07.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Gerrit :: GERRIT-PC [limited]

Protection: Enabled

12.08.2012 12:00:45
mbam-log-2012-08-12 (12-00-45).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 158442
Time elapsed: 6 minute(s), 56 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         
zweites protection log:
Code:
ATTFilter
2012/08/13 00:02:53 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/13 00:02:56 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/13 00:02:59 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/13 00:03:02 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
         
3. protection log:
Code:
ATTFilter
2012/08/16 13:39:14 +0200	GERRIT-PC	(null)	MESSAGE	Executing scheduled update:  Daily
2012/08/16 13:39:14 +0200	GERRIT-PC	(null)	ERROR	Scheduled update failed:  Host not found failed with error code 0
2012/08/16 15:17:00 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/16 15:17:06 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/16 15:17:09 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/16 15:17:13 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
2012/08/16 15:24:28 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/16 15:24:33 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/16 15:24:36 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/16 15:24:39 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
2012/08/16 15:41:03 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/16 15:41:06 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/16 15:41:09 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/16 15:41:14 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
         
2. scan log:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Trial) 1.62.0.1300
www.malwarebytes.org

Database version: v2012.07.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Gerrit :: GERRIT-PC [limited]

Protection: Enabled

16.08.2012 15:40:45
mbam-log-2012-08-16 (15-40-45).txt

Scan type: Full scan (C:\|D:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 319636
Time elapsed: 1 hour(s), 1 minute(s), 10 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         
4. protection log:
Code:
ATTFilter
2012/08/17 22:54:56 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/17 22:54:59 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/17 22:55:02 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/17 22:55:05 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
2012/08/17 22:57:46 +0200	GERRIT-PC	Gerrit	MESSAGE	Executing scheduled update:  Daily
2012/08/17 22:57:57 +0200	GERRIT-PC	Gerrit	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.08.17.06 to version v2012.08.17.07
2012/08/17 22:57:57 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting database refresh
2012/08/17 22:57:57 +0200	GERRIT-PC	Gerrit	MESSAGE	Stopping IP protection
2012/08/17 22:57:59 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection stopped
2012/08/17 22:58:02 +0200	GERRIT-PC	Gerrit	MESSAGE	Database refreshed successfully
2012/08/17 22:58:02 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/17 22:58:06 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
2012/08/17 23:04:04 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/17 23:04:08 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/17 23:04:11 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/17 23:04:14 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
2012/08/17 23:13:55 +0200	GERRIT-PC	Gerrit	MESSAGE	Stopping IP protection
2012/08/17 23:13:57 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection stopped
         
5. protection log:
Code:
ATTFilter
2012/08/18 01:37:39 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting protection
2012/08/18 01:37:42 +0200	GERRIT-PC	Gerrit	MESSAGE	Protection started successfully
2012/08/18 01:37:45 +0200	GERRIT-PC	Gerrit	MESSAGE	Starting IP protection
2012/08/18 01:37:48 +0200	GERRIT-PC	Gerrit	MESSAGE	IP Protection started successfully
         
...ich vermute fast, die protection logs brauchst du gar nicht?

ESET-log:
Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d9f70cbada8f204687b945fe232116fa
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-17 11:18:50
# local_time=2012-08-18 01:18:50 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 1918396 1918396 0 0
# compatibility_mode=5892 16776573 100 100 570 182771422 0 0
# compatibility_mode=8192 67108863 100 0 177 177 0 0
# scanned=176550
# found=7
# cleaned=0
# scan_time=6836
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3S9VIRQ7\CreativeHandler[1].htm	HTML/ScrInject.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3S9VIRQ7\JDownloaderSetup_CH4[1].exe	a variant of Win32/InstallCore.AL application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IPPJNAHC\CreativeHandler[1].htm	HTML/ScrInject.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IPPJNAHC\finish[1].htm	HTML/ScrInject.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V015TM4T\offer[1].htm	HTML/ScrInject.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
C:\Users\Gerrit\AppData\Local\Temp\Low\V.class	a variant of Java/Exploit.CVE-2011-3544.BQ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Gerrit\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\50d1dd7-61e5f91d	a variant of Java/Exploit.CVE-2012-1723.AL trojan (unable to clean)	00000000000000000000000000000000	I
         
Habe noch einen weiteren Speicherort einer 2. Installation von Malwarebytes gefunden mit 3 weiteren logs. Wusste gar nicht, dass zwei Installationen von Malwarebytes auf einem Rechner laufen können...

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Admin :: GERRIT-PC [Administrator]

Schutz: Deaktiviert

12.08.2012 15:01:10
mbam-log-2012-08-12 (15-01-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 409669
Laufzeit: 1 Stunde(n), 38 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video Downloader (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files\vGrabber-software\Uninstall.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.17.06

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Admin :: GERRIT-PC [Administrator]

Schutz: Deaktiviert

17.08.2012 18:57:31
mbam-log-2012-08-17 (18-57-31).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 229066
Laufzeit: 3 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Gerrit\AppData\Local\Temp\update00.b.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.17.06

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Admin :: GERRIT-PC [Administrator]

Schutz: Deaktiviert

17.08.2012 19:35:04
mbam-log-2012-08-17 (19-35-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 395104
Laufzeit: 51 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS001FD.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS001FE.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Alt 19.08.2012, 19:09   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.08.2012, 21:02   #13
IamShine
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Hallo cosinus, hier das adwcleaner-log:
Code:
ATTFilter
# AdwCleaner v1.801 - Logfile created 08/19/2012 at 20:59:13
# Updated 14/08/2012 by Xplode
# Operating system : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# User : Admin - GERRIT-PC
# Boot Mode : Normal
# Running from : C:\Users\Gerrit\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****

Found : WajamUpdater

***** [Files / Folders] *****

Folder Found : C:\Users\Admin\AppData\Local\Conduit
Folder Found : C:\Users\Admin\AppData\Local\Wajam
Folder Found : C:\Users\Gerrit\AppData\LocalLow\Conduit
Folder Found : C:\Users\Gerrit\AppData\LocalLow\DVDVideoSoftTB_DE
Folder Found : C:\Users\Gerrit\AppData\LocalLow\PriceGong
Folder Found : C:\Users\Admin\AppData\LocalLow\DVDVideoSoftTB_DE
Folder Found : C:\Users\Admin\AppData\LocalLow\PriceGong
Folder Found : C:\Program Files\Conduit
Folder Found : C:\Program Files\DVDVideoSoftTB_DE
Folder Found : C:\Program Files\Wajam
File Found : C:\Users\Admin\AppData\Local\Temp\Uninstall.exe

***** [Registry] *****
[*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT2625848
Key Found : HKCU\Software\AppDataLow\Software\Conduit
Key Found : HKCU\Software\AppDataLow\Software\PriceGong
Key Found : HKCU\Software\Wajam
Key Found : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Key Found : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Key Found : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Key Found : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Key Found : HKLM\SOFTWARE\Conduit
Key Found : HKLM\SOFTWARE\DVDVideoSoftTB_DE
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoftTB_DE Toolbar
Key Found : HKLM\SOFTWARE\Software
Key Found : HKLM\SOFTWARE\Wajam

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Key Found : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{457EF9F0-0A7C-4302-B47B-C207A8DE8598}
Key Found : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1AA251B0-F6F1-402F-AA9D-8038D60CC893}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F842528F-E054-49AC-BD24-8FA4F43DF24E}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{457EF9F0-0A7C-4302-B47B-C207A8DE8598}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{457EF9F0-0A7C-4302-B47B-C207A8DE8598}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}]
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}]

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [4282 octets] - [19/08/2012 20:59:13]

########## EOF - C:\AdwCleaner[R1].txt - [4410 octets] ##########
         

Alt 20.08.2012, 22:34   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.08.2012, 23:22   #15
IamShine
 
U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Standard

U-Cash-Trojaner startet bei Browserstart und legt Vista lahm



Hier das log:
Code:
ATTFilter
# AdwCleaner v1.801 - Logfile created 08/20/2012 at 23:15:34
# Updated 14/08/2012 by Xplode
# Operating system : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# User : Admin - GERRIT-PC
# Boot Mode : Normal
# Running from : C:\Users\Gerrit\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****

Stopped & Deleted : WajamUpdater

***** [Files / Folders] *****

Folder Deleted : C:\Users\Admin\AppData\Local\Conduit
Folder Deleted : C:\Users\Admin\AppData\Local\Wajam
Folder Deleted : C:\Users\Gerrit\AppData\LocalLow\Conduit
Folder Deleted : C:\Users\Gerrit\AppData\LocalLow\DVDVideoSoftTB_DE
Folder Deleted : C:\Users\Gerrit\AppData\LocalLow\PriceGong
Folder Deleted : C:\Users\Admin\AppData\LocalLow\DVDVideoSoftTB_DE
Folder Deleted : C:\Users\Admin\AppData\LocalLow\PriceGong
Folder Deleted : C:\Program Files\Conduit
Folder Deleted : C:\Program Files\DVDVideoSoftTB_DE
Folder Deleted : C:\Program Files\Wajam
Deleted on reboot : C:\Users\Admin\AppData\Local\TempC:\Program Files\Software

***** [Registry] *****
[*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2625848
Key Deleted : HKCU\Software\AppDataLow\Software\Conduit
Key Deleted : HKCU\Software\AppDataLow\Software\PriceGong
Key Deleted : HKCU\Software\Wajam
Key Deleted : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Key Deleted : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Key Deleted : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Key Deleted : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Key Deleted : HKLM\SOFTWARE\Conduit
Key Deleted : HKLM\SOFTWARE\DVDVideoSoftTB_DE
Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoftTB_DE Toolbar
Key Deleted : HKLM\SOFTWARE\Software
Key Deleted : HKLM\SOFTWARE\Wajam

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{457EF9F0-0A7C-4302-B47B-C207A8DE8598}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1AA251B0-F6F1-402F-AA9D-8038D60CC893}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F842528F-E054-49AC-BD24-8FA4F43DF24E}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{457EF9F0-0A7C-4302-B47B-C207A8DE8598}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{457EF9F0-0A7C-4302-B47B-C207A8DE8598}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}]

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [4411 octets] - [19/08/2012 20:59:13]
AdwCleaner[S1].txt - [4466 octets] - [20/08/2012 23:15:34]

########## EOF - C:\AdwCleaner[S1].txt - [4594 octets] ##########
         
Schönen Urlaub!

Antwort

Themen zu U-Cash-Trojaner startet bei Browserstart und legt Vista lahm
adware, antivirus, avira, bildschirm, bundesamt für sicherheit, computer, desktop, euro, explorer, fehlermeldung, google, gvu bundespolizei, herunterfahren, infizierte, install.exe, internet explorer, ip-adresse, kein netzwerk, lan-kabel, logfile, malware, netzwerk, neustart., prozess, pup.bundleinstaller.vg, recover, recycle.bin, rundll, scan, software, starten, system neu, ucash 100 euro, viren, vista, warnung



Ähnliche Themen: U-Cash-Trojaner startet bei Browserstart und legt Vista lahm


  1. BKA-Trojaner/Österreich legt Windows XP lahm
    Log-Analyse und Auswertung - 29.09.2013 (7)
  2. Trojaner legt Windows 7 PC lahm
    Log-Analyse und Auswertung - 09.08.2013 (3)
  3. GVU Trojaner legt Computer lahm
    Plagegeister aller Art und deren Bekämpfung - 21.04.2013 (29)
  4. Trojaner legt onlinebanking lahm
    Log-Analyse und Auswertung - 13.12.2012 (1)
  5. SUISA Trojaner legt Windows Vista lahm
    Log-Analyse und Auswertung - 04.09.2012 (33)
  6. GVU Trojaner legt Geschäfts PC lahm
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (49)
  7. GVU Trojaner legt PC lahm
    Log-Analyse und Auswertung - 06.08.2012 (2)
  8. GVU-Trojaner legt Benutzer lahm
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (9)
  9. BKA Trojaner legt alles lahm
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  10. GEMA Trojaner legt Laptop lahm
    Alles rund um Windows - 23.12.2011 (1)
  11. Trojaner legt alles lahm
    Plagegeister aller Art und deren Bekämpfung - 30.08.2009 (6)
  12. Trojaner legt Firefox lahm
    Plagegeister aller Art und deren Bekämpfung - 23.04.2009 (1)
  13. Trojaner legt alles lahm
    Log-Analyse und Auswertung - 14.01.2009 (4)
  14. Trojaner legt alles lahm
    Plagegeister aller Art und deren Bekämpfung - 29.12.2008 (0)
  15. trojaner/virus legt pc lahm
    Log-Analyse und Auswertung - 23.09.2008 (35)
  16. Trojaner legt Pc lahm....need Help
    Log-Analyse und Auswertung - 02.04.2008 (4)
  17. Trojaner der AntivirXP lahm legt
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (10)

Zum Thema U-Cash-Trojaner startet bei Browserstart und legt Vista lahm - Hallo, ich bitte um Hilfe beim U-Cash-Trojaner. Bin ein durchschnittlicher User, also keine Ahnung hiervon. Habe evt. irgendwo auf hxxp:\\www.serienjunkies.org einen infizierten Link erwischt, obwohl ich nicht als Administrator gesurft - U-Cash-Trojaner startet bei Browserstart und legt Vista lahm...
Archiv
Du betrachtest: U-Cash-Trojaner startet bei Browserstart und legt Vista lahm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.