Trojaner-Board - AKM Trojaner eingefangen. Verlangt 50€

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AKM Trojaner eingefangen. Verlangt 50€ (https://www.trojaner-board.de/118273-akm-trojaner-eingefangen-verlangt-50-a.html)

AKM Trojaner eingefangen. Verlangt 50€

Hallo zusammen.

Mein Bruder hat sich gestern auf seinem PC den AKM Trojaner eingefangen, welcher 50€ verlangt, damit der PC wieder freigegeben wird.

Dadurch das der PC nun nicht am Netz hing bekam ich beim Login immer einen Fehler in Vollbildformat, dass die Seite zurzeit nicht erreichbar ist.

Ich habe bereits mittels OTLPENet den PC gestartet und sämtliche Einstellungen so gelassen wie sie sind und auf Run Scan geklickt. Einzig alleine beim Start der OTL.exe habe ich nebst dem Hauptprofil auch das Häkchen gesetzt, alle anderen Profile ebenfalls nachzuladen.
Hab im Log die Usernamen verfremdet (user1, user2...)

Anbei das Log

Mfg

hi
passe im script die nutzernamen an, sonst läuft es nciht
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O4 - Startup: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0_0u_l.exe.lnk ()

O4 - Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0_0u_l.exe.lnk ()

O20:64bit: - HKLM Winlogon: Shell - (C:\Users\user1\AppData\Local\Temp\0_0u_l.exe) - C:\Users\user1\AppData\Local\Temp\0_0u_l.exe ()

:Files

:Commands

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hi nach dem Fix mit dem OTL Script scheint alles wieder problemlos zu laufen. Der Desktop wird mit Symbolen angezeigt.
Hab jetzt auch sicherheitshalber mal den Browsercache ebenfalls gelöscht.

Der Upload über den Uploadchannel hat problemlos funktioniert.

Sind noch irgendwelche Schritte notwendig? Wenn nicht, danke für die Hilfe!

EDIT: War ein wenig voreilig. So wie es aussieht funktioniert der Rechtsklick mit der Maus nicht mehr sowie die dazugehörige Taste, wenn ich es am Desktop oder im Explorer probiere. Im Browser sowie anderen Anwendungen scheints zu funktionieren.

EDIT2: läuft jetzt wieder nachdem ich Malwarebytes Antimalware drüberlaufen habe lassen. Hatte noch die Registry Einträge korrigiert und weitere Dateien gefunden.

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.07.01.06
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

user :: PC-Name [Administrator]
 

01.07.2012 18:47:43

mbam-log-2012-07-01 (18-47-43).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 394622

Laufzeit: 12 Minute(n), 17 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 2

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 1

C:\Users\user\AppData\Roaming\svchost (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateien: 3

C:\RECYCLER\S-1-5-18\Dc6\C_Users\user\AppData\Local\Temp\0_0u_l.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\_OTL\MovedFiles\07012012_170054\C_Users\user\AppData\Local\Temp\0_0u_l.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\user\AppData\Roaming\cglogs.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Mfg

hatte ich irgendwas vom leeren des caches oder scan mit malwarebytes geschrieben? wenn du hilfe willst, dann mach bitte nur das was hier steht, sonst hat diese arbeit die ich mir mache wenig sinn, teile mir mit, ob du allein weiter arbeiten willst oder nicht.
falls nicht:
hi
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
wenn fertig, bescheid geben bitte