Trojaner-Board - "Ukash" Trojaner eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - "Ukash" Trojaner eingefangen (https://www.trojaner-board.de/119293-ukash-trojaner-eingefangen.html)

"Ukash" Trojaner eingefangen

Hallo leute,

erstmal großes lob für das Forum da sind ein Paar echte kenner unterwegs. Respekt. Ich hoffe Ihr könnt mir auch helfen.

Es geht um folgendes ich habe mir einen "ukash" Trojaner eingefangen. Vorhin während dem Surfen bekam ich einen "Sperrbildschirm" mit so nem möchtegern Gesetzestext und ich möge bitte €100 zahlen um meinen Computer zu entsperren

Ich ließ daraufhin im abgesicherten Modus den Rechner mit AVG Internet Security Pro und Malwarebytes scannen. Die fanden zwar das ein oder andere aber nicht das was ich gehofft hatte. Das Problem besteht weiterhin.

Ich bin für jeden Tipp dankbar, mag den Laptop nicht neu aufsetzen.

OTL scan ebenfalls im abgesicherten Modus:

lg
mladjo

hi,
was heißt das ein oder andere, poste die berichte bitte.

Hi,

hier das log vom AVG

Zitat:

AVG 2012 Anti-Virus Befehlszeilenscanner
Copyright (c) 1992 - 2011 AVG Technologies
Programmversion 2012.0.1869, Engine 2012.0.2092
Virendatenbank: Version 2092/4591 2011-11-02

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\Mladjo\NTUSER.DAT Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\Mladjo\ntuser.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Gesperrte Datei. Nicht getestet.
C:\pagefile.sys Gesperrte Datei. Nicht getestet.
C:\System Volume Information\ Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\default Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\default.LOG Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\SAM Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\SAM.LOG Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\SECURITY Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\SECURITY.LOG Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\software Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\software.LOG Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\system Gesperrte Datei. Nicht getestet.
C:\WINXP\system32\config\system.LOG Gesperrte Datei. Nicht getestet.
G:\ADCDA2\adbcd.dll Trojaner: Delf.ZQA Objekt wurde in die Virenquarantäne verschoben.
G:\ADCDA2\adbcd.exe Virus identifiziert: Citem_c.CIB Objekt wurde in die Virenquarantäne verschoben.
G:\System Volume Information\ Gesperrte Datei. Nicht getestet.

------------------------------------------------------------
Test gestartet: 12.7.2012 15:17:00
Testdauer: 27 Minute(n) 56 Sekunde(n)
------------------------------------------------------------
Gescannte Objekte: 548304
Gefundene Infektionen: 2
Gefundene unerwünschte Programme: 0
Bereinigte Infektionen: 2
Bereinigte unerwünschte Programme: 0
Warnungen: 0
------------------------------------------------------------

Malwarebytes:

Zitat:

Malwarebytes Anti-Malware (PRO) 1.62.0.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.07.03.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
Mladjo :: MLADJO-CCCC0A16 [Administrator]

Schutz: Deaktiviert

12.07.2012 16:09:17
mbam-log-2012-07-12 (16-09-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 72261
Laufzeit: 35 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Mladjo\Eigene Dateien\Downloads\SoftonicDownloader_fuer_pdf24-pdf-creator.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Temp\AdbeRdr_de_DEh.exe (Trojan.Happili) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKCU..\Run: [Juniper Networks] C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Juniper Networks\vmhzupwr.dll (Microsoft Corporation)

O4 - HKLM..\Run: [wlanutil] C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\921\wlanutil.exe ()

 :Files

C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\921

C:\Dokumente und Einstellungen\Mladjo\Lokale Einstellungen\Anwendungsdaten\Juniper Networks\vmhzupwr.dll

:Commands

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hi vielen Dank für die Hilfe!

Upload der Movedfiles war erfolgreich

Zitat:

Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.

Seit dem Fix funktioniert wieder alles

Bitte um Info falls noch was zu tun ist. Danke schon mal

LG
mladjo

sehr gut, danke fürs hochladen

für eine weitere analyse benötige ich mal folgendes.
C:\Dokumente und Einstellungen\name\Anwendungsdaten\Sun\Java\Deployment\cache

dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel

Hi nochmals,

ich habe in dem Ordner cache keinen Unterordner namens cache sondern einen Ordner namens 6.0

Ich habe trotzdem probiert den Ordner Cache (Unterordner vom deployment) hochzuladen bekomme aber keine "successful" Meldung sondern kehre immer wieder zum Uploadscreen zurück. Internet Security ist ausgeschaltet. Der Ordner hat 16MB(gezipt).

Ich bin mir jetzt nicht sicher ob was hochgeladen wurde oder nicht.

lg
mladjo

hi
bitte mal den ordner bei
File-Upload.net - Ihr kostenloser File Hoster!
hochladen, link als private nachicht an mich

Sie haben Post :)

ich bin gespannt was dabei herauskommt

lg
mladjo

danke, nichts neues.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.