Trojaner-Board - Ukash-BKA Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ukash-BKA Trojaner (https://www.trojaner-board.de/98636-ukash-bka-trojaner.html)

Ukash-BKA Trojaner

Hallo,
ich bin neu hier und benötige Hilfe von einem Fachmann.Leider habe ich ebenfalls diesen Ukash-BKA Trojaner und würde ihn gerne entfernen.
Ich habe mir gemäß einer Anleitung OTLPENet installiert und eine scan durchgeführt. Den scan hänge ich an, in der hoffnung das mir jemand helfen kann.

Vorab schon mal Danke!

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:

:OTL

O20 - HKLM Winlogon: Shell - (H:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R7VTXIPU\setup[1].exe) - C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R7VTXIPU\setup[1].exe (Mguddp Jbapeot)

:Files

C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R7VTXIPU

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne arbeitsplatz, öffne c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Soweit funktioniert alles wieder. Habe die Moved Files über den Upload Channel hochgeladen.
Wird der log nochmal geprüft ob alles OK ist?

Alles scheint soweit wieder OK. Die Moved Files habe ich über den Upload Channel hochgeladen. Prüfst du diese noch und gibst ein Feedback?

die datei wird geprüft und falls unbekannt, an av hersteller weiter geleitet.
dein pc wird ebenfalls geprüft
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Combofix scannt nun schon seit über 30 Minuten.
Angezeigt wird der blaue Bildschirm mit der Info
-Suche nach infizierten Dateien...
Dies dauert normalerweise....

Ist das normal, oder hat er sich aufgehängt?

warte mal noch ne weile, höchstens noch 1 stunde.
und nicht an dem pc arbeiten bitte.

alles klar! Ich lasse ihn komplett in Ruhe und warte mal noch.

Immernoch keine Veränderung, was soll ich tun?

ok schließe es.
dann starte im abgesicherten modus ohne netzwerk, bei pc start meist mit f8 zu erreichen.
dort starte combofix erneut.

Das sieht wieder nicht gut aus. Hängt nach wie vor im blue screen -Suche nach infizierten Dateien...

Kann es ein Problem sein, dass mein Betriebssystem auf Laufwerk H: ist?

eigendlich nicht.
lösche mal deine combofix version, nach beenden.
dann lad mal neu runter.
zwar mit rechtsklick auf download link, ziehl speichern unter.
bei dateinamen lösche
combofix.exe
schreibe
56789.com
speichern und den suchlauf im abgesicherten modus ohne netzwerk erneut ausführen

Alles versucht, aber es geht nicht.

ok erst mal:
download malwarebytes:
Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Malwarebytes hat geklappt.
Anbei die log Datei:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6500

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.05.2011 21:20:56
mbam-log-2011-05-03 (21-20-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (H:\|)
Durchsuchte Objekte: 364096
Laufzeit: 56 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel\Homepage (PUM.Hijack.HomePageControl) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
h:\downloads\registry first aid platinum 6.1.0 build 1533\keygen.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
h:\downloads\adobe_cr-adu11\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.
h:\WINDOWS\installer\{cd95f661-a5c4-44f5-a6aa-ecdd91c240b5}\iconcd95f6615.txt (Trojan.Agent) -> Quarantined and deleted successfully.
h:\_OTL\movedfiles\05032011_151403\c_dokumente und einstellungen\Frank\lokale einstellungen\temporary internet files\Content.IE5\R7VTXIPU\setup[1].exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
h:\WINDOWS\system32\chkdsks.exe (Backdoor.Bot) -> Quarantined and deleted successfully.