BKA/Ukash-Problem
 

Ein Hallo an das Board und das Kompetenzteam,

ich beschäftige mich zur Zeit mit einem befallenen Netbook (Win XP SP 3).

Habe bereits den mehrfach beschriebenen OTPLE-Scan durchgeführt und würde mich sehr über eine Auswertung des Logs freuen.

Dafür bereits an dieser Stelle meinen Dank.

_________
Gruß ziboo

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Hallo,

vielen Dank für die Mühe.

Leider besteht das Problem auch nach dem fix weiter fort.

Ich habe den neuen OTL.tx angefügt.
Würde mich sehr freuen, wenn dieser erneut ausgewertet werden könnte.

Besten Dank und Gruß
ziboo

***Ergänzung***
 

Nachfolgend die OTL.tx

Gruß ziboo

bist du sicher das der fix überhaupt gelaufen ist?
kannst du mal alles per hand eingeben ab :OTL bis zur rebot zeile und den fix ausführen?

Offensichtlich wird auch nach manueller Vorgabe der Einträge kein Fix durchgeführt.

Die Meldung "load fix from file" erscheint nicht; stattdessen zeigt das Monitorfenster "scan/custom" lediglich den Eintrag des fix.txt an.

Gruß ziboo

na und dann klickst du auf fix und was passiert?

Hallo,

wegen einer beruflichen Reise kann ich mich erst heute melden.

Also run fix....fix.txt open ..... OTLPE zeigt dann unter custom scan\fixes den Inhalt des fix.txt an. Nach Neustart keine Fehlerbeseitigung.

ziboo

und hast du auch ein zweites mal auf fix geklickt, bzw hat otl neu gestartet?
falls der fix buton ausgegraut ist, gib den fix manuell ein.

Nach dem erstmaligen run fix laesst sich im Tool, Vers. 3.1.46.O, nichts mehr bedienen. Also 2. fix ist nicht moeglich.
Ein autom. Neustart von OTLPE erfolgt nicht.

gib den fix manuell ein bitte

Hatte ich schon probiert. ...leider mit identischem Ergebnis.

poste mir mal erst mal ein neues log bitte

Hab noch einmal einen Scan durchlaufen lassen.

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
du musst evtl. nach neustart über den taskmanager, neuer task, die explorer.exe starten falls der desktop nicht geladen wird.

Irgendwas muss ich falsch machen. Fix laeuft nicht.
OTPLE oeffnen > Run fix > Do you wish remote user/yes > Autom. reload all ... Haekchen entfernt > Open file/ fix.txt > Ergebnis ist, dass der inhalt der Datei fix.txt im Monitorfeld des Tools erscheint. OTPLE laesst sich anschl. nicht mehr bedienen, nur noch schliessen. Neustart des PC bringt keine Aenderung.
Den verwendeten fix.txt und das Ergebnis des anschl. Scans habe ich beigefuegt.

ja dann tippe den fix per hand ein, hab ich doch schon mal gesagt. :-)
also so weit otl starten fix eingeben, fix buton klicken.

Nun hat es nach der manuellen Eingabe geklappt. Besten Dank für die Mühe und Geduld.
Das Problem saß, wie so häufig, vor dem Bildschirm.

Eine Frage am Rande: Wie kann ich Einstellen, dass der Destop nach PC-Neustart automatisch hochgeladen wird?

Vielen Dank und Gruß
ziboo

ja das machen wir jetzt.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Sind angefügt.

hallo

achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.


:OTL
O4 - HKU\S-1-5-21-449727629-302101177-2630274392-1005..\Run: [4C1C815E1BB9AF4C] C:\Washer1.rar\Washer1.rar.exe (xvykeqecq)
O4 - HKU\S-1-5-21-449727629-302101177-2630274392-1005..\Run: [4W1W8B5Y1VVJUZ4WKULP] C:\Washer1.rar\Washer1.rar.exe (xvykeqecq)
O4 - HKU\S-1-5-21-449727629-302101177-2630274392-1005..\Run: [4W1W8B7A1IVJUZ4WRROJW] C:\Washer2.rar\Washer2.rar.exe (Oqukiju Software)
O20 - HKLM Winlogon: Shell - (C:\WINDOWS\System32\0.4598018048745368.exe) - File not found
O20 - HKLM Winlogon: UserInit - (C:\Programme\kwbfagmq\sasrngvh.exeC:\WINDOWS\system32\appconf32.exe) - File not found
:Files
C:\Washer2.rar
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Besten Dank. Alles geklappt. Die "MovedFiles" habe ich hochgeladen.

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-449727629-302101177-2630274392-1005\Software\Microsoft\Windows\CurrentVersion\Run\\4C1C815E1BB9AF4C deleted successfully.
C:\Washer1.rar\Washer1.rar.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-449727629-302101177-2630274392-1005\Software\Microsoft\Windows\CurrentVersion\Run\\4W1W8B5Y1VVJUZ4WKULP deleted successfully.
File C:\Washer1.rar\Washer1.rar.exe not found.
Registry value HKEY_USERS\S-1-5-21-449727629-302101177-2630274392-1005\Software\Microsoft\Windows\CurrentVersion\Run\\4W1W8B7A1IVJUZ4WRROJW deleted successfully.
C:\Washer2.rar\Washer2.rar.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\WINDOWS\System32\0.4598018048745368.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Programme\kwbfagmq\sasrngvh.exeC:\WINDOWS\system32\appconf32.exe deleted successfully.


Noch etwas?

Gruß ziboo

ja, jetzt kommen wir zum unangenehmen teil
machst du onlinebanking einkäufe oder sonst was wichtiges, privat oder beruflich

Nein, ich kann es verschmerzen in Zukunft über dieses Netbook kein Onlinebanking, keine Einkäufe (z. B. PayPal) mehr zu tätigen. Habe ich nach dem Befall auch nicht getan. Ich beabsichtige, nur private unerhebliche Tätigkeiten darauf laufen lassen (Web surfen, Videos schauen; aber keine relevanten Bürotätigkeiten, wie z. B. Steuerklärungen). Ist wohl auch besser keine eMails zu versenden, oder?

hi, naja, dieser schritt ist ja auch nicht das richtige, schau mal, ein netbock hat ne recovery funktion, die ist einfach zu bedienen, geht schnell und dann können wir das gerät richtig absichern, sodas dies dann das geeignetere gerät ist für banking und alles wichtige. da muss man zwar arbeit investieren, aber es lohnt sich finde ich.

Na wenn da was zu machen ist, würde ich mich sehr über eine Anleitung freuen.

na sicher ist das zu bewerkstelligen.
fang erst mal an mit der sicherung deiner daten. dann meld dich.
bzw schau gleich mal ob du auf deinem netbook ein programm für recovery findest, musst mal im programme menü bzw unter alle programme schauen. da heißt das dann, auf werkseinstellungen zurück setzen oder ähnlich.

Okay, Daten gesichert.
Ansonsten besitze ich eine Recovery Disc, welche ich bei Bedarf per externen DVD-Laufwerk nutzen kann.

ok, weist du wie das funktioniert?
bzw steht das im handbuch zu dem gerät?

Handbuch ist nicht greifbar. Installation von XP sollte ich aber hinkriegen.

ok dann ans werk.
danach:

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter xp und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
http://www.trojaner-board.de/127580-...igurieren.html
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.

Besten Dank. Konnte soweit alles umsetzen.

Gruß ziboo

was heißt soweit?
gibts probleme? wenn ja sollten wir versuchen die zu lösen, das konzept kann natürlich nur dann richtig funktionieren wenn du es vollständig umsetzt und einhältst

Na ja, hinbekommen habe ich nicht die Datenausführungsverhinderung (DEP).
Die Umstellung in der Steuerung des "BOOT.ini" ist mir noch nicht klar.

Kannst du dazu bitte eine kurze Anleitung geben?

Gruß ziboo

da ist doch ein schritt unter windows unter systemsteuerung, einstellungen, erweiterte einstellungen etc, der müsste bei dir auch klappen.2000

So, heute bin ich zu den Nacharbeiten gekommen. Hat alles geklappt.

Gruß ziboo