Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Von Ukash-Bundespolizei-Variante bereinigt? (https://www.trojaner-board.de/105296-ukash-bundespolizei-variante-bereinigt.html)

Bumeno 21.11.2011 21:46
Von Ukash-Bundespolizei-Variante bereinigt?
 
Hallo,

gestern nacht hatte ich plötzlich auf dem Rechner (XP-SP3 Laptop mit Aviran Antivir Personal) diesen Ukash-Bundespolizei Trojaner, der den Rechner blockierte und beim Neustart auch erschien.

Im abgesicherten Modus war dann zwar auch kein Prozess im Taskmanager zu sehen, aber bei msconfig war ein neuer Autostarteintrag namens UTD. Dessen Autostart habe ich dort abgewählt und im fast leeren Temporärverzeichnis fand sich ebenfalls eine neue Datei namens UTD.exe, die ich gelöscht habe.

Der anschließende Neustart im Normalmodus schien zwar etwas länger als gewöhnlich zu dauern, klappte aber. Die Oberfläche und Explorer liefen auf Anhieb, ohne daß ich wie wohl bei anderen Fällen dieses Trojaner in der Registry den Shell-Eintrag ändern musste. Autoruns/Logons hatte keine zusätzlichen Einträge, /Explorer übrigens auch nicht. Avira-DE-Cleaner hat nichts gefunden und Malwarebytes nur die drei PUM-Fundstellen wegen inaktiver Sicherheitscenterabschaltungswarnungen. In der Registry war mit den üblichen Stichworten des Trojaners nicht zu finden, mittels Suche nach "utd" bei /RUN eine kleine Sektion namens "vasja", die sich auf utd.exe bezog. Das habe ich natürlich auch gelöscht.

Bislang läuft alles normal. Naja, fast normal. Im Taskmanager, in den ich sowieso des öfteren hineinschaue waren zwar Anzahl und Namen der Prozesse wie gewohnt, nur fehlten bei fast allen Prozessen die Angabe des Benutzernamens (System, Lokaler Dienst, Netzwerkdienst...). Einmal "Prozesse aller Benutzer zeigen" ab- und wieder angewählt erbrachte diese aber und das blieb auch so nach einem Neustart. Naja, und auf der kleinen, relativ vollen Systempartition war ein halbes Gigabyte mehr frei als vorher, aber ohne daß von den paar eigenen Dateien etwas fehlte. Allerdings hatte die Installation und Deinstallation einer Druckerpaketes einige Tage vorher auch Platz in ähnlichem Umfang unterschlagen gehabt. Vielleicht ist der ja nun beim internen Systemaufräumen wie ans Tageslicht gekommen.

Ob's das nun war kann man von außen wohl noch nicht beurteilen. Aber was würdet ihr zum Geschilderten sagen und wonach sollte ich möglicherweise noch gucken?

cosinus 21.11.2011 22:25
Zitat:
und Malwarebytes nur die drei PUM-Fundstellen wegen inaktiver Sicherheitscenterabschaltungswarnungen.
Bitte trotzdem alle Logs posten


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131