Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GEMA Ukash Trojaner Windowy XP (https://www.trojaner-board.de/108499-gema-ukash-trojaner-windowy-xp.html)

ra87do 23.01.2012 18:54
GEMA Ukash Trojaner Windowy XP
 
Hallo liebes Forum,

leider hab ich nun auch ein Problem mit den Gema Ukash trojaner, wo ich nicht mehr wirklich weiter weis.

Ich hab v. einen Bekannten den Laptop bekommen mit diesen Trojaner. Alle im Netz vorhanden Tipps helfen mir nicht wirklich weiter, da alles irgendwie nicht funktioniert!

Das einzige was funktioniert ist der abgesicherte Modus mit der Eingabeaufforderung.

Da ich in jedem Thread das Programm OTL gelesen habe, habe ich nun mal diese Programm laufen lassen - nach dieser Beschreibung:

---
* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.
---

Anbei die Logfiles, ich hoffe ihr kommt damit irgendwas anfangen...

Danke im Voraus!
freundliche Grüße

markusg 23.01.2012 18:58
hi,
kopiere mal auf nen usb stick:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

dann bitte diesen stick in den infiziertem pc
tippe laufwerksbuchstabe\combofix.exe
mit laufwerksbuchstabe ist zb d: gemeint, je nach dem welches laufwerk der usb stick ist.
dann, falls cf ein aktieves antimalware programm anzeigt, ok klicken um fortzufahren.
danach bitte in den normalen modus starten und log posten

ra87do 23.01.2012 19:33
Hallo,

hui, das geht ja schnell.

Hab das nun mal gemacht und ich sehe endlich wieder einen Desktop... juhu.. ;-)

Anbei die Log-Datei

markusg 23.01.2012 19:36
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bitte erst mal nichts entfernen, nur skip klicken und log posten

ra87do 23.01.2012 19:56
anbei das log file.

markusg 23.01.2012 20:20
wähle jetzt für alle funde cure, neustart ausführen log erstellen und posten

ra87do 23.01.2012 21:00
hmm.. ich glaube der computer mag mich nicht....

hab das nun so gemacht, aber nach dem neustart zeigt der computer komische anzeichen...

windows startet normal und maus lässt sich bewegen, sobald ich aber irgendwas aufrufe (explorer, windows+r, taskmanager) reagiert er auf meine eingaben nicht mehr.

das ist auch im abgesicherten modus so...
komischweise kann ich aber den firefox aufmachen (dann sperrt er mich erst nach 2-3 sekunden...)

es scheint aber nicht das windows abstürzt sondern das er einfach nicht auf meine eingaben reagiert... (corsur blinkt weiter, mit den ein/aus schalter lässt sich windows ganz normal runterfahren...)

daher kann ich aus das logfile verständlicherweise nicht hochladen...

hin und wieder hasse ich computer...

wenn es noch einen guten rat gibt, immer her damit... ansonsten nehme ich den vorschlaghammer... ;-)

markusg 23.01.2012 21:02
hi, wird das gerät für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches genutzt?

ra87do 23.01.2012 21:05
ist nicht mein gerät, versuche es nur für einen bekannten zu retten.

aber soweit ich weis, nur für normales internet surfen. Da sie schon öfters probleme mit viren gehabt haben, habe ich ihnen von onlinebanking abgeraten - hab damals den computer aber überhaupt neu aufgesetzt.

Was hier vielleicht auch das beste wäre, oder?

markusg 23.01.2012 21:07
ja, da ist ein rootkit drauf.
1. ist ne daten rettung nötig, da können wir noch was machen.
2. würde ich dann noch maßnamen zur absicherung auf den weg geben :-)

ra87do 23.01.2012 21:15
die daten sind auf einer eigenen partition. sollte also nicht das problem sein.

Ich würde erstmal die windows partition formatieren und dann mit einen boot cd einen virenscann machen. (zb. avira antivir rescue system...)

und danach windows neu installieren.

welche maßnamen zur absicherung gibt es den zusätzlich zu den bisherigen?
hatte windows autoupdates aktiviert + windows firewall.
avira antivir mit automatischen updates und hab search & destroy installiert gehabt - damit nicht alles so einfach in die registry schreiben kann.
firefox mit adp.

solange meine bekannten nicht verstehen das sie brain.exe einschalten müssen und die warnmeldungen zu beachten, ist eh alles hoffnungslos...

für tipps bin ich natürlich trotzdem dankbar.. :-)

markusg 23.01.2012 21:18
hi, du willst die leere partition mit ner boot cd scannen?
währen denn noch daten zu sichern oder nicht?
absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware

und du kannst vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
arbeite alles unter xp ab.
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

ra87do 23.01.2012 21:27
nein daten müssen keine gesichert werden, die liegen auf einer eigenen partition.
diese würde ich mit der boot cd scannen, damit sich dort nichts verstecken kann.

die restlichen tipps werde ich mir durchsehen, sobald das windows neu aufgespielt ist.

Vielen vielen dank für die rasche hilfe, ist ja heutzutage nicht mehr üblich.

:dankeschoen: :dankeschoen:

markusg 24.01.2012 13:04
kein problem, meld dich dann einfach noch mal :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19