Ukash 100€ Trojaner Windows XP SP3 PC infiziert
 

Hallo liebe Community,

wir haben hier bei einem Kunden einen PC der nun mit einer Variante des Ukash 100€ Trojaner befallen ist. Dieser befand sich in einem Windows Workgroup Netzwerk mit 4 weiteren PC's. Den befallen PC habe ich nun vom Netzwerk getrennt.

Beim starten erscheint sofort folgendes Bild:

hxxp://picload.org/view/rprcwii/ukash.jpg.html

Im abgesicherten Modus, mit und ohne Netzwerktreiber, lässt sich der Rechner auch nicht mehr starten. Ich habe mir jetzt schon etliche Bereich hier durchgelesen aber bin nun komplett verwirrt.

Welche Schritte muss ich jetzt für den infizierten und ganzt wichtig für die unscheinbar noch nicht infizierten Rechner vornehmen? Entschuldigt bitte wenn die Frage hier jetzt wahrscheinlich schon gefühlte tausendmal gestellt worden. Mir würden natürlich dann auch links helfen.

Folgende Bereiche habe ich mir schon angeschaut:

http://www.trojaner-board.de/69886-a...-beachten.html

http://www.trojaner-board.de/114783-...ubersicht.html

http://www.trojaner-board.de/115328-...-trojaner.html

diese Links bringen mir leider nichts, da ich den infizierten Rechner ja nicht mehr starten kann. Das Malwarebytes Anti-Malware lasse ich jetzt aber schon einmal auf allen anderen Rechner durchlaufen

Liebe Grüße,
Frank

Hallo,
kann mir hier keiner helfen? Die anderen Rechner habe ich alle mit Malwarebytes geprüft. Die waren sauber.

LG

Hallo,
kann mir hier keiner helfen? Die anderen Rechner habe ich alle mit Malwarebytes geprüft. Die waren sauber.

LG

Kunde? In welcher Form? Bist du ein Vor-Support-Dientleister, Händler oder in der IT-Abteilung einer Firma?

ich bin ein Mitarbeiter einer IT Abteilung. Mein Aufgabenfeld ist jedoch hauptsächlich Consulting im Bereich der kaufmännischen Anwendungssoftware.

LG

Firmenrechner? Werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Verständlich, daher hatte ich in meinem ersten Posting ja auch von einem Kunden gesprochen ;)
Wir sind ein 2 Mann Unternehmen und betreuen eigentlich nur alle kaufmännischen Software Lösungen des Unternehmen Sage. Der befallene Rechner ist ein Handwerks-Kunde von uns im Bereich Jalousien. Auf diesem befallenem Rechner liegen alle seine Bilder die er jemals durch Montage angebracht hat.

Eine IT Abteilung hat er nicht. Der Rechner der dort steht ist auch bestimmt schon 6-7 Jahre alt.

Also habe ich es jetzt richtig verstanden, dass es hier von euch keine Hilfe geben wird?

LG

Für diesen Kleinunternehmer ist eine Ausnahme imho vertretbar. Da der Rechner nicht startet, weder normal noch abgesichert, ist OTLPE gefragt

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

erstmal vielen Dank, dass hier geholfen wird!
Ich habe mir mittlerweile etwas selbst geholfen. Ich hatte die Festplatte des befallenen Systems asugebaut und in einen anderen Rechner eingebaut. Dort gestartet und Malwarebytes über die Festplatte gejagt. Im Anhang ist auch das Protokoll dazu.

Nun habe ich die Festplatte wieder eingebaut und der Rechner startet nun wieder normal. Jedoch ist jetzt alles auf diesem Rechner verschlüsselt. Die Dateien lauten wie z.B. "vJrrrruQQgggJJvNNNQQ".

Wenn ich mich hier nun richtig informiert habe, gibt es für diese Variante noch keine Entschlüsselung. Ist dies korrekt?

Was kann bzw. muss ich jetzt noch machen?
Ich wollte euch die email mit dem Trojaner zukommen lassen aber leider ist auch die outlook.pst verschlüsselt sodass er diesen gar nicht starten kann :/

Lieben Gruß

---


edit: soll ich das Programm OTLPE trotzdem wie beschreiben ausführen?

Nein, dann brauchen wir OTLPE nicht. Das ist nur dafür da wenn Windows garnicht bootet

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,
ich kann hier leider erst am kommenden Dienstag nach Pfingsten weiter machen.
Soll ich mich dann per PM oder wieder hier melden?

LG

Nein nicht per PN - einfach heir wieder reinposten

so, nun geht es weiter :)
Im Anhang erhälst du die Log Datei des ESET Online Scanner. 3 infizierte Sachen hat er gefunden.
Zudem habe ich mal einen Vollscan mit Malwarebytes gemacht. Da hat er auch noch etwas gefunden. Dieser Log liegt auch im Anhang.

LG

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

wenn du damit den normalen Windows Start meinst, dann ja.


es fehlt nichts und es sind auch keine leeren Ordner vorhanden.

LG

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread