Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GEMA-Trojaner (Ukash) auf Windows Home Premium Notebook ohne Wiederherstellungspunkt) (https://www.trojaner-board.de/116516-gema-trojaner-ukash-windows-home-premium-notebook-ohne-wiederherstellungspunkt.html)

Wither 05.06.2012 09:08
GEMA-Trojaner (Ukash) auf Windows Home Premium Notebook ohne Wiederherstellungspunkt)
 
Hallo Liebes Board!

Ich hatte vor einer Weile an meinem altem Computer schonmal Bekanntschaft mit dem BKA-Ukash gehabt. Seit etwa 2 Monaten habe ich nun ein Notebook (Acer TravelMate 5760G.... falls das was zur Sache tut) und heute Morgen, als ich kurz vor der Uni e-Mails checken wollte den GEMA Trojaner entdeckt.
Woher der Trojaner genau kam, kann ich nicht sagen. Hatte noch eine Playlist laufen und einen Countdwon zum Runterfahren eingestellt, bin schlafen gegangen und hab heute Morgen festgestellt, dass er nicht runtergefahren ist und sich die 'Gema' gemeldet hat.

Nach kurzer Google-Suche habe ich auch diesen Thread entdeckt:
http://www.trojaner-board.de/104573-...entfernen.html

Da jedoch schon unter 1.) geraten wird, einen eigenen Thread zu eröffnen und nichts allein zu machen bin ich jetzt hier. Zudem hat mein Notebook keinen Wiederherstellungspunkt, der ja weiter unten im Thread erwähnt wird. Dachte irgendwie, der Computer setzt sich seinen ersten selbst und da er wie gesagt noch sehr neu ist, ist mir das Versäumnis bisher nicht aufgefallen.


Jetzt also meine Frage... wie sollte ich heute Abend vorgehen? Welche Daten braucht ihr? Soll ich die Schritte 1-3 aus dem Thread befolgen also Malwarebytes, Decrypthelper...?
Möchte ungern irgendwas Falsches tun, was das gute Teil zerschießen könnte :o

Liebe Grüße und Danke im Voraus!

Wither 07.06.2012 10:33
Liebes Board,
hier bin ich wieder und ich konnte einfach nicht nichts tun, daher habe ich jetzt noch folgendes gemacht:

1. Anti-Malware programm durchlaufen lassen. Ergebnis im Anhang.
Der Trojaner Bildschirm ist beim hochfahren im normalen Modus nachwievor da gewesen

2. Wiederherstellung auf den 4.6.
Ja, ging wohl doch. Habe mich wohl da beim ersten mal verguckt und es war wohl doch möglich eine Wiederherstellung durchzuführen.

Genutzt hat es aber nichts. Beim ersten Start danach ist der Ukash Bildschirm nicht erschienen. Da aber weder meine individuellen Browserinhalte, itunes Mediathek usw und sofort nicht da waren, habe ich die Kiste nochmal neu gestartet und da war dann auch der Trojaner wieder da.

3. Hab ich dann mal geschaut, was ich beim BKA Trojaner gemacht hab und dann auch diesmal OTL runtergeladen. Die beiden Dokumente sind im Anhang.

Ich weiß nicht, vielleicht hilft euch das ja schonmal weiter und mir kann nun jemand helfen :)

Und sorry für den Doppelpost, ich wollte nur nicht die Dokumente zurück halten, bis jemand anderes postet und den ersten Beitrag konnte ich nicht editieren.

Liebe Grüße

markusg 07.06.2012 11:14
hi
sorry für die wartezeit
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4 - HKCU..\Run: [2299B724] C:\Users\Bianca\AppData\Roaming\Yjtbm\D85979392299B72419DF.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
 :Files
C:\Users\Bianca\AppData\Roaming\Yjtbm
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Wither 07.06.2012 14:30
Zitat:
Zitat von markusg (Beitrag 841403)
hi
sorry für die wartezeit
...
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)
Das macht gar nichts -Ihr habt hier jede Menge zutun und ja auch noch ein Leben, da kann ich auch mal warten ;)

Hier der Inhalt des Textdokuments:

Code:
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\2299B724 deleted successfully.
C:\Users\Bianca\AppData\Roaming\Yjtbm\D85979392299B72419DF.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Bianca
->Flash cache emptied: 87965 bytes
 
User: Default
->Flash cache emptied: 56466 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Bianca
->Temp folder emptied: 1683627666 bytes
->Temporary Internet Files folder emptied: 243849603 bytes
->Java cache emptied: 36244 bytes
->Flash cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 169253414 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 65766 bytes
RecycleBin emptied: 26312803940 bytes
 
Total Files Cleaned = 27.094,00 mb
 
 
OTL by OldTimer - Version 3.2.46.2 log created on 06072012_150327

Files\Folders moved on Reboot...
C:\Users\Bianca\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
Und die zip Datei:

Zitat:
"Datei: MovedFiles7.6.otl.zip empfangen

Vorgang erfolgreich abgeschlossen."
Hoffe, dass das so alles richtig war und ich nichts vergessen hab :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131