Ucash Trojaner Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert
 

Liebes Trojaner-board Team,

ich habe seit heute das Problem, das bei mir nach dem Starten von Windows der Bildschirm einfriert und eine Bild mit der obrigen Überschrift erscheint. Taskmanager und alles funktioniert nicht mehr.

Ich habe ein Windows 7 64 bit System. Habe mein System auf einer Festplatte installiert C: und nutze die zweite Festplatte für den täglichen Bedarf.

Ich habe im abgesichertem Modus einen Otl scan nach http://www.trojaner-board.de/85104-o...-oldtimer.html durchgeführt und in den Anhang gepackt.

Ich hoffe ihr könnt mir helfen,
vielen Dank im vorraus.

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Vielen Dank erstmal für die schnelle Antwort!

Vorweg:

bevor ich gesehen hatte dass du geantwortet hattest war ich dabei ein paar daten auf einer externen Festplatte zu sichern. Auf einmal wurde mein Benutzerkonto unter C Benutzer nicht mehr angezeigt.
Auch nach dem Fix wird es nicht mehr angezeigt.

hier die Ausgabe:

Danke!

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Nochmals vielen Dank !

Ich habe alles wie beschrieben durchgeführt (1-Malwarebytes, dann AdwCleaner). Hier die Textdatei vom Cleaner:

# AdwCleaner v1.800 - Logfile created 08/09/2012 at 16:57:49
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Professional (64 bits)
# User : Robert - ROBERT-POWER-PC
# Running from : C:\Users\Robert\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\Robert\AppData\Local\AskToolbar
Folder Found : C:\Users\Robert\AppData\Local\Conduit
Folder Found : C:\Users\Robert\AppData\Local\Ilivid Player
Folder Found : C:\Users\Robert\AppData\LocalLow\AskToolbar
Folder Found : C:\Users\Robert\AppData\LocalLow\Conduit
Folder Found : C:\Users\Robert\AppData\LocalLow\PriceGong
Folder Found : C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\93o3hl3s.default\extensions\toolbar@ask.com
Folder Found : C:\Program Files (x86)\Ask.com
Folder Found : C:\Program Files (x86)\Conduit
Folder Found : C:\Program Files (x86)\Ilivid
Folder Found : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registry] *****
[*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT2843456
Key Found : HKCU\Software\APN
Key Found : HKCU\Software\AppDataLow\Software\AskToolbar
Key Found : HKCU\Software\AppDataLow\Software\Conduit
Key Found : HKCU\Software\AppDataLow\Software\PriceGong
Key Found : HKCU\Software\AppDataLow\Software\SmartBar
Key Found : HKCU\Software\Ask.com
Key Found : HKCU\Software\AskToolbar
Key Found : HKLM\SOFTWARE\APN
Key Found : HKLM\SOFTWARE\AskToolbar
Key Found : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Key Found : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Conduit
Key Found : HKLM\SOFTWARE\DT Soft
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
[x64] Key Found : HKCU\Software\APN
[x64] Key Found : HKCU\Software\AppDataLow\Software\AskToolbar
[x64] Key Found : HKCU\Software\AppDataLow\Software\Conduit
[x64] Key Found : HKCU\Software\AppDataLow\Software\PriceGong
[x64] Key Found : HKCU\Software\AppDataLow\Software\SmartBar
[x64] Key Found : HKCU\Software\Ask.com
[x64] Key Found : HKCU\Software\AskToolbar
[x64] Key Found : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
[x64] Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
[x64] Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
[x64] Key Found : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
[x64] Key Found : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
[x64] Key Found : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
[x64] Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Key Found : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Key Found : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Key Found : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Key Found : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
[x64] Key Found : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
[x64] Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
[x64] Key Found : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v12.0 (de)

Profile name : default
File : C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\93o3hl3s.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [5216 octets] - [09/08/2012 16:57:49]

########## EOF - C:\AdwCleaner[R1].txt - [5344 octets] ##########

Wo ist das MBAM Log?
(Reiter Logdateien)

Sorry - ich dachte, nur das erste Log wäre nötig. Hier die MBAM-Logs:

mbam-log-2012-08-09 (15-28-55).txt:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.09.07

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Robert :: ROBERT-POWER-PC [Administrator]

Schutz: Aktiviert

09.08.2012 15:28:55
mbam-log-2012-08-09 (15-28-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 408156
Laufzeit: 32 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCR\CLSID\{F99BD4F5-D402-4c21-A8BC-510830B6BE37} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F99BD4F5-D402-4C21-A8BC-510830B6BE37} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F99BD4F5-D402-4C21-A8BC-510830B6BE37} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 4
C:\Program Files (x86)\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08082012_224716\C_Users\Robert\AppData\Local\Microsoft\Windows\1067\SysFxUI.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Games\The Binding of Isaac\TDU.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Recycle.Bin\33BBD2FA436BEAF (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)




-------------------------------------------------------------
protection-log-2012-08-09.txt:
2012/08/09 15:22:22 +0200 ROBERT-POWER-PC Robert MESSAGE Starting protection
2012/08/09 15:22:24 +0200 ROBERT-POWER-PC Robert MESSAGE Protection started successfully
2012/08/09 15:22:27 +0200 ROBERT-POWER-PC Robert MESSAGE Starting IP protection
2012/08/09 15:22:28 +0200 ROBERT-POWER-PC Robert MESSAGE IP Protection started successfully
2012/08/09 15:27:43 +0200 ROBERT-POWER-PC Robert MESSAGE Starting database refresh
2012/08/09 15:27:43 +0200 ROBERT-POWER-PC Robert MESSAGE Stopping IP protection
2012/08/09 15:29:03 +0200 ROBERT-POWER-PC Robert MESSAGE IP Protection stopped
2012/08/09 15:29:05 +0200 ROBERT-POWER-PC Robert MESSAGE Database refreshed successfully
2012/08/09 15:29:05 +0200 ROBERT-POWER-PC Robert MESSAGE Starting IP protection
2012/08/09 15:29:06 +0200 ROBERT-POWER-PC Robert MESSAGE IP Protection started successfully
2012/08/09 16:56:12 +0200 ROBERT-POWER-PC Robert MESSAGE Starting protection
2012/08/09 16:56:14 +0200 ROBERT-POWER-PC Robert MESSAGE Protection started successfully
2012/08/09 16:56:17 +0200 ROBERT-POWER-PC Robert MESSAGE Starting IP protection
2012/08/09 16:56:19 +0200 ROBERT-POWER-PC Robert MESSAGE IP Protection started successfully

Schlechte Nachrichten!

Trojan.Spyeyes sind Trojan.Banker sind bereits einzeln schwere Infektionen.

Du musst das System neuaufsetzen.



Anleitungen zum Neuaufsetzen (bebildert) > Windows 7 neu aufsetzen > Vista > XP

1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.

Vielen Dank für die Mühen und doch schnellen Antworten!

Ich habe jetzt den rechner unter Ubuntu formatiert und die Partitionen gelöscht. Anschließend unter Windows bei der Installation meine beiden Festplatten nochmals formatiert und dann erst Windows 7 64bit installiert.

Ich habe jetzt mir avast runtergeladen und alle Treiber soweit installiert. Das Häckchen bei Autorun unter Systemsteurung habe ich auch bereits entfernt.
Ich habe jetzt noch einige Fragen dazu:

- was ist genau das SEHOP und worfür wird es benötig.
- Die Updates checker in den Link ist es ratsam BEIDE runterzuladen?
- reicht der Scan der Daten auf dem externen Speicher mit Avast?

Liebe Grüße

Sehr gut!

SEHOP steht für “Structured Exception Handling Overwrite Protection”. Dies ist eine Sicherheitsfunktion und verhindert z.B. das Überschreiben von Rücksprungadressen mit Hilfe von Pufferüberläufen. Die sogenannten “Buffer-Overflows” gehören immer noch mit zu den häufigsten Sicherheitslücken in aktuellen Programmen.
In den Windows-Client-Versionen “Windows Vista” und “Windows 7″ ist die Schutzfunktion bereits integriert, aber standardmässig deaktiviert. Windows-Serversysteme ab Server 2008 laufen bereits mit aktiviertem SEHOP.


Secunia reicht.

Ja.

:)