Trojaner-Board - Bundespolizei/GVU/UKASH-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei/GVU/UKASH-Trojaner (https://www.trojaner-board.de/134840-bundespolizei-gvu-ukash-trojaner.html)

Bundespolizei/GVU/UKASH-Trojaner

Hallo,

meine Freundin hat sich nun auch den Bundespolizei/GVU-Trojaner gefangen. Ich habe mir schon einiges durchgelesen, wie er wieder zu entfernen ist, und hänge schon mal die Datei OTL.txt an. Wenn ich das richtig verstanden habe, braucht es jetzt einen (personalisierten?) Fix. Wenn mir jemand dabei helfen könnte, wäre ich (und Anhang) sehr glücklich :D

hi,
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O4 - HKU\Eckert.AS-IC_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\Eckert.AS-IC\Documents\5dab6fd3.exe ()

[2013/05/12 10:59:24 | 000,393,530 | ---- | M] () -- C:\Users\Eckert.AS-IC\AppData\Roaming\2433f433

[2013/05/12 10:59:24 | 000,393,516 | ---- | M] () -- C:\ProgramData\2433f433

[2013/05/12 10:59:24 | 000,393,491 | ---- | M] () -- C:\Users\Eckert.AS-IC\AppData\Local\2433f433

[2013/05/12 10:59:10 | 000,031,232 | ---- | M] () -- C:\Users\Eckert.AS-IC\Documents\5dab6fd3.exe

:Files

C:\Users\Eckert.AS-IC\Documents\5dab6fd3.exe

:Commands

[EMPTYFLASH] 

[emptytemp]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Okay, danke für die Hilfe erst mal! Wenn ich nun allerdings die fix-Datei auf dem infizierten PC ausgewählt habe (in OTLPE), reagiert dieses nicht mehr und ich kann weder auf den "Run Fix"-Button klicken, noch sonst etwas tun. Was mache ich da?

edit: okay, manuelles Einfügen scheint zunächst zu funktionieren... war wohl etwas vorschnell, sorry :D

Okay, nachdem ich nun Windows wieder ganz normal gestartet habe, bleibt der Bildschirm schwarz, während das cmd.exe-Fenster geöffnet ist. Dort heißt es:

Der Befehl ""C:\Users\Eckert.AS-IC\Documents\5dab6fd3.exe"" ist entweder falsch geschrieben oder konnte nicht gefunden werden.

Danach folgt die übliche Zeile C:\Windows\system32>

Hilfe! :/

edit: Windows-Taste und dergleichen funktionieren nicht..

dann noch mal neues otl log bitte

Kommt sofort, anbei. Danke!

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O4 - HKU\Eckert.AS-IC_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx]  File not found

O20 - HKU\Eckert.AS-IC_ON_C Winlogon: Shell - (cmd.exe) - C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
 

:Files

:Commands

[EMPTYFLASH] 

[emptytemp]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

wenn das klappt, Upload wie im ersten Post beschrieben durchführen

I can see a desktop :D

Und: Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.

Sehr gut!
Downloade dir bitte

TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

OK, daran scheitert es jetzt für heute - wir haben das Admin-PW nicht, was zur Ausführung von tdsskiller benötigt wird.

1) ist es ein Problem, den Rest morgen zu machen? (was ist denn noch so zu tun, kommt noch viel? :D)

2) geht von dem PC noch eine Gefahr für andere Rechner im Netzwerk aus?

Vielen Dank für Deine Hilfe!!

edit: 3) können die übrigen Daten gelöscht werden?

Ups... 2 Treffer (Screenshot anbei, das Log ist zu groß).

OK, gezippt funktionierts... hier auch das Log. Bitte entschuldige den Doppelpost, ich komm mir grad total deppert vor.

Hi
wieso habt ihr kein pw für den admin account, ist das n firmen pc?
und wenns ein Firmenpc ist, habt ihr ne IT-Abteilung, denn die währe dafür verantwortlich.

Das Admin-PW hat der Schwiegerpapa, von dem ich es jetzt erst bekommen habe. Habe deswegen den Scan ja auch wie beschrieben ausgeführt und im letzten Beitrag das Log gepostet. Was ist jetzt zu tun?