[Windows 7-64 bit] Ukash-Trojaner... - Paules-PC-Forum.de

Lucky · 28.11.2011, 17:05

Hallo Forum,

viele viele Jahre habe ich es ohne Virus, Trojaner etc. ausgehalten, aber jetzt hat's mich erwischt... Ich habe diesen dummen "Ukash"-Trojaner auf der Festplatte und komme nicht mehr weiter...

Ich habe eine Windows 7 (64-Bit) PC.

Habe im Web schon geschaut, wie ich den Trojaner entfernen kann. Ich wollte in den abgesicherten Modus gehen, dort im Task-Manager einen bestimmten Prozess beenden und dann eine Systemwiederherstellung machen. Jedoch komme ich einfach nicht in den abgesicherten Modus. Beim normalen Hochfahren geht nach der Anmeldung nichts mehr und es erscheint das Bild/Text mit dem Trojaner.

1. Taste DEL = BIOS-Setup (da komme ich rein und kann per Cursor auch wechseln)
2. Taste F9 = XPress Recovery 2 (???)
3. Taste F12 = Boot-Menu -> klappt auch, jedoch...

kann ich da dann gar nichts mehr machen. Dort steht folgendes:

-------------------------------------
Boot Menu
== Select a Boot First device ==

Floppy
LS120
+ Hard Disk
CDRom
ZIP
USP-FDD
USP-ZIP
USB-CDROM
USB-HDD
LAN

Move Enter: Accept ECS: Exit
----------------------------------------

Jedoch kann ich da überhaupt nichts auswählen, die Tastatur funktioniert nicht.

Kann mir bitte jemand weiterhelfen? Dankeschön!

Lucky · 28.11.2011, 17:34

Hmm, jetzt habe ich mich ganz normal anmelden können und keinerlei Meldungen erscheinen mehr. Fragt mich bitte nicht warum. Kann es daran liegen, daß ich das Netzwerkkabel abgesteckt habe und nun keine Verbindung mit dem Internet besteht?

Jedoch denke ich, daß der Trojaner sicherlich noch irgendwo zu finden ist.

Was also jetzt tun? Ich lasse jetzt mal selbst den Virenscanner etc. durchlaufen. Soll ich hier noch eine HijackThis-Logfile posten?

Lucky · 28.11.2011, 19:32

Ist anscheinend tatsächlich so, daß ich mich normal anmelden kann, wenn das Netzwerkkabel abgesteckt ist. Wenn es angesteckt ist, kommt die Meldung mit dem Ukash-Trojaner.

Update: Oder auch nicht. Jetzt geht's auch nicht mehr mit abgestecktem Netzwerkkabel. Keine Ahnung was ich vorhin gemacht habe, um Windows normal starten zu können.

Update 2: Wenn ich irgendwie ganz schnell strg+alt+entf drücke, dann kann es sein daß der Task-Manager tatsächlich auf geht.

Unter "Anwendungen" steht da folgendes drinnen:
h**p://91.217.90.50/ - Die Webseite kann nicht angezeigt werden. - Windows Internet Explorer

Diesen Task kann ich auch NICHT beenden!

Unter "Prozesse" sind folgende Sachen an:
AvastUI.exe *32
csrss.exe
ctfmon.exe
dwm.exe
explorer.exe
explorer.exe
iexplore.exe *32
iexplore.exe *32
notepad.exe *32
notepad.exe *32
nvtray.exe
nvvsvc.exe
nvxdsync.exe
RAVCpl64.exe
realsched.exe *32
sidebar.exe
taskhost.exe
tastmgr.exe
TuneUpUtilitiesApp64.exe
vsnpstd3.exe *32
winlogon.exe
wuaudt.exe

Also wer oder was ist der Übeltäter???

Über den Internet Explorer 8 kann ich nicht mehr online gehen (Bildschirm wird weiß), über den Firefox 8 geht's wie immer!

Eine Systemwiederherstellung von gestrigen Tag hat zwar funktioniert, der Trojaner ist jedoch weiterhin da!

Ich komme halt einfach nicht in den abgesicherten Modus, egal welche F-Taste ich auch drücke.

**AHT** · 28.11.2011, 20:18

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Schau mir die Sachen aber erst morgen an - muss zur Arbeit.

Lucky · 28.11.2011, 20:41

Bin dabei. Danke!

Lucky · 28.11.2011, 21:39

Bitteschön -> File-Upload.net - PPF_Scan1.rar

**AHT** · 29.11.2011, 08:27

Das sieht merkwürdig aus.
Mache folgendes:

Startleiste->
In die Suchleiste MSConfig eingeben->
ENTER Taste drücken->
Es startet sich das Systemkonfigurationsprogramm->
Klicke auf die Registrierkarte Start->
Bei Abgesicherter Start ein Hächen setzen und Minimal markieren->
OK klicken->
Rechner rebooten->

Der Rechner müsste dann im Abgesicherten Modus starten
Dort folgendes tun:

PPFScan.exe starten->
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPF_Scan2
MOVE_FILE->C:\Users\Christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.11201419445406724.exe.lnk>C:\PPF_Scan2\vir.lnk
COPY_SCANFILES->C:\PPF_Scan2
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Danach beendet sich der Scanner.
Jetzt wieder MSCONFIG starten und Häkchen wieder entfernen.
Rechner rebooten.
Gegen vier Uhr bin ich wieder hier, dann geht es weiter.

Lucky · 29.11.2011, 08:48

Bin ebenfalls erst ab 16.00 Uhr daheim und werde dann gleich loslegen! Danke.

Lucky · 29.11.2011, 16:10

Alles ausgeführt. Der abgesicherte Modus konnte auf diese Art und Weise gestartet werden.

Habe das System wieder normal hochgefahren, mich angemeldet und nun kommt keine Meldung mehr bzw. die sich automatisch öffnende IE-Seite geht nicht mehr auf.

Respekt! Und nun?

**AHT** · 29.11.2011, 16:16

Moment bitte. bitte online bleiben, ist noch was auf dem Rechner.
Muss grad was schreiben.

Lucky · 29.11.2011, 16:19

Kein Streß. Ich bleibe schon da.

Danke.

**AHT** · 29.11.2011, 16:25

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

SEND_MESSAGE->85.8.120.111
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->85.8.120.111
->81
->C:\PPF_Scan2

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
Warten, bis sich der Scanner von selbst beendet.
Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

Lucky · 29.11.2011, 16:31

Der Scanner ist durchgelaufen, beendet sich jedoch nicht selbst. Unten links sieht man einen grünen Punkt und dort steht daneben "Bin fertig! (42sec.)!"

Die Firewall o.ä. hat sich nicht gemeldet.

**AHT** · 29.11.2011, 16:38

Hat geklappt.
Scanner kannst du jetzt beenden.
Jetzt dieses Script im PPFScanner ausführen.
Scanner nicht selbst beenden - auf jeden Fall warten, bis er sich selbst schließt:

Code:

SEND_MESSAGE->85.8.120.111
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->85.8.120.111
->81
->C:\Users\CHRIST~1\AppData\Local\Temp\0.11201419445406724.exe,X11
SLEEP->24000
DELETE_FILE_ON_REBOOT->C:\Users\CHRIST~1\AppData\Local\Temp\0.11201419445406724.exe,X11
SLEEP->24000
END->

Lucky · 29.11.2011, 16:42

Alles eingegeben und Scanner hat sich selbst beendet.

28.11.2011, 17:05	#1 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Ukash-Trojaner... Hallo Forum, viele viele Jahre habe ich es ohne Virus, Trojaner etc. ausgehalten, aber jetzt hat's mich erwischt... Ich habe diesen dummen "Ukash"-Trojaner auf der Festplatte und komme nicht mehr weiter... Ich habe eine Windows 7 (64-Bit) PC. Habe im Web schon geschaut, wie ich den Trojaner entfernen kann. Ich wollte in den abgesicherten Modus gehen, dort im Task-Manager einen bestimmten Prozess beenden und dann eine Systemwiederherstellung machen. Jedoch komme ich einfach nicht in den abgesicherten Modus. Beim normalen Hochfahren geht nach der Anmeldung nichts mehr und es erscheint das Bild/Text mit dem Trojaner. 1. Taste DEL = BIOS-Setup (da komme ich rein und kann per Cursor auch wechseln) 2. Taste F9 = XPress Recovery 2 (???) 3. Taste F12 = Boot-Menu -> klappt auch, jedoch... kann ich da dann gar nichts mehr machen. Dort steht folgendes: ------------------------------------- Boot Menu == Select a Boot First device == Floppy LS120 + Hard Disk CDRom ZIP USP-FDD USP-ZIP USB-CDROM USB-HDD LAN Move Enter: Accept ECS: Exit ---------------------------------------- Jedoch kann ich da überhaupt nichts auswählen, die Tastatur funktioniert nicht. Kann mir bitte jemand weiterhelfen? Dankeschön! __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher Geändert von Lucky (28.11.2011 um 17:22 Uhr)

28.11.2011, 17:34	#2 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Hmm, jetzt habe ich mich ganz normal anmelden können und keinerlei Meldungen erscheinen mehr. Fragt mich bitte nicht warum. Kann es daran liegen, daß ich das Netzwerkkabel abgesteckt habe und nun keine Verbindung mit dem Internet besteht? Jedoch denke ich, daß der Trojaner sicherlich noch irgendwo zu finden ist. Was also jetzt tun? Ich lasse jetzt mal selbst den Virenscanner etc. durchlaufen. Soll ich hier noch eine HijackThis-Logfile posten? __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher

28.11.2011, 19:32	#3 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Ist anscheinend tatsächlich so, daß ich mich normal anmelden kann, wenn das Netzwerkkabel abgesteckt ist. Wenn es angesteckt ist, kommt die Meldung mit dem Ukash-Trojaner. Update: Oder auch nicht. Jetzt geht's auch nicht mehr mit abgestecktem Netzwerkkabel. Keine Ahnung was ich vorhin gemacht habe, um Windows normal starten zu können. Update 2: Wenn ich irgendwie ganz schnell strg+alt+entf drücke, dann kann es sein daß der Task-Manager tatsächlich auf geht. Unter "Anwendungen" steht da folgendes drinnen: h*p://91.217.90.50/ - Die Webseite kann nicht angezeigt werden. - Windows Internet Explorer Diesen Task kann ich auch NICHT beenden! Unter "Prozesse" sind folgende Sachen an: AvastUI.exe 32 csrss.exe ctfmon.exe dwm.exe explorer.exe explorer.exe iexplore.exe 32 iexplore.exe 32 notepad.exe 32 notepad.exe 32 nvtray.exe nvvsvc.exe nvxdsync.exe RAVCpl64.exe realsched.exe 32 sidebar.exe taskhost.exe tastmgr.exe TuneUpUtilitiesApp64.exe vsnpstd3.exe 32 winlogon.exe wuaudt.exe Also wer oder was ist der Übeltäter??? Über den Internet Explorer 8 kann ich nicht mehr online gehen (Bildschirm wird weiß), über den Firefox 8 geht's wie immer! Eine Systemwiederherstellung von gestrigen Tag hat zwar funktioniert, der Trojaner ist jedoch weiterhin da! Ich komme halt einfach nicht in den abgesicherten Modus, egal welche F-Taste ich auch drücke. __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher Geändert von Lucky (28.11.2011 um 20:19 Uhr)

28.11.2011, 20:18	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. Schau mir die Sachen aber erst morgen an - muss zur Arbeit. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

28.11.2011, 20:41	#5 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Bin dabei. Danke! __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher

28.11.2011, 21:39	#6 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Bitteschön -> File-Upload.net - PPF_Scan1.rar __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher

29.11.2011, 08:27	#7 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Das sieht merkwürdig aus. Mache folgendes: Startleiste-> In die Suchleiste MSConfig eingeben-> ENTER Taste drücken-> Es startet sich das Systemkonfigurationsprogramm-> Klicke auf die Registrierkarte Start-> Bei Abgesicherter Start ein Hächen setzen und Minimal markieren-> OK klicken-> Rechner rebooten-> Der Rechner müsste dann im Abgesicherten Modus starten Dort folgendes tun: PPFScan.exe starten-> In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPF_Scan2 MOVE_FILE->C:\Users\Christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.11201419445406724.exe.lnk>C:\PPF_Scan2\vir.lnk COPY_SCANFILES->C:\PPF_Scan2 END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Danach beendet sich der Scanner. Jetzt wieder MSCONFIG starten und Häkchen wieder entfernen. Rechner rebooten. Gegen vier Uhr bin ich wieder hier, dann geht es weiter. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

29.11.2011, 08:48	#8 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Bin ebenfalls erst ab 16.00 Uhr daheim und werde dann gleich loslegen! Danke. __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher

29.11.2011, 16:10	#9 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Alles ausgeführt. Der abgesicherte Modus konnte auf diese Art und Weise gestartet werden. Habe das System wieder normal hochgefahren, mich angemeldet und nun kommt keine Meldung mehr bzw. die sich automatisch öffnende IE-Seite geht nicht mehr auf. Respekt! Und nun? __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher

29.11.2011, 16:16	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Moment bitte. bitte online bleiben, ist noch was auf dem Rechner. Muss grad was schreiben. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

29.11.2011, 16:19	#11 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Kein Streß. Ich bleibe schon da. Danke. __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher

29.11.2011, 16:25	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: SEND_MESSAGE->85.8.120.111 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FOLDER->85.8.120.111 ->81 ->C:\PPF_Scan2 Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff. Warten, bis sich der Scanner von selbst beendet. Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

29.11.2011, 16:31	#13 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Der Scanner ist durchgelaufen, beendet sich jedoch nicht selbst. Unten links sieht man einen grünen Punkt und dort steht daneben "Bin fertig! (42sec.)!" Die Firewall o.ä. hat sich nicht gemeldet. __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher

29.11.2011, 16:38	#14 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Hat geklappt. Scanner kannst du jetzt beenden. Jetzt dieses Script im PPFScanner ausführen. Scanner nicht selbst beenden - auf jeden Fall warten, bis er sich selbst schließt: Code: SEND_MESSAGE->85.8.120.111 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FILE->85.8.120.111 ->81 ->C:\Users\CHRIST~1\AppData\Local\Temp\0.11201419445406724.exe,X11 SLEEP->24000 DELETE_FILE_ON_REBOOT->C:\Users\CHRIST~1\AppData\Local\Temp\0.11201419445406724.exe,X11 SLEEP->24000 END-> __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

29.11.2011, 16:42	#15 (Direktlink)
Lucky Ist öfter hier Registriert seit: 17.03.2003 Ort: Augsburg Beiträge: 85	Alles eingegeben und Scanner hat sich selbst beendet. __________________ Intel Core 2 Quad CPU Q8400 2.66GH/z Windows 7 64-Bit Home SP1 4096 MB Arbeitsspeicher

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Windows XP-32 bit] Trojaner	Taddybär	Viren-Forum	14	08.03.2010 20:07
Mail mit Trojaner warnt vor Trojaner!	schotti111	Aktuelle Meldungen	0	23.03.2007 16:04
Trojaner	Anouk	Viren-Forum	24	10.03.2007 15:42
Trojaner	Philipp1980	Viren-Forum	6	17.01.2007 07:03