Mitglied: Ivo1977
26.08.2011, aktualisiert 10:59 Uhr, 21029 Aufrufe, 5 Kommentare

Neuer Ukash Paysafecard Trojaner ? entfernen

Hallo Gemeinde,

die letzten 2 Tage hatte ich wiedermal viel Spass mit Viren / Trojaner Beseitigung. Ein Kunde brachte mir einen Rechner (WinXP SP3, aktueller Virenscanner und auch regelmäßig mit Updates versehen) welcher sich nach dem Login verabschiedete mit folgenden Screen:


Klicken Sie auf das Bild, um es zu vergrößern - efaf710f1db81452fcd6d7b00c196d37.jpg



Da er den Rechner nicht sofort wieder brauchte, und ich gerade mal Zeit habe, bin ich die Sache mal ohne Neuinstallation angegangen . Wie sich zeigte hat meine Suche immer wieder zum BKA Ukash Trojaner geführt welcher allerdings ein anderes aussehen hat und anscheint auch andere Dateien verwendet. Die dort beschriebenen Vorgehensweisen haben allerdings keinen Erfolg gezeigt. Also selber suchen war angesagt. ( Deswegen geh ich mal von einer neuen Variante aus )

1.
Als erstes habe ich den Rechner mit der Kaspersky Rescue Disk 10 überprüft und die vorhanden Funde entfernt.

2.
Rechner anschließend mit Ultimate Boot CD for Windows ( zu finden unter http://www.ubcd4win.com/ ) gestartet und die Registry durchforstet.

Mein erster Anlaufpunkt war HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Dort zeigte sich mir ein Eintrag welcher auf eine msvcs.exe verwies. Diesen Eintrag habe ich dann gelöschen und Registry nach weiteren Einträgen durchsuchen. Am Ende waren es ca. 10 Einträge verteilt, allerdings nur bezogen auf das eine benutzte Benutzerkonto. ( PC unter anderem Benutzerkonto starten bringt nix es dauert nicht lang und es erscheint auch da die Meldung)

! lmsvcs.exe diese Einträge nicht löschen !

3.
Die Datei msvcs.exe im System suchen ( gefunden wird sie unter anderem im Autostart und in den Temp.Internet Verzeichnissen ) und alle gefundenen Dateien löschen ( es werden auch Einträge wie in etwa "6dfsfkshgduihisghidg-msvcs.pj" gefunden diese auch löschen)
unter c:\Users\.......\AppData\Local\Temp\ sind dann noch eine XML und 6 Bilddateien a01.....9_1.jpeg - .....9_6.jpeg zu finden welche das obrige Bild zusammensetzen ) löschen.

Rechner neu starten und fertig.




PS. Eine vorhandene Datensicherung und Neuinstallation ist der sicherer Weg


Schönen Tag Ivo1977
Mitglied: Vorlaut
31.08.2011 um 22:22 Uhr
Was hat der Trojaner denn im konkreten mit paysafecard zu tun?
Grüße, Martin
Mitglied: Skyemugen
01.09.2011 um 11:29 Uhr
... solltest mal den Screenshot durchlesen, Martin ...
Mitglied: xNx443
05.09.2011 um 17:34 Uhr
Das ist ganz einfach eine neue Variante um die Leute zu betrügen. Ich denke das wir die nächste Zeit immer mehr mit solchen Machenschaften zu rechnen haben :/
Paysafecard ist eine virtuelle Zahlungsart mit einem 16 stelligem Code. Damit kann man zB. bei Amazon Gutscheine kaufen, Spiele kaufen usw.
Mitglied: Lochkartenstanzer
10.09.2011 um 12:36 Uhr
Imho gehört da noch ein Scan mit mehreren Virenscanner, z.B. knoppicillin mit aktuell allen 4 Scannern, hin.

und anschließend noch ein scan mit Malwarebytes Antimalware und Spybot, am besten von einer winPE oder BartPE-CD

Das alles nur, um das "Restrisiko" klein zu halten.

Und wie der TO schon sagte:

Plattmachen ist der einzig sichere Weg, um das Restrisiko wirklich zu minimieren.
Mitglied: Lochkartenstanzer
20.03.2012 um 21:11 Uhr
Hier findet man passende Anweisungen für die Entfernung der verschiedenen Varianten.

lks
Titel: Neuer Ukash Paysafecard Trojaner ? entfernen
Content-ID: 172117
Art des Inhalts: Anleitung
Ausgedruckt am: 24.10.2014 um 20:44:03 Uhr
URL: http://www.administrator.de/contentid/172117