5
Neuer Ukash Paysafecard Trojaner ? entfernen
Hallo Gemeinde,
die letzten 2 Tage hatte ich wiedermal viel Spass mit Viren / Trojaner Beseitigung. Ein Kunde brachte mir einen Rechner (WinXP SP3, aktueller Virenscanner und auch regelmäßig mit Updates versehen) welcher sich nach dem Login verabschiedete mit folgenden Screen:
Da er den Rechner nicht sofort wieder brauchte, und ich gerade mal Zeit habe, bin ich die Sache mal ohne Neuinstallation angegangen . Wie sich zeigte hat meine Suche immer wieder zum BKA Ukash Trojaner geführt welcher allerdings ein anderes aussehen hat und anscheint auch andere Dateien verwendet. Die dort beschriebenen Vorgehensweisen haben allerdings keinen Erfolg gezeigt. Also selber suchen war angesagt. ( Deswegen geh ich mal von einer neuen Variante aus )
1.
Als erstes habe ich den Rechner mit der Kaspersky Rescue Disk 10 überprüft und die vorhanden Funde entfernt.
2.
Rechner anschließend mit Ultimate Boot CD for Windows ( zu finden unter http://www.ubcd4win.com/ ) gestartet und die Registry durchforstet.
Mein erster Anlaufpunkt war HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Dort zeigte sich mir ein Eintrag welcher auf eine msvcs.exe verwies. Diesen Eintrag habe ich dann gelöschen und Registry nach weiteren Einträgen durchsuchen. Am Ende waren es ca. 10 Einträge verteilt, allerdings nur bezogen auf das eine benutzte Benutzerkonto. ( PC unter anderem Benutzerkonto starten bringt nix es dauert nicht lang und es erscheint auch da die Meldung)
! lmsvcs.exe diese Einträge nicht löschen !
3.
Die Datei msvcs.exe im System suchen ( gefunden wird sie unter anderem im Autostart und in den Temp.Internet Verzeichnissen ) und alle gefundenen Dateien löschen ( es werden auch Einträge wie in etwa "6dfsfkshgduihisghidg-msvcs.pj" gefunden diese auch löschen)
unter c:\Users\.......\AppData\Local\Temp\ sind dann noch eine XML und 6 Bilddateien a01.....9_1.jpeg - .....9_6.jpeg zu finden welche das obrige Bild zusammensetzen ) löschen.
Rechner neu starten und fertig.
PS. Eine vorhandene Datensicherung und Neuinstallation ist der sicherer Weg
Schönen Tag Ivo1977
die letzten 2 Tage hatte ich wiedermal viel Spass mit Viren / Trojaner Beseitigung. Ein Kunde brachte mir einen Rechner (WinXP SP3, aktueller Virenscanner und auch regelmäßig mit Updates versehen) welcher sich nach dem Login verabschiedete mit folgenden Screen:
Da er den Rechner nicht sofort wieder brauchte, und ich gerade mal Zeit habe, bin ich die Sache mal ohne Neuinstallation angegangen . Wie sich zeigte hat meine Suche immer wieder zum BKA Ukash Trojaner geführt welcher allerdings ein anderes aussehen hat und anscheint auch andere Dateien verwendet. Die dort beschriebenen Vorgehensweisen haben allerdings keinen Erfolg gezeigt. Also selber suchen war angesagt. ( Deswegen geh ich mal von einer neuen Variante aus )
1.
Als erstes habe ich den Rechner mit der Kaspersky Rescue Disk 10 überprüft und die vorhanden Funde entfernt.
2.
Rechner anschließend mit Ultimate Boot CD for Windows ( zu finden unter http://www.ubcd4win.com/ ) gestartet und die Registry durchforstet.
Mein erster Anlaufpunkt war HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Dort zeigte sich mir ein Eintrag welcher auf eine msvcs.exe verwies. Diesen Eintrag habe ich dann gelöschen und Registry nach weiteren Einträgen durchsuchen. Am Ende waren es ca. 10 Einträge verteilt, allerdings nur bezogen auf das eine benutzte Benutzerkonto. ( PC unter anderem Benutzerkonto starten bringt nix es dauert nicht lang und es erscheint auch da die Meldung)
! lmsvcs.exe diese Einträge nicht löschen !
3.
Die Datei msvcs.exe im System suchen ( gefunden wird sie unter anderem im Autostart und in den Temp.Internet Verzeichnissen ) und alle gefundenen Dateien löschen ( es werden auch Einträge wie in etwa "6dfsfkshgduihisghidg-msvcs.pj" gefunden diese auch löschen)
unter c:\Users\.......\AppData\Local\Temp\ sind dann noch eine XML und 6 Bilddateien a01.....9_1.jpeg - .....9_6.jpeg zu finden welche das obrige Bild zusammensetzen ) löschen.
Rechner neu starten und fertig.
PS. Eine vorhandene Datensicherung und Neuinstallation ist der sicherer Weg
Schönen Tag Ivo1977
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172117
Url: https://administrator.de/contentid/172117
Printed on: April 18, 2024 at 03:04 o'clock
5 Comments
Latest comment
Was hat der Trojaner denn im konkreten mit paysafecard zu tun?
Grüße, Martin
Grüße, Martin
... solltest mal den Screenshot durchlesen, Martin ...
Das ist ganz einfach eine neue Variante um die Leute zu betrügen. Ich denke das wir die nächste Zeit immer mehr mit solchen Machenschaften zu rechnen haben :/
Paysafecard ist eine virtuelle Zahlungsart mit einem 16 stelligem Code. Damit kann man zB. bei Amazon Gutscheine kaufen, Spiele kaufen usw.
Paysafecard ist eine virtuelle Zahlungsart mit einem 16 stelligem Code. Damit kann man zB. bei Amazon Gutscheine kaufen, Spiele kaufen usw.
Imho gehört da noch ein Scan mit mehreren Virenscanner, z.B. knoppicillin mit aktuell allen 4 Scannern, hin.
und anschließend noch ein scan mit Malwarebytes Antimalware und Spybot, am besten von einer winPE oder BartPE-CD
Das alles nur, um das "Restrisiko" klein zu halten.
Und wie der TO schon sagte:
Plattmachen ist der einzig sichere Weg, um das Restrisiko wirklich zu minimieren.
und anschließend noch ein scan mit Malwarebytes Antimalware und Spybot, am besten von einer winPE oder BartPE-CD
Das alles nur, um das "Restrisiko" klein zu halten.
Und wie der TO schon sagte:
Plattmachen ist der einzig sichere Weg, um das Restrisiko wirklich zu minimieren.
