Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Neuer Ukash Paysafecard Trojaner ? entfernen

Mitglied: Ivo1977

Ivo1977 (Level 1) - Jetzt verbinden

26.08.2011, aktualisiert 10:59 Uhr, 23448 Aufrufe, 5 Kommentare

Hallo Gemeinde,

die letzten 2 Tage hatte ich wiedermal viel Spass mit Viren / Trojaner Beseitigung. Ein Kunde brachte mir einen Rechner (WinXP SP3, aktueller Virenscanner und auch regelmäßig mit Updates versehen) welcher sich nach dem Login verabschiedete mit folgenden Screen:


efaf710f1db81452fcd6d7b00c196d37 - Klicke auf das Bild, um es zu vergrößern


Da er den Rechner nicht sofort wieder brauchte, und ich gerade mal Zeit habe, bin ich die Sache mal ohne Neuinstallation angegangen . Wie sich zeigte hat meine Suche immer wieder zum BKA Ukash Trojaner geführt welcher allerdings ein anderes aussehen hat und anscheint auch andere Dateien verwendet. Die dort beschriebenen Vorgehensweisen haben allerdings keinen Erfolg gezeigt. Also selber suchen war angesagt. ( Deswegen geh ich mal von einer neuen Variante aus )

1.
Als erstes habe ich den Rechner mit der Kaspersky Rescue Disk 10 überprüft und die vorhanden Funde entfernt.

2.
Rechner anschließend mit Ultimate Boot CD for Windows ( zu finden unter http://www.ubcd4win.com/ ) gestartet und die Registry durchforstet.

Mein erster Anlaufpunkt war HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Dort zeigte sich mir ein Eintrag welcher auf eine msvcs.exe verwies. Diesen Eintrag habe ich dann gelöschen und Registry nach weiteren Einträgen durchsuchen. Am Ende waren es ca. 10 Einträge verteilt, allerdings nur bezogen auf das eine benutzte Benutzerkonto. ( PC unter anderem Benutzerkonto starten bringt nix es dauert nicht lang und es erscheint auch da die Meldung)

! lmsvcs.exe diese Einträge nicht löschen !

3.
Die Datei msvcs.exe im System suchen ( gefunden wird sie unter anderem im Autostart und in den Temp.Internet Verzeichnissen ) und alle gefundenen Dateien löschen ( es werden auch Einträge wie in etwa "6dfsfkshgduihisghidg-msvcs.pj" gefunden diese auch löschen)
unter c:\Users\.......\AppData\Local\Temp\ sind dann noch eine XML und 6 Bilddateien a01.....9_1.jpeg - .....9_6.jpeg zu finden welche das obrige Bild zusammensetzen ) löschen.

Rechner neu starten und fertig.




PS. Eine vorhandene Datensicherung und Neuinstallation ist der sicherer Weg


Schönen Tag Ivo1977
Mitglied: Vorlaut
31.08.2011 um 22:22 Uhr
Was hat der Trojaner denn im konkreten mit paysafecard zu tun?
Grüße, Martin
Bitte warten ..
Mitglied: Skyemugen
01.09.2011 um 11:29 Uhr
... solltest mal den Screenshot durchlesen, Martin ...
Bitte warten ..
Mitglied: xNx443
05.09.2011 um 17:34 Uhr
Das ist ganz einfach eine neue Variante um die Leute zu betrügen. Ich denke das wir die nächste Zeit immer mehr mit solchen Machenschaften zu rechnen haben :/
Paysafecard ist eine virtuelle Zahlungsart mit einem 16 stelligem Code. Damit kann man zB. bei Amazon Gutscheine kaufen, Spiele kaufen usw.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2011 um 12:36 Uhr
Imho gehört da noch ein Scan mit mehreren Virenscanner, z.B. knoppicillin mit aktuell allen 4 Scannern, hin.

und anschließend noch ein scan mit Malwarebytes Antimalware und Spybot, am besten von einer winPE oder BartPE-CD

Das alles nur, um das "Restrisiko" klein zu halten.

Und wie der TO schon sagte:

Plattmachen ist der einzig sichere Weg, um das Restrisiko wirklich zu minimieren.
Bitte warten ..
Mitglied: Lochkartenstanzer
20.03.2012 um 21:11 Uhr
Hier findet man passende Anweisungen für die Entfernung der verschiedenen Varianten.

lks
Bitte warten ..
Ähnliche Inhalte
Humor (lol)
Spaßige Trojaner ?
Information von HenereHumor (lol)3 Kommentare

Ein neuer Verschlüsselungstrojaner ist im Umlauf, der kein Geld fordert, sondern man muss ein Spiel spielen Aus der Reihe ...

Sicherheit

BKA soll bereits Trojaner in Ermittlungen einsetzen

Information von BassFishFoxSicherheit4 Kommentare

Also die Idee mit dem Bildschirmfoto ist ja nicht so neu. Das Bundeskriminalamt (BKA) setzt nach Informationen von NDR, ...

Viren und Trojaner

Billig-China-Smartphones bringen Trojaner in der Firmware mit

Tipp von LochkartenstanzerViren und Trojaner13 Kommentare

Wer der Versuchung nicht widerstehen kann, direkt beim Chinesen eines der - druchaus gut ausgestatteten und i.d.R. brauchbaren - ...

Verschlüsselung & Zertifikate

BeA-Debakel, die Fortsetzung - Trojaner-Befall nicht ausgeschlossen

Information von kgbornVerschlüsselung & Zertifikate2 Kommentare

Ich stelle es mal hier mit ein, falls Dienstleister mit Anwälten als Klienten hier unterwegs sind. Das besondere elektronische ...

Neue Wissensbeiträge
Windows Server

SBS 2011: Installation von KB4457144 schlägt beim Reboot fehl - Von Dienst gesperrte Schriftart ursächlich

Tipp von the-buccaneer vor 4 StundenWindows Server

Moinsen zusammen! Das hat mich einige graue Haare gekostet: Ein SBS 2011 weigerte sich schon im August, das monatl. ...

Windows Netzwerk
Browser-Lags und IPv6
Erfahrungsbericht von NixVerstehen vor 10 StundenWindows Netzwerk1 Kommentar

Hallo zusammen, wir betreiben als kleines Speditionsunternehmen ein überschaubares Windows-Netzwerk mit Win10-Clients sowie einem Server 2016 Essentials als "eierlegende ...

Humor (lol)

Erstaunlich, Windows mit extremer Laufzeit (Server) lol

Tipp von mathu vor 13 StundenHumor (lol)5 Kommentare

Was es so alles gibt. :-)

Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 1 TagWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V33 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Router & Routing
Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Frage von miscmikeRouter & Routing15 Kommentare

Hallo Zusammen, ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) . Anwendungen sind z.B. Kaspersky-KSC ...