Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Neuer Ukash Paysafecard Trojaner ? entfernen

Anleitung Sicherheit Viren und Trojaner

Mitglied: Ivo1977

Ivo1977 (Level 1) - Jetzt verbinden

26.08.2011, aktualisiert 10:59 Uhr, 23304 Aufrufe, 5 Kommentare

Hallo Gemeinde,

die letzten 2 Tage hatte ich wiedermal viel Spass mit Viren / Trojaner Beseitigung. Ein Kunde brachte mir einen Rechner (WinXP SP3, aktueller Virenscanner und auch regelmäßig mit Updates versehen) welcher sich nach dem Login verabschiedete mit folgenden Screen:


efaf710f1db81452fcd6d7b00c196d37 - Klicke auf das Bild, um es zu vergrößern


Da er den Rechner nicht sofort wieder brauchte, und ich gerade mal Zeit habe, bin ich die Sache mal ohne Neuinstallation angegangen . Wie sich zeigte hat meine Suche immer wieder zum BKA Ukash Trojaner geführt welcher allerdings ein anderes aussehen hat und anscheint auch andere Dateien verwendet. Die dort beschriebenen Vorgehensweisen haben allerdings keinen Erfolg gezeigt. Also selber suchen war angesagt. ( Deswegen geh ich mal von einer neuen Variante aus )

1.
Als erstes habe ich den Rechner mit der Kaspersky Rescue Disk 10 überprüft und die vorhanden Funde entfernt.

2.
Rechner anschließend mit Ultimate Boot CD for Windows ( zu finden unter http://www.ubcd4win.com/ ) gestartet und die Registry durchforstet.

Mein erster Anlaufpunkt war HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Dort zeigte sich mir ein Eintrag welcher auf eine msvcs.exe verwies. Diesen Eintrag habe ich dann gelöschen und Registry nach weiteren Einträgen durchsuchen. Am Ende waren es ca. 10 Einträge verteilt, allerdings nur bezogen auf das eine benutzte Benutzerkonto. ( PC unter anderem Benutzerkonto starten bringt nix es dauert nicht lang und es erscheint auch da die Meldung)

! lmsvcs.exe diese Einträge nicht löschen !

3.
Die Datei msvcs.exe im System suchen ( gefunden wird sie unter anderem im Autostart und in den Temp.Internet Verzeichnissen ) und alle gefundenen Dateien löschen ( es werden auch Einträge wie in etwa "6dfsfkshgduihisghidg-msvcs.pj" gefunden diese auch löschen)
unter c:\Users\.......\AppData\Local\Temp\ sind dann noch eine XML und 6 Bilddateien a01.....9_1.jpeg - .....9_6.jpeg zu finden welche das obrige Bild zusammensetzen ) löschen.

Rechner neu starten und fertig.




PS. Eine vorhandene Datensicherung und Neuinstallation ist der sicherer Weg


Schönen Tag Ivo1977
Mitglied: Vorlaut
31.08.2011 um 22:22 Uhr
Was hat der Trojaner denn im konkreten mit paysafecard zu tun?
Grüße, Martin
Bitte warten ..
Mitglied: Skyemugen
01.09.2011 um 11:29 Uhr
... solltest mal den Screenshot durchlesen, Martin ...
Bitte warten ..
Mitglied: xNx443
05.09.2011 um 17:34 Uhr
Das ist ganz einfach eine neue Variante um die Leute zu betrügen. Ich denke das wir die nächste Zeit immer mehr mit solchen Machenschaften zu rechnen haben :/
Paysafecard ist eine virtuelle Zahlungsart mit einem 16 stelligem Code. Damit kann man zB. bei Amazon Gutscheine kaufen, Spiele kaufen usw.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2011 um 12:36 Uhr
Imho gehört da noch ein Scan mit mehreren Virenscanner, z.B. knoppicillin mit aktuell allen 4 Scannern, hin.

und anschließend noch ein scan mit Malwarebytes Antimalware und Spybot, am besten von einer winPE oder BartPE-CD

Das alles nur, um das "Restrisiko" klein zu halten.

Und wie der TO schon sagte:

Plattmachen ist der einzig sichere Weg, um das Restrisiko wirklich zu minimieren.
Bitte warten ..
Mitglied: Lochkartenstanzer
20.03.2012 um 21:11 Uhr
Hier findet man passende Anweisungen für die Entfernung der verschiedenen Varianten.

lks
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Wieder mal ein neuer Erpressungs-Trojaner (namens Spora) (5)

Link von VGem-e zum Thema Viren und Trojaner ...

Windows Server
Suchort neuer NW-Drucker Windows (4)

Frage von cse zum Thema Windows Server ...

Microsoft Office
gelöst Sicherheitshinweis Powerpoint entfernen (4)

Frage von killtec zum Thema Microsoft Office ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(6)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(40)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Windows 10
gelöst Windows 10 Home "Netzlaufwerk nicht bereit" (19)

Frage von Oggy01 zum Thema Windows 10 ...

SAN, NAS, DAS
+100tb Storagelösung (13)

Frage von Data-Fabi zum Thema SAN, NAS, DAS ...

LAN, WAN, Wireless
Cisco W-Lan Controller als Applicance oder Software (11)

Frage von Herbrich19 zum Thema LAN, WAN, Wireless ...

DNS
gelöst Komplette TLD Überschreiben bzw eigene Definieren (10)

Frage von Herbrich19 zum Thema DNS ...