Neuer Ukash Paysafecard Trojaner ? entfernen

Mitglied: Ivo1977

Ivo1977 (Level 1) - Jetzt verbinden

26.08.2011, aktualisiert 10:59 Uhr, 23749 Aufrufe, 5 Kommentare

Hallo Gemeinde,

die letzten 2 Tage hatte ich wiedermal viel Spass mit Viren / Trojaner Beseitigung. Ein Kunde brachte mir einen Rechner (WinXP SP3, aktueller Virenscanner und auch regelmäßig mit Updates versehen) welcher sich nach dem Login verabschiedete mit folgenden Screen:


efaf710f1db81452fcd6d7b00c196d37 - Klicke auf das Bild, um es zu vergrößern


Da er den Rechner nicht sofort wieder brauchte, und ich gerade mal Zeit habe, bin ich die Sache mal ohne Neuinstallation angegangen . Wie sich zeigte hat meine Suche immer wieder zum BKA Ukash Trojaner geführt welcher allerdings ein anderes aussehen hat und anscheint auch andere Dateien verwendet. Die dort beschriebenen Vorgehensweisen haben allerdings keinen Erfolg gezeigt. Also selber suchen war angesagt. ( Deswegen geh ich mal von einer neuen Variante aus )

1.
Als erstes habe ich den Rechner mit der Kaspersky Rescue Disk 10 überprüft und die vorhanden Funde entfernt.

2.
Rechner anschließend mit Ultimate Boot CD for Windows ( zu finden unter http://www.ubcd4win.com/ ) gestartet und die Registry durchforstet.

Mein erster Anlaufpunkt war HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Dort zeigte sich mir ein Eintrag welcher auf eine msvcs.exe verwies. Diesen Eintrag habe ich dann gelöschen und Registry nach weiteren Einträgen durchsuchen. Am Ende waren es ca. 10 Einträge verteilt, allerdings nur bezogen auf das eine benutzte Benutzerkonto. ( PC unter anderem Benutzerkonto starten bringt nix es dauert nicht lang und es erscheint auch da die Meldung)

! lmsvcs.exe diese Einträge nicht löschen !

3.
Die Datei msvcs.exe im System suchen ( gefunden wird sie unter anderem im Autostart und in den Temp.Internet Verzeichnissen ) und alle gefundenen Dateien löschen ( es werden auch Einträge wie in etwa "6dfsfkshgduihisghidg-msvcs.pj" gefunden diese auch löschen)
unter c:\Users\.......\AppData\Local\Temp\ sind dann noch eine XML und 6 Bilddateien a01.....9_1.jpeg - .....9_6.jpeg zu finden welche das obrige Bild zusammensetzen ) löschen.

Rechner neu starten und fertig.




PS. Eine vorhandene Datensicherung und Neuinstallation ist der sicherer Weg


Schönen Tag Ivo1977
Mitglied: Vorlaut
31.08.2011 um 22:22 Uhr
Was hat der Trojaner denn im konkreten mit paysafecard zu tun?
Grüße, Martin
Bitte warten ..
Mitglied: Skyemugen
01.09.2011 um 11:29 Uhr
... solltest mal den Screenshot durchlesen, Martin ...
Bitte warten ..
Mitglied: xNx443
05.09.2011 um 17:34 Uhr
Das ist ganz einfach eine neue Variante um die Leute zu betrügen. Ich denke das wir die nächste Zeit immer mehr mit solchen Machenschaften zu rechnen haben :/
Paysafecard ist eine virtuelle Zahlungsart mit einem 16 stelligem Code. Damit kann man zB. bei Amazon Gutscheine kaufen, Spiele kaufen usw.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2011 um 12:36 Uhr
Imho gehört da noch ein Scan mit mehreren Virenscanner, z.B. knoppicillin mit aktuell allen 4 Scannern, hin.

und anschließend noch ein scan mit Malwarebytes Antimalware und Spybot, am besten von einer winPE oder BartPE-CD

Das alles nur, um das "Restrisiko" klein zu halten.

Und wie der TO schon sagte:

Plattmachen ist der einzig sichere Weg, um das Restrisiko wirklich zu minimieren.
Bitte warten ..
Mitglied: Lochkartenstanzer
20.03.2012 um 21:11 Uhr
Hier findet man passende Anweisungen für die Entfernung der verschiedenen Varianten.

lks
Bitte warten ..
Heiß diskutierte Inhalte
HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 1 TagFrageHTML20 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

LAN, WAN, Wireless
8 Geräte - verteilen oder auf einen Switch?
DoKi468Vor 1 TagFrageLAN, WAN, Wireless12 Kommentare

Hallo liebe Admins, eine kurze Frage: Ich habe hier eine FB 6190 Cable stehen sowie einen noch unmonitored switch mit 8 Anschlüssen. Momentan sieht ...

Windows Server
Server-Internetverbindung kurz trennen und wieder aktivieren
gelöst imebroVor 1 TagFrageWindows Server13 Kommentare

Hallo, wir haben im Moment fast täglich immer wieder Ausfälle unserer Internetverbindung. Unser Provider sagt, dass er kein Problem feststellen kann. Aber wenn vom ...

LAN, WAN, Wireless
"Ethernet verfügt über keine gültige IP-Konfiguration"
gelöst archITVor 19 StundenFrageLAN, WAN, Wireless18 Kommentare

Moin, folgendes Problem: Jedes mal, wenn ich meinen PC an mache, muss ich die Problembehandlung auf der Ethernet schnittstelle ausführen, dass ich Internet habe. ...

Netzwerke
Hardware-Firewall - NGFW - UTM für Privatgebrauch
LordVoodooVor 1 TagFrageNetzwerke7 Kommentare

Hallo liebe Community, seit mehreren Wochen beschäftige ich mich nun schon mit dem Thema Hardware-Firewall, ausgelöst durch Begriffe wie UTM / NGFW / Layer-7-DPI. ...

Hardware
Kabelfernsehen in anderen Raum "übertragen" ?
cramtroniVor 1 TagFrageHardware6 Kommentare

Guten Tag zusammen, ich hätte eine Frage und zwar gibt es in unserem Haus nur einen Kabelanschluss (Coax) für das Kabelfernsehen, nun hätte ich ...

Switche und Hubs
Ist bei einem kleinen Switch Rackmount Kit dabei?
CubeHDVor 1 TagFrageSwitche und Hubs5 Kommentare

Hallo, ich möchte den "HPE OfficeConnect 1420 16G Switch" kaufen. Der Switch hat 16 Ports und ich möchte diesen in einen Standard 19 Zoll ...

Microsoft
PDF editor mit spezieller exportfunktion
FlorianHeVor 18 StundenFrageMicrosoft9 Kommentare

Hi leute. Ich habe eine Frage. Bei uns in der Instandhaltung kommt es oft vor das wir änderungen an den Elektrischen Anlagen oder Mechanichen ...