TR Windows Recovery

Flagelated

Hallo,

ich habe mir gedacht, ich mache lieber einen neuen Thread auf bevor ich in andere ihre Threads poste.

Ich bekomme auf meinem Notebook die Meldung, dass die HDD defekt wäre (Programm Windows XP Recovery startet).

lt. Google ist es ein Trojaner.

Ich habe ein bissche rumgeforscht, wie man den wieder wegbekommt und bin folgendermaßen vorgegangen.

Zu erst habe ich das Programm mit Rkill abgeschossen


--------------------------------------------------------------------------------------------------------

Rkill was run on 21.06.2011 at 18:34:07.
Operating System: Microsoft Windows XP


Processes terminated by Rkill or while it was running:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bpbMHutRXor.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\25812772.exe


Rkill completed on 21.06.2011 at 18:34:12.


--------------------------------------------------------------------------------------------------------
Dann habe ich mir Malwarebytes heruntergeladen und einen scan drüberlaufen lassen:


--------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6705

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21.06.2011 20:15:24
mbam-log-2011-06-21 (20-15-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 251582
Laufzeit: 47 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\25812772.exe (Trojan.Agent) -> No action taken.

--------------------------------------------------------------------------------------------------------

Anschließend wollte ich das Programm tdsskiller laufen lassen, jedoch lies es sich nicht starten.

Nach einem Boot bekam ich wieder die XP Recovery meldung.

Also wieder Rkill, dann einen Scan mit Avira gemacht (meldete einen Fund) und schließlich wieder malwarebytes


--------------------------------------------------------------------------------------------------------
Datenbank Version: 6705

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21.06.2011 21:43:00
mbam-log-2011-06-21 (21-42-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 251725
Laufzeit: 44 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\24764196.exe (Trojan.Agent) -> No action taken.

--------------------------------------------------------------------------------------------------------

Soll ich diese Exe manuell löschen?



Danke