Firefox.de im Local-Ordner "nach Bezahlen und runterladen"

supporter64

Vorweg, Überschrift ist falsch, muss Firefox.exe heißen, sorry

Hallo,

vielleicht als Hilfe, wie es bei mir mit der Reinigung geklappt hat.

mein System Win7 64bit auf aktuellem Stand, Avast auf aktuellem Stand und Win-Firewall. Trotzdem fing ich mir den "Bezahlen und Runterladen-Trojaner" ein, der WIN7 mit Internetverbindung sofort lahm legt.

Ich habe dann über ein Gastkonto mich angemeldet und konnte so im www. nach Hilfe suchen und entsprechende Scanner runterladen, u.a. Malwarebytes.

Anschließend WIN 7 im abgesicherten Modus gestartet - ohne Wlan - und Malwarebytes laufen lassen mit einem Fund einer .exe im tmp Ordner auf C:.

C:\Users\....\AppData\Local\Temp\0.15956296855649832.exe (Exploit.Drop.2) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Anschließend Neustart, Trojaner kam wieder. Wieder Neustart im abgesicherten Modus. Malwarebytes fand im User-Local-Firefox-Ordner auf C: eine Firefox.exe mit dem selben Inst-Datum als Firefox.de im eigentlichen ProgOrdner. Habe meine Profile gesichert und FF gelöscht. Außerdem fand Malwarebytes einen faulen Registryeintrag. Diesen habe ich gelöscht, Neustart ohne Internetverbindung, Tuneup utilities über die Registry zur Säuberung laufen lassen, dann Neustart mit Wlan, rein ins Internet, ales ok.

Hier die logs
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ffdwnd (Trojan.Zbot.CBCGen) -> Daten: C:\Users\....\AppData\Local\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\....\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Problem Gott sei Dank erledigt.