Hallo liebe Helfer!
Nach dem starten meines Notebooks und von Windows, öffnete sich plötzlich der Registry-Editor.
Nachdem ich diesen geschlossen habe, hat sich das Notebook von selbst neu gestartet und der Registry-Editor war erneut geöffnet.
Ich habe dann per Security Task Manager die Datei 'zuneteznotno.exe' gefunden, zu der ich nichts bei Google gefunden habe und welche sich auch nicht entfernen lässt.
Ich habe
Malwarebytes im Quick-Scan laufen lassen und 5 infizierte Objekte gefunden.
Ich habe die Auswahl entfernt (ich weiß, ich hätte mich vorher schon an dieses Forum wenden sollen) und nach einem Neustart MWB erneut ausgeführt.
Es blieb ein Registry-Eintrag übrig, der sich nicht mehr entfernen lässt und ich vermute, dass mein System nach wie vor verseucht ist.
Hier das erste Log beim ersten Befund von MWB:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7761
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
21.09.2011 13:35:18
mbam-log-2011-09-21 (13-35-18).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 192312
Laufzeit: 3 Minute(n), 14 Sekunde(n)
Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicherprozesse:
c:\Users\***\AppData\Roaming\851561221.exe (Spyware.Passwords.XGen) -> 3744 -> Unloaded process successfully.
c:\Users\***\AppData\Local\Temp\ke64wyypxulz.exe (Trojan.Agent) -> 4996 -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\KeApplet (Trojan.Agent) -> Value: KeApplet -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RegistryMonitor1 (Trojan.Agent) -> Value: RegistryMonitor1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\RegistryMonitor2 (Malware.Trace) -> Value: RegistryMonitor2 -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Users\***\AppData\Roaming\851561221.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\***\AppData\Roaming\975639139.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\***\AppData\Roaming\Help\ceptr.tll (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\***\AppData\Roaming\Help\comm.tll (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\***\AppData\Local\Temp\ke64wyypxulz.exe (Trojan.Agent) -> Quarantined and deleted successfully.
|
Hier das zweite Log nach der Entfernung der 4 Dateien und dem einen, nicht zu entfernenden Registry-Eintrag:
Zitat:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.09.05.06
Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385 *** :: ***-PC [Administrator]
Schutz: Aktiviert
05.09.2012 15:22:35
mbam-log-2012-09-05 (15-42-20).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 241092
Laufzeit: 3 Minute(n), 54 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Keine Aktion durchgeführt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
|
Folgendes hat mir defogger ausgegeben:
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:43 on 05/09/2012 (tristan)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
SPTD -> Disabled
-=E.O.F=-
|
Im Anhang sind die OTL.Txt und die Extras.Txt.
Ich hoffe ihr könnt mir helfen und ich habe das Thread hier richtig eröffnet.
Danke im Voraus,
triz