| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit / Virus in der RegistryWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.05.2008, 12:01
| #1 |
| |  Rootkit / Virus in der Registry Hallo, Mein PC hat sich gestern einen fiesen Virus oder Trojaner eingefangen. Ich habe Windows XP und nutze Avast. Bei der Firewall habe ich mich bislang auf meinen WLAN-Router verlassen. Gestern bekam ich zunächst mehrere Warnungen vor Viren oder Trojanern. Der einzige Name, den ich mir gemerkt habe, war „Monder-Q“. Die hat Avast aber alle entfernt bzw. in sichere Container verschoben, soweit ich das beurteilen kann. Beim anschließenden Routinescan kam aber die beunruhigende Meldung, die ich seitdem jedes Mal immer wenige Minuten nach Systemstart erhalte: „Eine verdächtige versteckte Datei wurde entdeckt (durch Verwendung von heuristischen Methoden). Dies könnte ein Anzeichen einer Malware-Infektion sein. … Dateiname: C:\WINDOWS\system32\nzqtegh.sys Typ: Versteckte Services“ Dann folgen die Optionen „löschen“ und „ignorieren“ (was empfohlen wird) mit der Bitte, die Datei an das ALWIL Software Virus Lab zu schicken. Egal, welche Option ich wähle, danach kommt eine kleine Meldung: „Avast hat einen Virus im Arbeitsspeicher entdeckt. Die Arbeit am Computer mit aktivem Virus ist gefährlich, deswegen wird dringend ein Neustart empfohlen und eine Prüfung durch Avast während der Boot-Phase, bevor sich der Virus aktiviert. Möchten sie die Boot-Zeit-Prüfung zeitsteuern und den Computer neu starten?“ Wenn ich dann OK sage, startet der PC neu und Avast rattert während dem Bootvorgang eine Viertelstunde lang die Prüfung durch. Beim ersten Mal wurde auf diese Weise noch etwas gefunden und gelöscht, inzwischen findet Avast bei der Boot-Zeit-Prüfung nichts mehr. Die Warnung vor „nzqtegh.sys“ erscheint aber jedes Mal wieder. Ich habe irgendwann versucht, die Datei manuell umzubenennen und die Endung .vir anzuhängen. Das bringt aber nichts, nach dem nächsten Neustart habe ich im System32-Ordner wieder die Originaldatei und dazu die von mir umbenannte. In der Registry befindet sich auch ein Ordner namens „nzqtegh“, der scheinbar keinen Inhalt und keine Unterordner hat. Ich kann diesen Ordner weder öffnen, noch löschen! Der genaue Pfad ist: HKEY_LOCAL_MACHINE\SYSTEM\Control001\Services\nzqtegh Ich habe mir auch schon Hitman Pro runtergeladen, was noch etliche andere Kleinigkeiten gefunden hat, aber bei diesem Problem hat mir das auch nicht geholfen. Seid gestern bekomme ich auch öfters Warnungen vor weiteren Viren und Trojanern, die Avast scheinbar mühelos in Container verschieben kann, aber lästig ist das trotzdem. Und früher hatte ich nur ganz selten Warnungen. Außerdem bekomme ich bei jedem Neustart (während der blaue Begrüßungs-Bildschirm mit dem XP-Logo zu sehen ist) eine seltsame Warnung angezeigt: „Windows – Kein Datenträger Exception Processing Message c0000013 Parameters 75b0bf9c 4 75b0bf9c 75b0bf9c“ Mit den Optionen „Abbrechen“, „Wiederholen“ und „Weiter“. Wiederholen bringt nichts, Abbrechen und Weiter führt dazu, dass diese Meldung noch ein zweites Mal angezeigt wird und Windows anschließend scheinbar normal startet. Was habe ich mir da eingefangen und wie werde ich das Ding wieder los??? |
|
16.05.2008, 16:58
| #2 |
| Administrator > Competence Manager  | Rootkit / Virus in der Registry Hallo Damon und
__________________ Das klingt alles ziemlich merkwürdig und lässt definitiv auf Malware zurück schließen. Hast du denn mal versucht in den abgesicherten Modus zu starten und dort eine Systemwiederherstellung durchzuführen?! Dann im abgesicherten Modus: Start / Alle Programme / Zubehör / Systemprogramme / Systemwiederherstellung /Computer zu einem früheren Zeitpunkt wiederherstellen. Nun wird ein Kalender angezeigt, auf das letzte fett gedruckte Datum klicken / 2 mal mit weiter bestätigen und dann gehts los, der PC wird dabei runtergefahren. Dann schauen ob es was gebracht hat und das System ganz normal starten lassen!
__________________ |
|
16.05.2008, 19:01
| #3 |
| | Rootkit / Virus in der Registry Das letzte fett gedruckte Datum wäre gestern nachmittag, da könnte das System noch intakt gewesen sein. Aber während der Systemwiederherstellung erscheinen zwei Windows-Warnungen (die ich nicht lesen kann, weil sie sofort wieder verschwinden, bzw. der Rechner runterfährt). Am Ende kommt dann die Meldung, dass die Systemwiederherstellung unvollständig ist, also nicht geklappt hat.
__________________Ein noch früheres Datum kann ich scheinbar nicht anwählen. Diesen Monat ist sonst nichts fett gedruckt und der vorige Monat lässt sich über den Pfeil nicht auswählen. |
|
16.05.2008, 19:04
| #4 |
| Administrator > Competence Manager | Rootkit / Virus in der Registry Ich kann dir keine Garantie geben ob wir das System wieder sauber bekommen, aber willst du es auf einen Versuch ankommen lassen? Wenn nicht dann das hier abarbeiten -> http://www.trojaner-board.de/51262-a...sicherung.html
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
| Themen zu Rootkit / Virus in der Registry |
| bootvorgang, computer, datei, dringend, escan, fiese, firewall, folge, gefährlich, gelöscht, hitman pro, mehrere, neu starten, neustart, problem, registry, rootkit, software, starten, startet, system32, systemstart, trojaner, versteckte, viren, virus, windows, windows xp, öffnen |
Linear-Darstellung
