Win32.Agent.pz eingefangen

juelz

Hallo liebes Trojaner-Board!

Ich brauch mal wieder eure Hilfe!
Und zwar ist mir heute Morgen folgendes passiert: Bin vermutlich ausversehen auf einen Popup gekommen und dann ging alles ganz schnell...meine XP-Firewall hat sich deaktiviert, Spybot hat gemeldet, dass sich etwas versucht in den Autostart einzunisten und der TeaTimer hat verrückt gespielt, so das ich ihn nur noch per TaskManager abwürgen konnte.
Natürlich hab ich so schnell wie möglich meine Internet-Leitung gekappt und die Firewall wieder aktiviert, aber da war schon alles zu spät!
Als ich versuchte den Ccleaner mal durchzujagen (hilft ja meist schon bei weniger gefährlicher Malware in den Temp.InetFiles!?!) und einen HiJackThis-Scan zu starten, ging dann plötzlich garnichts mehr...es ließen sich weder Programme wie HJT, AntiVir, Spybot & co noch Befehle wie "regedit" & "msconfig" ausführen...

Nach 'nem ordentlichen Schnaps, Zigarettenpäuschen und verzweifeltem hin und her grübeln, entschloss ich mich also mein System Neu und im abgesicherten Modus (mit F8) zu starten.
Als erstes führte ich einen HJT-Scan durch und meinte auch gleich den Übeltäter entdeckt zu haben (F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe) , welches mir der Spybot-Scan dann auch bestätigte, indem er 4 Einträge fand, die er alle dem Trojaner Win23.Agent.pz zuordnete.
Per "regedit" suchte ich den im Spybot angegebenen Pfad (HKEY_LOKAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurentVersion\Winlogon) und fand dort auch diese ntos.exe, die mir WinPatrol gemeldet hatte.
Ich versuchte per Spybot die Einträge zu löschen, jedoch konnte er nur einen Eintrag entfernen. Dann versuchte ich per HJT den Eintrag zu fixen, funktionierte auch nicht.
Vor lauter Ungedult, Wut und Hilflosigkeit versuchte ich den Eintrag per "regedit" manuell zu löschen...was auch erst funktionierte, aber nach einmal F5-drücken wieder da war.

Naja, ich dachte mir, ich starte nochmal neu im abgesicherten Modus und versuch es noch einmal mit dem Spybot...allerdings kam es garnicht so weit, da der Bildschirm nach dem "Wilkommen" Screen Schwarz blieb!
Auch ein weiterer Versuch war erfolglos und ich versuchte das System normal zu starten...aber auch dort kam nach dem "Wilkommen" nur mein Desktophintergrundsbild und der Maus-Cursor und sonst nichts, keine Schaltflächen, keine Icons, kein Rechtsklick funktionierte...
Die Profis unter Euch werden jetzt bestimmt schmunzeln und denken halb so wild, da wahrscheinlich nur der Explorer abgeschossen war (???), aber ich sah in dem Moment nur noch, dass meine ganzen Dateien ins Nirvana verschwunden waren und war vollkommen fertig mit der Welt!
Keine Ahnung wie ich darauf kam, aber irgendwie versuchte ich den Taskmanager zu starten und als dieser ansprang, gelang es mir die Systemwiederherstellung zu finden, und ich sah es in diesem Moment als einzigste Chance, mein System zurückzusetzen um wieder an meine Daten/Dateien zu kommen.
Gesagt, getan! Das System war wieder da!
Dann als erstes den Spybot scannen lassen und er fand nur noch einen Eintrag des Win32.Agent.pz, aber nicht die besagte ntos.exe im system32. Nach entfernen des Eintrags und erneutem Scan mit SB wurde kein Schädling mehr gefunden. Auch HJT konnte nichts mehr finden. Also fuhr ich Windows herunter und ging erstmal ins Bett.

Nach einer kurzen Nacht mit wenigen Stunden schlaf startete ich heute Mittag mein System wieder und scannte mit HJT und ließ die Logfile auswerten: meines Erachtens nach alles sauber. Auch SB fand keinen Agenten mehr.
Ebenfalls kann ich ausschließen, das mein Rechner umgeleitet wird, da die ip-Adresse passt (Berlin/Deutschland) und ein PortScan ergab, das alle Ports geschlossen sind.
Zusätzlich scannte ich mit dem "CLRAW" von Kaspersky und dem hier empfohlenen " Malwarebytes Anti-Malware ", die beide auch nichts finden konnten.

Abschließend werde ich jetzt noch einen eScan durchführen, und dann das Ergebnis, sowie die Logfiles von HJT und Malwarebytes Anti-Malware hier posten...



So, ich hoffe ihr seid nach meinem Roman noch nicht eingeschlafen, aber ich wollte es so ausführlich wie möglich schildern/resümieren, damit meine (Un-)Taten evtl. wieder ausgebügelt werden können?!

Zu meinen Fragen:

-War es wirklich sinnvoll mit einem befallenen System die Systemwiederherstellung zu verwenden???

-Kann es sein, dass ich diesen Win32.Agent.pz tatsächlich komplett von meinem System vertrieben habe?

-Ist es, falls dieses Ding noch da sein sollte, unbedingt nötig, mein System neu aufzusetzten?

-Ist es mit diesem System (so wie es im Moment ist) gefährlich Seiten zu besuchen, die persönliche Informationen verlangen, wie z.B. ebay, PayPal, eMail-Accounts, zwecks Keylogger etc.?

-und die letzte und für mich (fast) wichtigste Frage: Falls ich um ein Neuformatieren nicht drumherum komme, kann ich dann meine wichtigen Dateien, wie Bilder, Musik, Filme, pdf-Dokumente, Lesezeichen irgendwie retten und diese transferieren, bzw. kopieren? oder kann sich so ein Trojaner auch an diese Dateien heften?

Hoffe sehr, dass Ihr mir weiterhelfen könnt!?

Ganz dickes Danke schonmal im Vorraus!