Hallo
Ich brauche doch mal wieder Eure Hilfe! Vor zwei Tagen schlug Spybot Alarm, es sollen wichtige registry-Einträge geändert werden, was ich mir verbat. Auszug aus dem Spybot-log:
Zitat:
08.09.2009 10:43:36 Verweigert value "TaskMan" (new data: "") gelöscht in Winlogon!
08.09.2009 10:44:08 Verweigert value "Shell" (new data: "explorer.exe,C:\RECYCLER\S-1-5-21-5868353297-1646109666-855300806-3397\nissan.exe") hinzugefügt in Winlogon!
08.09.2009 10:44:21 Verweigert value "TaskMan" (new data: "C:\RECYCLER\S-1-5-21-5868353297-1646109666-855300806-3397\nissan.exe") geändert in Winlogon!
|
Das ging dann ewig so weiter, bis ich mich ausloggte. Dann kam ich in meinen account nicht mehr rein, bis ich den Rechner heruntergefahren hatte. Nach dem Hochfahren meldete windows einen Fehler der Anwendung nissan.exe, die beendet werden müsse. Auszug aus dem Microsoft Dr Watson log:
Zitat:
Anwendungsausnahme aufgetreten:
Anwendung: C:\RECYCLER\S-1-5-21-5868353297-1646109666-855300806-3397\nissan.exe (pid=2868)
Wann: 10.09.2009 @ 18:09:32.109
Ausnahmenummer: c0000005 (Zugriffsverletzung)
|
.
Unter dem angegebenen Pfad (im Papierkorb) ließ sich keine datei nissan.exe finden, obwohl ich alle Dateien anzeigen ließ. Ein Scan mit Bit-Defender ergab folgendes Ergebnis:
Zitat:
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\714.exe Worm.Generic.85813 Gelöscht
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\392.exe Worm.Generic.85813 Gelöscht
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\800.exe Worm.Generic.85813 Gelöscht
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K0IY9V2E\zlatibor[1].exe Worm.Generic.85813 Gelöscht
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N1R4WQZQ\zlatibor[1].exe Worm.Generic.85813 Gelöscht
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N1R4WQZQ\zlatibor[2].exe Worm.Generic.85813 Gelöscht
|
Da offensichtlich das Problem "nissan.exe" nicht behoben war, googelte ich und wurde hier:
Zitat:
|
hxxp://zorasaroz.blogspot.com/2009/08/stop-wwwthenewspediacom-from-opening-in.html
|
auf die Entfernung mittels
Malwarebytes hingewiesen. Malwarebytes fand dann Trojan.TDSS und entfernte angeblich alles. Meine Frage: Ist mein System wirklich sauber? (Ich habe leider kein aktuelles Image zum Neu-Aufsetzen, ich Depp!)
Hier das Malwarebytes-log:
Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2773
Windows 5.1.2600 Service Pack 3
10.09.2009 19:20:25
mbam-log-2009-09-10 (19-20-25).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 215083
Laufzeit: 35 minute(s), 4 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A2751ZGN\sock[1].exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\338.exe (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HSPOQLIR\sock[1].exe (Trojan.TDSS) -> Quarantined and deleted successfully.
|
11.09.2009, 00:16
Baum-Darstellung