Hallo Leute,

seit heute (ka was meine sis gemacht hat), bekomme ich jede 10 Sekunden eine Avira Anti Vir Meldung!

Meldung: WINDOWS/temp/de_1 Crypted.exe

TR/Drogger.gen

Ich lösche es, es verschwindet im Ordner und kommt wieder!

Nun, irgendwo habe ich gelesen, dass man die Systemwiederherstellung deaktivieren soll! Habe ich getan!

Dann habe ich auf Löschen (bei der Meldung) geklickt, PC neugestartet und jetzt kommt nix mehr!

Aber ich hab auch gelesen, dass das sehr gefährlich sein kann bezüglich Kontodaten etc.

Nun habe Malwarebytes Anto-Malware durchlaufen lassen und 13 infizierte Objekte gefunden und alle entfernt

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3533
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.05.2010 01:08:27
mbam-log-2010-05-02 (01-08-27).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 255548
Laufzeit: 1 hour(s), 37 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\System Volume Information\_restore{9D83C635-DF5C-43AB-B5CE-6E998A4723EA}\RP157\A0050085.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.


Was soll ich jetzt tun?
Ich will sicher gehen, ohne zu formatieren, dass mein PC wieder sauber genug ist! Help pls!

Hallo und

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3533

Muss aktualisiert werden auf Version 1.46 und Datenbank Version min. 4060.
Bitte dann einen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.