"Windows Restore" Fenster - Nachrichtenfenster über Systemfehler - unaufgeforderter Systemneustart

Lukullus

Liebes TB-Team,

mein Problem lässt sich ziemlich genau mit dem google.de Fund beschreiben:

http://www.trojaner-board.de/97186-w...entfernen.html

Habe dann alles gemacht, wie beschrieben. Zuerst den "rkill.com" über mein System gejagt. Die "Symptome" sind danach verschwunden.

LOG:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 08.04.2011 at 14:44:20.
Operating System: Windows Vista (TM) Home Premium


Processes terminated by Rkill or while it was running:

C:\Program Files\McAfee.com\Agent\mcagent.exe
C:\ProgramData\wWrdTMJysnURH.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Users\***\Downloads\eXplorer.exe
C:\Users\***\Downloads\eXplorer.exe


Rkill completed on 08.04.2011 at 14:56:56.

Danach habe ich die "Malwarebytes' Anti-Malware" drüberlaufen lassen. Allerdings nen vollständigen Scan. Hier poste ich das LOG

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6310

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

08.04.2011 19:24:39
mbam-log-2011-04-08 (19-24-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 378731
Laufzeit: 4 Stunde(n), 43 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
c:\programdata\wwrdtmjysnurh.exe (Trojan.FakeAlert) -> 4920 -> Unloaded process successfully.
c:\programdata\43376392.exe (Rogue.FakeHDD) -> 5568 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wWrdTMJysnURH (Trojan.FakeAlert) -> Value: wWrdTMJysnURH -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Users\***\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programdata\wwrdtmjysnurh.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programdata\43376392.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Users\***\AppData\Local\Temp\tmpF54B.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\***\downloads\installcasino.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\Users\***\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore\uninstall windows restore.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\***\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore\windows restore.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\***\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.




Zum Schluss noch die Dateien wiederhergestellt mit dem Programm "unhide".

schonmal im Voraus.