| |
| |||||||
Log-Analyse und Auswertung: Windows recovery MalwareWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
| |
08.05.2011, 15:13
| #1 |
| |  Windows recovery Malware Hallo Team, auch mich hat es mit diesem blöden Windows recovery erwischt. - rkill.exe wurde ausgeführt und Prozess gekillt - malwarebytes quick scan durchgeführt und per Neustart die Funde entfernt Log: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6530 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08.05.2011 10:52:09 mbam-log-2011-05-08 (10-52-09).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 135575 Laufzeit: 3 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 1 Infizierte Dateien: 12 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: c:\WINDOWS\redap2d.dll (Trojan.Hiloti) -> Delete on reboot. c:\WINDOWS\izecuhuhone.dll (IPH.Trojan.Hiloti.B) -> Delete on reboot. Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Wsohupufax (Trojan.Hiloti) -> Value: Wsohupufax -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Itayibiyixev (IPH.Trojan.Hiloti.B) -> Value: Itayibiyixev -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Cycbot.Gen) -> Value: conhost -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NuHveRXdmtu (Trojan.FakeAlert) -> Value: NuHveRXdmtu -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Delete on reboot. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Cycbot.Gen) -> Bad: (C:\DOKUME~1\Prosch\LOKALE~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: c:\dokumente und einstellungen\Prosch\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully. Infizierte Dateien: c:\WINDOWS\redap2d.dll (Trojan.Hiloti) -> Delete on reboot. c:\WINDOWS\izecuhuhone.dll (IPH.Trojan.Hiloti.B) -> Delete on reboot. c:\dokumente und einstellungen\Prosch\anwendungsdaten\microsoft\conhost.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\all users\anwendungsdaten\nuhverxdmtu.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Prosch\lokale einstellungen\Temp\csrss.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Prosch\anwendungsdaten\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Prosch\lokale einstellungen\Temp\0.5057426990979725.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Prosch\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Prosch\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Prosch\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Prosch\anwendungsdaten\Adobe\plugs\mmc109.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Prosch\anwendungsdaten\Adobe\plugs\mmc127.exe (Trojan.Agent) -> Quarantined and deleted successfully. Da ich jetzt nicht blind mit Vorgaben aus anderen Threads weitermachen möchte, benötige ich Hilfe. danke & Gruss notify |
| Themen zu Windows recovery Malware |
| adobe, anti-malware, backdoor.cycbot.gen, bli, center, csrss.exe, dateien, disabletaskmgr, einstellungen, explorer, hijack.shell, host.exe, log, malwar, malware, malwarebytes, microsoft, neustart, programme, prozess, recovery, scan, security, software, system, temp, trojan.agent, trojan.fakealert, windows, winlogon |
Baum-Darstellung