Zitat:
|
Ich habe vor kurzem den großen Fehler gemacht, mit meinem USB Stick Daten aus einem Copy Shop nach Hause zu nehmen, woraufhin sich ein ganzer Haufen von Malware auf meinem PC eingeschlichen hat.
|
Folgendes:
Zitat:
|
C:\WINDOWS\system32\c_146939.nls
|
das ist schon übel
das sieht auch nicht gut aus, wenn es denn so war. Auch nicht mehr wirklich nachvollziehbar, da entweder gelöscht oder durch die Verseuchungen verschleiert. Deshalb sparen wir uns auch die Suche und Versuche, sie bei Virustotal hochzuladen:
Zitat:
n der Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/VB.htg.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'
enthielt einen Virus oder unerwünschtes Programm 'BDS/IRC.ZGG.11' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe'
enthielt einen Virus oder unerwünschtes Programm 'WORM/Autorun.rhv' [worm].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
Die Datei 'I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
|
Zitat:
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
|
Hast du dir mit NLite ein eigenes Windows gebastelt???
Zitat:
|
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/AEAB5~1.92E/LOKALE~1/Temp/msohtmlclip1/01/clip_image001.jpg
|
Wo haste das denn her???
Zitat:
|
Ich habe von einem anderen Rechner aus alle wichtigen Passwörter abgeändert und vermeide es, mit dem infizierten PC ins Internet zu gehen
|
Weise Entscheidung!!!
Fazit:
Dein System ist alles andere als vertrauensvoll. Platt
machen und nach der folgenden Anleitung
NEUAUFSETZEN
Will hier auch nicht genauer erforschen, woher diese derartige Verseuchung tatsächlich stammt.
Viele Grüsse
Björn
02.01.2009, 23:25
Hybrid-Darstellung
