mediashifting.com, avira deaktiviert und manche programme laufen nicht mehr ...
guten morgen,
ich habe seit 2 tagen ein grosses problem mit meine pc.
erst öffnete sich immer wieder ein neuer tab im firefox mit "mediashifting.com",
seite kann aber nicht gefunden werden.
dann merkte ich, dass avira deaktiviert wurde, tuneup läuft nicht mehr und auch acrobat pro geht nicht mehr.
avir habe ich neu installiert und dann ging es nach den zweiten neustart nicht mehr. dann habe ich es noch mal installiert und für die exe dateien ein schreibschutz gesetzt, seit dem läuft es.
gefunden wurde W32/PatchLoad.A' [virus]
malwarebytes habe ich installiert mit folgenden ergebnis: Zitat:
Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org
Datenbank Version: v2011.12.28.02
Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
FINI :: FINI-PC [Administrator]
Schutz: Aktiviert
28.12.2011 11:46:53
mbam-log-2011-12-28 (11-46-53).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 179803
Laufzeit: 4 Minute(n), 15 Sekunde(n)
Infizierte Speicherprozesse: 1
C:\ProgramData\fmtcsr.exe (Trojan.Agent) -> 3700 -> Löschen bei Neustart.
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\XML (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Registrierungswerte: 9
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|fmtcsr (Trojan.Agent) -> Daten: C:\ProgramData\fmtcsr.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|csconfig (Trojan.Agent) -> Daten: C:\Users\FINI\AppData\Roaming\csconfig.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|ComRepl (Trojan.Agent) -> Daten: C:\Users\FINI\AppData\Roaming\MICROS~1\comrepl.exe /waitservice -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Esent Utl (Trojan.Agent) -> Daten: C:\Users\FINI\AppData\Roaming\MICROS~1\esentutl.exe /waitservice -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Spool (Trojan.Agent) -> Daten: C:\Users\FINI\AppData\Local\Temp\spoolsv.exe /waitservice -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|MqtgSVC (Trojan.Agent) -> Daten: C:\Users\FINI\AppData\Local\Temp\mqtgsvc.exe /waitservice -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|CmSTP (Trojan.Agent) -> Daten: C:\Users\FINI\AppData\Roaming\cmstp.exe /waitservice -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Rodecap) -> Daten: C:\Users\FINI\LOCALS~1\APPLIC~1\MICROS~1\mqtgsvc.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|MstInit (Trojan.Agent) -> Daten: C:\Users\FINI\LOCALS~1\APPLIC~1\MICROS~1\mstinit.exe /waitservice -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 4
C:\ProgramData\fmtcsr.exe (Trojan.Agent) -> Löschen bei Neustart.
C:\Users\FINI\AppData\Roaming\csconfig.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FINI\AppData\Local\Temp\configbalancer.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FINI\AppData\Local\Temp\1F69.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
| und noch einmal: Code:
Malwarebytes Anti-Malware (PRO) 1.60.0.1800
www.malwarebytes.org
Datenbank Version: v2011.12.29.02
Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
FINI :: FINI-PC [Administrator]
Schutz: Aktiviert
29.12.2011 12:13:09
mbam-log-2011-12-29 (12-13-09).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 979466
Laufzeit: 3 Stunde(n), 59 Minute(n), 44 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 1
C:\Windows\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Löschen bei Neustart.
(Ende)
leider öffnet sich immer noch ein neuer tab mit:
mediashifting.com/?search=blizzard&subid=193&key=d01d5154cf9cfaa3c42b&p=1
was kann ich jetzt noch machen?
danke für eure hilfe!
fini | 