Trojaner-Board - posadi17 im IE

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - posadi17 im IE (https://www.trojaner-board.de/153524-posadi17-ie.html)

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

C:\Users\Heiner\AppData\Roaming\InetStat

HKU\.DEFAULT\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2012-01-03] (Microsoft Corporation) <==== ATTENTION 

HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2012-01-03] (Microsoft Corporation) <==== ATTENTION 

HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2012-01-03] (Microsoft Corporation) <==== ATTENTION 

HKU\S-1-5-21-1672989923-2146060953-3799598713-1000\...\Run: [InetStat] => C:\Users\Heiner\AppData\Roaming\InetStat\inetstat.exe [1260648 2014-04-26] ()

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-05-2014 01

Ran by Heiner at 2014-05-13 13:27:20 Run:1

Running from C:\Users\Heiner\Desktop

Boot Mode: Normal

==============================================
 

Content of fixlist:

*****************

C:\Users\Heiner\AppData\Roaming\InetStat

HKU\.DEFAULT\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2012-01-03] (Microsoft Corporation) <==== ATTENTION 

HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2012-01-03] (Microsoft Corporation) <==== ATTENTION 

HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2012-01-03] (Microsoft Corporation) <==== ATTENTION 

HKU\S-1-5-21-1672989923-2146060953-3799598713-1000\...\Run: [InetStat] => C:\Users\Heiner\AppData\Roaming\InetStat\inetstat.exe [1260648 2014-04-26] ()

         

*****************
 

C:\Users\Heiner\AppData\Roaming\InetStat => Moved successfully.

HKU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.

HKU\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.

HKU\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.

HKU\S-1-5-21-1672989923-2146060953-3799598713-1000\Software\Microsoft\Windows\CurrentVersion\Run\\InetStat => Value deleted successfully.
 

==== End of Fixlog ====

Hallo Schrauber
nach einem heutigen Neustart (Windows-Update) war posadi17 wieder verschwunden. Hat Microsoft vielleicht ein Sicherheitsupdate dagegen erstellt?
Liebe Grüße
lillimucki

P.S. ich werde weiter beobachten, ob posadi17 dauerhaft verschwunden ist!

Nee, ich denke eher der FRST fix hats gebracht ;)