| phoenix2908 | 31.08.2009 19:22 |
'TR/Crypt.ZPACK.Gen' in der Datei 'C:\WINDOWS\System32\twext.exe'
Hallo Experten,
hab mich schon durchs Forum gelesen und gesehen, dass der Trojaner häufiger vorkommt. Die Empfehlung das System neu aufzusetzen würde ich gerne beherzigen, das Problem ist jedoch, dass ich keine Recovery-CD habe, und ich nicht weiß, ob es klug ist, mit einem Verseuchten PC eine Recovery-CD zu erstellen (falls das überhaupt geht, ich bin da etwas unbedarft). Deshalb würde ich mich über jede tatkräftige Hilfe sehr freuen!!
Also, CCleaner hab ich durchgeführt. Ein Registry-Eintrag hat sich partout nicht löschen lassen, auch nach mehrfachen Versuchen.
Der Malwarebytes-Scan ergab folgendes: Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2722
Windows 6.0.6001 Service Pack 1
31.08.2009 20:19:27
mbam-log-2009-08-31 (20-19-27).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 235020
Laufzeit: 1 hour(s), 31 minute(s), 31 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5
Infizierte Speicherprozesse:
C:\WINDOWS\System32\twext.exe (Backdoor.Bot) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\twext.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: system32\twext.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Windows\system32\twext.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\WINDOWS\System32\twain_32 (Backdoor.Bot) -> Delete on reboot.
Infizierte Dateien:
C:\Users\HP laptop\AppData\Roaming\Adobe\mmplayer.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Users\HP laptop\Music\2-Reflexorator2.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
C:\WINDOWS\System32\twain_32\local.ds (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\System32\twain_32\user.ds (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\System32\twext.exe (Backdoor.Bot) -> Delete on reboot.
|
jetzt muss ich mal eben rebooten, schicke deshalb das post schon ab, RSIT folgt gleich! | 