| circumcisio | 23.05.2011 22:57 |
"Systray .exe stub" - Schädling
Hallo und guten Abend,
heute bekam ich von meinem Avira Antivir die Meldung, ich hätte mich mit Malware infiziert. Komischerweise brachten allerdings zwei Komplettscans kein Ergebnis. Ich wurde allerdings misstrauisch und mir fiel auf, dass die Konsolentaste bei einmaligem Drücken, direkt zwei "^^" auf den Bildschirm zauberte. Ich habe mal gehört, das ist ein Anzeichen für einen Keylogger, oder Ähnlichem.
Desweiteren tauchte ein neuer Prozess im Taskmanager auf, der zum Beispiel DF042A23.exe hieß. So ähnlich zumindest. Die Beschreibung war stets "Systray .exe stub" und wenn ich diesen Prozess beendete, kam er unter anderem Namen direkt wieder. Firefox sendete mir "Invalid Method Request" oder manchmal einfach nur einen "Bad Request", wenn dieser Prozess aktiv war und machte das Surfen so unmöglich. Im Explorer führte mich das Klicken auf Google-Links zu dubiosen Werbeseiten, anstatt zu meinem gewünschten Link.
Also habe ich hier nach Rat gesucht und einen kompletten Anti-Malware Bytes Scan durchgeführt. Es hat über 20 (!) infizierte Dateien gefunden, die Avira mir vorher alle nicht gefunden hatte...
Ich habe die infizierten Dateien dann entfernt und poste den Log: Code:
Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 14
Infizierte Speicherprozesse:
c:\Users\Jan\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 1740 -> Unloaded process successfully.
c:\Users\Jan\AppData\Roaming\microsoft\conhost.exe (Backdoor.Bot) -> 7644 -> Unloaded process successfully.
c:\Users\Jan\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> 1328 -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Bot) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\Users\Jan\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
c:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.
Infizierte Dateien:
c:\Users\Jan\AppData\Roaming\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\microsoft\conhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\$Recycle.Bin\s-1-5-21-1849473199-1611605218-719038365-1000\$RKD9OHE.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\$Recycle.Bin\s-1-5-21-1849473199-1611605218-719038365-1000\$RN9V351.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\LocalLow\Sun\Java\deployment\cache\6.0\59\21140fbb-222fa792 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\LocalLow\Sun\Java\deployment\cache\6.0\59\21140fbb-4cafd6d8 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\plugs\mmc14160070.txt (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\zrpt.xml (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\recycle.bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\plugs\mmc104.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\plugs\mmc147.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\plugs\mmc183.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Jan\AppData\Roaming\Adobe\plugs\mmc59.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ich fürchte aber trotzdem um meine Accounts und die Beunruhigung, die mich anfangs beschlich, beginnt nun, der Panik Tür und Tor zu öffnen.
Ist jetzt alles weg, oder kann man das nicht sagen?
Zusätzlich bitte ich um einen kurzen Rat: Welchem Anti-Viren Programm kann ich vertrauen? Es darf auch was kosten. Ich werde Avira löschen, da mein Vertrauen in das Programm nicht mehr gegeben ist.
Ich würde mich über Hilfe freuen und bedanke mich für die Aufmerksamkeit.
Grüße,
Jan | 