Infizierter Registrierungswert: \Windows\CurrentVersion\Policies\Explorer\Run|10639

[th3CruSh3r]

Hallo @ all

Ich habe mir ein Virus eingefangen den ich nicht gelöscht bekomme.

Malwarebytes Anti-Malware 1.75.0.1300

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|10639 (Trojan.Agent) -> Daten: C:\PROGRA~3\LOCALS~1\Temp\msvtaonxw.exe -> Keine Aktion durchgeführt.


AdwCleaner, Junkware Removal Tool, ESET Online Scanner und SecurityCheck konnten es auch nicht löschen. Ich poste mal die Logs.

# AdwCleaner v2.303 - Datei am 25/06/2013 um 14:53:52 erstellt
# Aktualisiert am 08/06/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)
# Benutzer : Dragonwhisper - SKYNET
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Dragonwhisper\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Users\Dragonwhisper\AppData\Roaming\Mozilla\Firefox\Profiles\xgrcqwtn.default\jetpack

***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16490

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v19.0.2 (de)

Datei : C:\Users\Dragonwhisper\AppData\Roaming\Mozilla\Firefox\Profiles\xgrcqwtn.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v27.0.1453.116

Datei : C:\Users\Dragonwhisper\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

EsetOnlineScanner
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=808b8e896bb16448838cdf641267ba92
# engine=14153
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-06-25 06:55:58
# local_time=2013-06-25 08:55:58 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1032 16777213 100 89 23049 115354302 0 0
# compatibility_mode=5893 16776574 100 94 8905641 123816408 0 0
# scanned=145266
# found=1
# cleaned=0
# scan_time=11643
sh=26AE3D9D8A99009932610AC28C5C60397825439E ft=0 fh=0000000000000000 vn="JS/TrojanClicker.Agent.NDL trojan" ac=I fn="C:\Users\Dragonwhisper\AppData\Roaming\Mozilla\Firefox\Profiles\xgrcqwtn.default\extensions\hoverst@facebook.com.xpi"

 

[flo36]

Vor dem Booten F8 drücken und im abgesicherten Modus hochfahren. Dort dann die Datei Manuell löschen. Dann kannst du noch den betroffenen Registry Wert entfernen und gut ists. Dann mach ein Backup deiner Daten und setz die Kiste neu auf. Dem System ist nicht mehr zu trauen.

 

[t-6]

Vor dem Booten F8 drücken und im abgesicherten Modus hochfahren. Dort dann die Datei Manuell löschen. Dann kannst du noch den betroffenen Registry Wert entfernen und gut ists. Dann mach ein Backup deiner Daten und setz die Kiste neu auf. Dem System ist nicht mehr zu trauen.

Warum denn erst noch versuchen den Virus zu entfernen um dann doch das System neu aufzusetzen? ^^ Aber einverstanden, dem System ist nicht mehr zu trauen. Besser: Offline (per LiveLinux-CD o.Ä.) auf die Festplatte zugreifen und Daten sichern, dann Windows neu aufsetzen.

 

[abulafia]

Was ist das für ein Spamthreat? Du hast die komischen Tools benutzt, die hier http://www.trojaner-board.de/136909...entversion-policies-explorer-run-10639-a.html empfohlen werden? Ich habe zwar keine Ahnung was das für Tools sind, vielleicht habe ich da was verpasst. Intuitiv würde ich das als Müll aka Scareware oder Adware einstufen. Die Beiträge dort sind Spam.

Außer "Neuinstallation" gibt es hier keine Hilfe. Ergoogle dir mal einen ordentlichen Virenscanner und passende Live-CDs. Und such dir einen Freund, der dir wirklich helfen kann, oder du musst für gute Ratschläge bezahlen. Oder zahlst die Unkenntnis hier mit deiner Lebenszeit und plättest tumb einfach mal alles. Am sichersten natürlich nach Gutmann 35 mal überschreiben damit sich der Supervirus nicht selbständig wiederherstellt.
Außerdem solltest du dein Mainboard austauschen, da du nicht sichern sein kannst, dass dein BIOS nicht infiziert wurde.

http://www.emsisoft.de/de/software/eek/ und insbesondere http://www.emsisoft.de/de/software/blitzblank/

Allgemein kannst du CCleaner nutzen, um Temp-Dateien des Browsers zu löschen. Außerdem kannst du ein neues Firefox-Profil erstellen.