Habe heute auf meinem XP-32 SP3 diese Malware-Hinweise erhalten:
Zunächst gab es von Avira AntiVir Free Version die Warnung:
1 versteckter System Thread wurde gefunden, aber kein Virus.
Trend Micro HijackThis v2.0.4 meldete etwa folgendes:
F2 - REG:system.ini: Shell=
GMER 1.0.15.15641 Rootkit Scan meldete:
Thread System [4:152] B9DCA300
RegEdit meldete Lesefehler beim Versuch auf den Eintrag "Shell" zuzugreifen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
normalerweise steht dort: "Shell"="Explorer.exe"
RootKitRevealer meldete ebenfalls "Shell" als "hidden for Windows API". Beim Versuch die Meldungen abzuspeichern, gab es HD-Zugriffsfehler. Eventuell war der Scan-Vorgang von RootKitRevealer aber noch nicht beendet.
Nach dem Killen des RootKitRevealer Prozesses fingen dann sofort sehr intensive Festplattenzugriffe ohne ersichtlichen Grund an zu laufen.
Beim Aufruf von ProcessExplorer zeigte sich dann offen erkennbar ein Shell-Prozess "CMD" dafür verantwortlich und ließ sich killen.
Habe das verseuchte System danach mit Acronis gesichert und mein 14 Tage altes, aber sauberes Backup wieder zurückgespielt.
Wer hat diese Malware ebenfalls schon gehabt und wie entfernt?
Zunächst gab es von Avira AntiVir Free Version die Warnung:
1 versteckter System Thread wurde gefunden, aber kein Virus.
Trend Micro HijackThis v2.0.4 meldete etwa folgendes:
F2 - REG:system.ini: Shell=
GMER 1.0.15.15641 Rootkit Scan meldete:
Thread System [4:152] B9DCA300
RegEdit meldete Lesefehler beim Versuch auf den Eintrag "Shell" zuzugreifen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
normalerweise steht dort: "Shell"="Explorer.exe"
RootKitRevealer meldete ebenfalls "Shell" als "hidden for Windows API". Beim Versuch die Meldungen abzuspeichern, gab es HD-Zugriffsfehler. Eventuell war der Scan-Vorgang von RootKitRevealer aber noch nicht beendet.
Nach dem Killen des RootKitRevealer Prozesses fingen dann sofort sehr intensive Festplattenzugriffe ohne ersichtlichen Grund an zu laufen.
Beim Aufruf von ProcessExplorer zeigte sich dann offen erkennbar ein Shell-Prozess "CMD" dafür verantwortlich und ließ sich killen.
Habe das verseuchte System danach mit Acronis gesichert und mein 14 Tage altes, aber sauberes Backup wieder zurückgespielt.
Wer hat diese Malware ebenfalls schon gehabt und wie entfernt?