Ik heb vandaag te maken met een vrij nieuw trojanvirus CYBOT.B
Na wat googlen schijnt Malwarebytes Anti-Malware soelaas te bieden. Dus ik haal die freeware binnen en scan mijn systeem (Vista). Na de scan verwijder ik de geïnfecteerde files. Ik voeg hieronder het logboek toe van deze actie. De virus is nu onder controle...maar euh... mijn internet explorer werkt niet meer. Emailen lukt nog wel.
Zou ik een systeemherstel uitvoeren ? Heb nog nooit een systeem herstelpunt vastgelegd en heb ook nooit een backup gemaakt (slim !). De virus was sinds vandaag 23/01 actief. Wat best te doen nu ?
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Databaseversie: 5577
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
23/01/2011 18:23:25
mbam-log-2011-01-23 (18-23-25).txt
Scantype: Snelle scan
Objecten gescand: 140565
Verstreken tijd: 3 minuut/minuten, 5 seconde(n)
Geheugenprocessen geïnfecteerd: 2
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 3
Registerdata geïnfecteerd: 1
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
c:\Users\stanny & ponnie\AppData\Roaming\microsoft\conhost.exe (Trojan.Downloader) -> 2328 -> Unloaded process successfully.
c:\Users\stanny & ponnie\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 5748 -> Unloaded process successfully.
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.
Registerdata geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Downloader) -> Bad: (C:\Users\STANNY~1\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
c:\Users\stanny & ponnie\AppData\Roaming\microsoft\conhost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Stanny & Ponnie\AppData\Local\Temp\csrss.exe (Trojan.Downloader) -> Delete on reboot.
c:\Users\stanny & ponnie\AppData\Roaming\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\stanny & ponnie\AppData\Local\Temp\ms0cfg32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\stanny & ponnie\local settings\temporary internet files\Content.IE5\GQCFECQA\tnjlpwg3[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.