Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?

atca

Hallo,

mein Bürosystem ist ein Windows XP System, Windows jeweils auf dem aktuellen Stand.

Ca. Anfang März dieses Jahres habe ich mir auf diesem System eine Infektion mit einer Version des "Bundespolizeivirus" geholt. Mit einer Kaspersky-Boot-CD ist es mit dann letztlich gelungen, den PC wieder lauffähig zu machen, zumindest vordergründig.

Da alles wieder normal lief, dachte ich, das Problem sei behoben.

Vor gut zwei Wochen wurde dann Ende April mein ebay-Account gehackt. Die Neueinrichtigung des Passwortes habe ich dann auch vom Büro aus vorgenommen. Kurz darauf, noch innerhalb eines Tages, war mein neues ebay-Passwort schon wieder geändert worden. Das war für mich völlig neu und erschreckend zugleich.

Erst dann bin ich darauf gekommen, dass sich auf dem PC wohl ein Keylogger eingerichtet haben muß. Da mir außer dem Bundespolizei-Virus zuvor nichts aufgefallen war, dachte ich, dass es damit zusammenhängt.

Anschließend habe ich Scans mit Security Essentials und MBAM gemacht. Security Essentilas aber insbesondere auch MBAM haben zwei drei Sachen gefunden, allerdings weiß ich nicht mehr, was es war. Ich wollte ohnehin bei nächster Gelegenheit ein Image zurückspielen und die fehlenden Daten wieder ergänzen.

Heute habe ich heute nach Formatierung des Systemlaufwerkes ein Acronis-Image zurückgespielt. Dieses habe ich anschließend mit Security Essentials auf aktuellem Stand ohne Befund vollgescannt.
Danach habe ich einen Vollscan von Spyware-Terminator laufen lassen, ebenfalls ohne Befund.

Zu guter letzt habe ich mich dann noch für MBAM entschieden. Und MBAM findet im Quickscan jetzt folgendes:

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 189358
Laufzeit: 3 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\Temp\TMP00000001F2FC1F03AC2AE68D (Trojan.Dropper) -> Keine Aktion durchgeführt.

(Ende)


Komisch erscheint mir dabei, dass die angeblich infizierte Datei keine Endung trägt, und 256kb groß ist, so wie mehrere weitere ähnlich bezeichnete "TMP0000....."-Dateien gleicher Größe.

Danach habe ich laut Eurer Anleitung Scans mit dds und danach mir GMER gemacht.

Die Ergebnisse habe ich angefügt.

Mich interessiert nun, ob ich den MBAM-Fund in den temporären Dateien einfach löschen und das System weiter nutzen kann oder ob es weiterhin Anzeichen für eine ernsthafte Gefährdung gibt, d.h. bereits zum Zeitpunkt der Erstellung des Acronis Image nicht zu beseitigende Schadsoftware auf dem System vorhanden war.

Da das Neuaufsetzen sehr zeitaufwendig wäre und genau dies durch die Fertigung eines Acronis Image vermieden werden sollte, wäre ich dankbar, wenn es auch ohne dies ginge, das System im jetzigen Zustand weiter zu nutzen und ggf. noch besser abzusichern.

Im Voraus schon vielen Dank für Eure Engagement,

Markus