TR/Dropper.Gen

Angelsboy · 08.09.2009, 17:09

also bin ich meine infektion jetzt los ?? ^^....

naja wenn ja ... wie sollt ich weiter machen ich will ja nich gerade das das wieder vorkommt...

wie kann ich mich schützten und ja ...

grus
Keks

john.doe · 08.09.2009, 17:21

1.) Deinstalliere:

Java(TM) 6 Update 6
Kaspersky Online Scan
Prevx

2.) Installiere:

Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000000

Folder::
C:\rsit

DirLook::
c:\users\Enrico\AppData\Local\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
c:\users\Enrico\{4646f5f8-a9d0-478f-b69c-ebca0c4e974d}
c:\users\Enrico\{0eb8b3e3-2641-4293-b83c-fa22bd338eb6}
C:\0fbda056520649610fbc7a3b7f6c7a02

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Angelsboy · 07.09.2009, 00:27

nichts der gleichen ... wieso ??? ...

hier mal der anti spyware log

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/07/2009 at 02:18 AM

Application Version : 4.28.1010

Core Rules Database Version : 4086
Trace Rules Database Version: 2026

Scan type       : Complete Scan
Total Scan Time : 03:23:21

Memory items scanned      : 903
Memory threats detected   : 0
Registry items scanned    : 6453
Registry threats detected : 0
File items scanned        : 145270
File threats detected     : 22

Adware.Tracking Cookie
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@at.atwola[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@cdn.at.atwola[1].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@advertising[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@apmebf[1].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@doubleclick[1].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@weborama[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@atwola[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@adfarm1.adition[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@tacoda[1].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@mediaplex[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@atdmt[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@2o7[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@atdmt[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@msnportal.112.2o7[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@weborama[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@atdmt[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@serving-sys[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@bs.serving-sys[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@weborama[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@atdmt[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@serving-sys[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@bs.serving-sys[2].txt

john.doe · 07.09.2009, 15:50

Zitat:

nichts der gleichen ... wieso ??? ...

Weil ein Eintrag, den ComboFix schon längst gelöscht hat, bei Malwarebytes wieder aufgetaucht ist. Das ist mehr als bedenklich. Deinstalliere SuperAntiSpyware.

ciao, andreas

TR/Dropper.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

Ähnliche Themen: TR/Dropper.Gen

08.09.2009, 17:09	#1
Angelsboy	TR/Dropper.Gen also bin ich meine infektion jetzt los ?? ^^.... naja wenn ja ... wie sollt ich weiter machen ich will ja nich gerade das das wieder vorkommt... wie kann ich mich schützten und ja ... grus Keks