Hallo zusammen,
hab da ein Problem.
Und zwar ist follgendes passiert:
Ich habe per Icq von einer meiner Kontakte, eine *.scr-Datei bekommen. Ohne zu überlegen habe ich diese geöffnet. Sofort meldete sich mein Antivirusprogramm und gab mir an das es einen Fund gibt und zwar den TR/Dropper.Gen

Da draufhin habe ich den Fund per Antivir gelöscht. Nun hab ich bedenken, dass vielleicht der Trojaner nicht entfernd wurde (oder so was in der Art...).

Da ich mich ganricht damit auskenne, hoffe ich auf eine freundliche und *Anfänger* geeignete Antwort.


Habe soweit den Theart :* Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen * gelesen.
Hab auch schon den eScan durchlaufen lassen.Den log poste ich gleich da drunter. (Hoffe ich hab es richtig gemacht)
Zudem habe ich unter ../../system32/drivers/ geschaut ob die Dateien *runtime2.sys* oder *ip6fw.sys* vorhanden sind. Habe nur die Datei *ip6fw.sys* gefunden.

Ich danke für Eure Zeit und Hilfe.

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Das ist die Auswertung vom eScan. Hoffe ich hab bis jetzt alles Richtig gemacht. Bitte entschuldigt, wenn ich was vergessen habe. Muss ich noch was machen ?

Danke noch mals für Eure Hilfe.



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 11.0.86
Sprache: German
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
ati2evxx.exe - C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
ati2evxx.exe - Ati2evxx.exe -Client
explorer.exe - C:\WINDOWS\Explorer.EXE
spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe
sched.exe - "C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"
RTHDCPL.EXE - "C:\WINDOWS\RTHDCPL.EXE"
avgnt.exe - "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
vsnpstd3.exe - "C:\WINDOWS\vsnpstd3.exe"
SweetIM.exe - "C:\Programme\SweetIM\Messenger\SweetIM.exe"
CLI.exe - "C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE" Runtime
SearchProtection.exe - "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"
ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe"
svchost.exe -
mdjiag.exe - "C:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\mdjiag.exe" mdjiag
avguard.exe - "C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"
ICQ Service.exe - "C:\Programme\ICQ6Toolbar\ICQ Service.exe"
jqs.exe - "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"
SeaPort.exe - "C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe"
svchost.exe - C:\WINDOWS\system32\svchost.exe -k imgsvc
YahooAUService.exe - "C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe"
wmiapsrv.exe - C:\WINDOWS\system32\wbem\wmiapsrv.exe
wmiprvse.exe -
alg.exe -
CLI.exe - "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" -hide Wizard
CLI.exe - "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" -hide SystemTray
firefox.exe - "C:\Programme\Mozilla Firefox\firefox.exe"
TeamViewer.exe - "C:\Programme\TeamViewer\Version4\TeamViewer.exe"
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Download\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 12:03:28,39
Batchende: 12:03:33,04

Bitte kein eScan mehr verwenden! Das Tool wird hier schon lange nicht mehr supportet!

Bitte entschuldigt , habe nicht drauf geachtet, dass eScan nicht mehr verwendet wird =)

Also ich hab nun ccleaner durchlaufen lassen.
Malwarebytes-Anti-Malware eben so.
Und RSIT - Randoms System Information Tool auch.

Die logs hab ich nun in eine *.zip-Datei gepackt und hoch geladen.
Hoffe ich hab alles richtig gemacht soweit.

Der Link : >> klick <<

Danke für Eure Gedult mit mir =)
Hoffe Ihr könnt mir helfen.

Zitat:

C:\WINDOWS\Bifrost\update.exe(Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\a.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Äh sry, aber bei diesen Funden kann ich eine Bereinigung nicht mehr verantworten!!
Du solltest Dir selbst ein Gefallen tun und das System komplett formatieren und neu installieren!!

Daten jetzt noch zu sichern ist möglich, Ihr solltet da nur drauf achten, dass keine ausführbaren Dateien (zB *.exe oder *.msi) sondern wirklich nur reine Datendateien (Bilder, Musik, Videos, Dokumente) gesichert werden.

Den eigentlichen Sicherungsvorgang durchzuführen ist IMHO am einfachsten über eine Live-CD auf Basis von Linux (zB Knoppix, Parted Magic oder über eine Ubuntu-Installations-CD mit Live-Modus) zu bewerkstelligen. Live-CD deswegen, damit das verseuchte Windows den Sicherungsvorgang nicht beeinträchtigen kann! Backup dann auf externe Platte. Ein paar Linuxkenntnisse wären deutlich von Vorteil.
Anderer Weg wäre eine Live-CD auf Basis von Windows XP, muss man sich aber selber basteln mit dem pebuilder (so schwer ist das nicht, man braucht aber einen lauffähigen sauberen! Windows-PC.
Platten ausbauen und an einen anderen lauffähigen Rechner anschließen geht auch, aber man muss aufpassen, dass man sich da das System nicht versaut und etwas Hardwarekenntnisse wären auch wieder von Vorteil