TR/Dropper.Gen auch bei mir...
 

Hallo.. auch ich habe mir den Dropper eingefangen.. HJT-Log:



Auffällig sind ja die ganzen Banken da drin o.O
Ich hab btw schonmal die Systemwiederherstellung deaktiviert, den Dropper mit Antivir runtergeschmissen und den PC neugestartet, (Systemwiederherstellung wieder aktiviert) den CCleaner drübergejagt und dann den HJT..

Bin ich ihn los? muss ich noch was machen?
Danke schonmal im vorraus für eventuelle Hilfe.. :)

Edit:
Nochmal den bericht von AntiVir:

Hallo Tegrity

Lade bitte Malwarebytes und lass es nach Anleitung laufen

Irgend etwas unklar ?

ne.. danke schonmal für den tipp.
Malwarebyte läuft schon seit 25 Minuten und hat bislang nichts gefunden.
Ich poste den report wenn ich fertig bin.. k?

Edit: Er is inzwischen im system32.. dauert also nicht mehr lang..

Edit2: Windows-Partition C: ist scheinbar sauber.. 0 Infizierte Objekte

Wo kommen die Ganzen Hosts her?

Achtung:Eine Bereinigung kann sehr viel Zeit in anspruch nehmen und man kann sich nie 100%sicher sein,ob das System auch wirklich sauber ist!!
ist dieser hier-->Trend Micro
Ist deine Firewall aktiv?
Lässt sich Windows updaten?
Kannst du dein AntiVir Programm updaten?

Ich würde hier neu aufsetzten empfehlen
wenn du bereinigen willst,hoffe ich,du bist dir über die Gefahren die sich dahinter befinden im klaren(OnlineBanking etc)

keine Programme downloaden oder löschen während der Reinigung
Systemwiederherstellung deaktivieren
Starte im Abgesicherten Modus(mehrmals F8 drücken beim hochfahren)
Starte HJT-->Config-->Misc Tools-->Open Hosts file Manager-->Delete line
Lösche alle Hosts
Neu starten

Start-->ausführen-->cmd(reinschreibn)-->ok
nun bist du im Dos
Hier prompt reinschreiben;sc stop MicroSoft Media Tools-->enter
sc delete MicroSoft Media Tools-->enter

Neu starten

neue Logfile posten

Wenn es Probleme gibt bitte stoppen und so genau wie möglich schildern
Nichts auf eigene Faust unternehmen

Wo die ganzen Hosts herkommen? ich habe keinen blassen Schimmer..
Das was du da in dem Code gepostet hast ist ein Wurm? o.O
Wieso hat AntiVir den nie gefunden?
Letztes Antivir-Update ist von heute.
Windows lässt sich updaten.
Firewall ist die Windows-Firewall und die ist aktiv.

Lohnt sich neu aufsetzen noch? Ich werd im April vermutlich einen neuen PC haben.. lässt sich das neu aufsetzen bis dahin aufschieben?

Und lässt sich feststellen, wie lange das Ding schon bei mir auf der festplatte wütet?

Ich würd mich mit einem Backdoor nicht spielen

Wie gesagt wir können es nicht zu 100% garantieren das wir alles weg bekommen
Verzichte auf jeden fall auf online Banking etc
Es liegt in deinem Ermessen ob du die Reinigung durchziehst
Ich kann dich zu nichts zwingen ;)
nicht das ich wüsste :)
Entfernen wir mal die ganzen Hosts
Vielleicht meldet sich jemand mit mehr Erfahrung was diesen Eintrag angeht
Ich finde keine Anzeichen darauf das dies ein Legitimer Eintrag ist

also entfern ich jetzt die Hosts und entferne die "Media Tools" ?

E: und noch eine Frage: Kann die externe Festplatte infiziert werden oder es schon sein?

richtig :daumenhoc

Die Hosts hab ich rausgeschmissen. 127.0.0.1 hab ich drin gelassen.
In der Liste stand noch was vom Spybot search & destroy.

nun hab ich im Dos "sc stop MicroSoft Media Tools" eingegeben. er sagt:

[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.

Sollte ich die Dos-Eingabe im normalen oder im abgesicherten Modus machen?

Edit: Und noch eine Frage. Können über den Wurm meine Zugangsdaten in einem Onlinespiel eingesehen werden?

So sieht's im HJT nun aus:

Der Ist noch immer drin, wegen dem oben genannten problem..

Ich hab nen XP-Update gemacht (und kann schonwieder neue Updates laden..)

was nun?

Edit:
Ich hab AntiVir mal aggressiv eingestellt. Folgendes wurde gefunden:
Edit2: Ich ignoriere den Fund erstmal.. Google spuckt das AntiVir-Forum aus, in dem steht dass das Programm sogenannte "Riskware" ist..

Hallo
das mit den Hosts hat ja super hingehauen

Eine version haben wir noch :D
Kümmern wir uns mal in ruhe um diesen Dienst ;)
Wenn noch wo was ist das werden wir es schon noch finden aber der gehört als erstes raus

Bitte alle Schritte nacheinander abarbeiten--sollte etwas nicht funzn.stoppen und Meldung :D

START--> Systemsteuerung---> Verwaltung---> Dienste---> Dienststatus---> Microsoft Media Tools 'beenden' wählen--> Starttype deaktiviert auswählen von:
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)

HijackThis > misc tools > delete a file on reboot, wähle die zu löschende Datei, beantworte die Frage zum Neustart mit JA:

MSmedia.exe

fixe mit Hijackthis den Eintrag

Bei dir läuft Bonjour,benötigst du es,wird von Apple ungefragt installiert.
Wenn nicht-->Systemsteuerung-->Software-->Deinstallieren

Wenn alles Klappt

Lasse MalwareBytes und SuperAntiSpyware nach Anleitung laufen

Deaktivier dein AntiVir Programm
Dein System Online Scannen lassen bei F-Secure
Unbedingt mit IE ins netz gehen
Active X erlauben
Auf Vollständigen Scan umstellen
Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern

Vollständiger Scan mit deinem AntivirProgramm

Nächster Post

File von MBAM
File von SuperAntispywar
F-Secure Auswertung
Avira Auswertung
HJT Logfile

Also im Dienste-Fenster steht:
MicroSoft Mediatools
Status: Nichts
Autostarttyp: Deaktiviert

Das File zum löschen mit HJT finde ich nicht, C:\Windows\MSmedia.exe sehe ich da nicht.
Zum entfernen von Bonjour hab ich mal in einem anderen Thread schon nen Link zu einem Tool gesehen..

Edit: Ich habs jetzt einfach mal im Pfad eingegeben und ihn rebooten lassen. (auf dem desktop öffneten sich beim start dann 2 DOS-Fenster)
Bonjour hab ich runtergeschmissen und nu lass ich Malwarebyte drüberlaufen..

Okay Vl biste im Falschen fenster -->ich sehs ja nicht

Start-->ausführen-->service msc(reinschreiben)
Doppelklick auf MediaSoft....
Jetzt sollte Links im Fenster Dienst beenden stehen-->klicken :D

Danach im HJT meine Anleitung ausführen
Im Menü--->C:--->Windows--->und MSmedia suchen,exe steht nicht dabei

Start-->ausführen-->service msc führt zu: "service" konnte nicht gefunden, stellen sie sicher dass sie den Namen richtig geschrieben haben... usw.