Mit Trojaner infiziert und mit Antivir vollständig gelöscht?
 

Hi und Hallo,

ich habe gestern naiverweise eine .exe heruntergeladen und ausgeführt, NACHDEM ich mich wieder vom Internet getrennt habe. Folge war, dass eine Windows-Fehlermeldung erschien (jedenfalls sah es so aus), welche meldete, dass der Prozess(?) Poison Ivy Remote Administration nicht ausgeführt werden könne. Die gleiche Fehlermeldung erschien auch jedesmal, wenn ich den PC neustartete und auf dem Desktop lande.
Ich hab mich im Internet bezüglich diesem Schädling (per iPod touch) informiert und vermute, dass die Windwosfehlermeldung deshalb kam, weil ich nicht mit dem Internet verbunden war. Bei meiner Recherche bin ich auch auf dieses Forum gestossen, in welchem in einigen Threads dazu geraten wurde, bei Befall eines solchen Trojaners sein System neu aufzusetzen.

Ich habe anschliessend mit Spyware - Search & Destroy, sowie mit Antivir eine komplette Systemprüfung durchgeführt. Antivir dann bei der Datei C:\WINDOWS\system32\winupd.exe das Trojanische Pferd TR/Dropper.Gen gefunden. Durch Neustart konnte diese Datei durch Antivir dann auch erfolgreich geflöscht werden. (Kompletter Antivir-Log weiter unten).

Nachdem die Datei gelöscht war, kam auch die Fehlermeldung beim Neustart nichtmehr. Bei der Kontrolle im system32-Ordner hab ich dann auch noch die Datei ''winupd'' (ohne Dateiendung) gelöscht.
Trotz alledem fühle ich mich noch nicht ganz auf der sicheren Seite, deshalb hab ich es jetzt riskiert und meinen PC mit dem Internet verbunden um weiterzurecherchieren. Dabei bin ich u.a. auf folgende Seite gestossen: h**p://www.file.net/prozess/winupd.exe.htm - Laut dieser Seite wahr es wohl kein Fehler winupd.exe zu löschen, wie auch die Datei ''winupd'', die wohl eine Keylog-Datei ist.
Um auf Nummer Sicher zu gehen habe ich mich an die Board-Anleitung gehalten, die 2 Programme runtergeladen (CCleaner hatte ich bereits) und entsprechend ausgeführt. Da die Logs von RSIT das erlaubte Zeichenlimit für einen Post sprengen, belasse ich es erstmal mit den Antivir und Malwarebytes' Anti-Malware Logs. Ich kann sie aber später bei Bedarf noch nachliefern.

Achja: Im CCleaner wird bei der Fehlersuche in der Registry ein Eintrag gefunden, der sich trotz Behebung immer wieder finden lässt (Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}). Dieses Problem kenne ich jedoch schon länger und ist nicht erst seit der Infizierung gestern da. Ist der Eintrag bedenkenlos bzw. was kann ich tun um das problem zu beheben?

Ich wäre absolut dankbar, wenn mir hier Entwarnung gegeben werden könnte. Eine komplette Systemneuinstallation wäre purer Stress. Sollte diese trotzdem unumgänglich sein hätte ich dazu bereits eine kleine Frage: Kann ich mir bei einem infizierten System meine Bilder/Musik/Spielstände auf eine DVD brennen um dann im neuen System wieder einzulesen oder können auch solche Dateien infiziert sein? Welche Dateien können generell von Viren/Malware/Trojanern etc. infiziert werden?

Danke im Voraus

Drosco


Nun die Logs:

Antivir
Malwarebytes' Anti-Malware:

Hallo und :hallo:

Nenn das Kind bitte beim Namen, welche EXE (Dateiname) von wo?

Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Die Datei heißt ''PSN_Editor.exe'' und ich habe sie dort heruntergeladen: h**p://rs550.rapidshare.com/files/296085532/PSN_Editor.exe

Lop S&D kann ich im Moment nicht herunterladen, anscheinend ist die Seite überlastet oder etwas in der Art (''The bandwidth or page view limit for this site has been exceeded and the page cannot be viewed at this time. Once the site is below the limit, it will once again begin serving as normal. ''). Gibts da evtl. nen alternativen Download?

Was soll 'PSN_Editor.exe' sein?

Hier der Alternativlink => File-Upload.net - LopSD.exe

Das Ding hab ich gestern Nacht in geistiger Umnachtung auf der Suche nach einem Keygen heruntergeladen. Die Datei selber hat damit aber glaube ich nichts am Hut.

Ich bedank mich jetzt schon mal für deine Hilfsbereitschaft, find ich echt klasse, wenn sich Leute in ihrer Freizeit für so etwas aufopfern.

Hier der Log-Bericht:

Damit disqualifizierst Du Dich für weiteren Support. PSN_Editor, Quelle rapidshare und das Erwähnen von Suchen nach Keygens sprechen eine deutliche Sprache. :nixda:

Es gilt: Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Ich kann deine Reaktion verstehen, aber kannst du mir nicht noch bitte eine Einschätzung darüber geben, ob sich der Trojaner noch im System befindet? Bisher weist denke ich nichts darauf hin. Da er vermutlich per Antivir gelöscht wurde, bevor wieder Internetkontakt bestand, dürfte er doh nichts gesendet haben?
Falls du mir diese Frage nicht beantworten willst/kannst (was ich verstehen könnte), habe ich noch eine Frage bezüglich der Datensicherung im Falle einer Systemneuaufsetzung (falls ich mich je dazu entschliesse): kann ich Bilder/Videos/Musik/Dokumente/Spielstände/etc. bedenkenlos auf DVD brennen und ins neue System wieder einspielen? Bei welchem Dateien ist dies eher zu unterlassen?

Gruß und trotzallem vielen Dank für deine Mühen