Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ungeübte Userin findet TR/Dropper.Gen in c:\windows\system32\cfmmon.exe (https://www.trojaner-board.de/83863-ungeuebte-userin-findet-tr-dropper-gen-c-windows-system32-cfmmon-exe.html)

Tintifee 19.03.2010 10:29
ungeübte Userin findet TR/Dropper.Gen in c:\windows\system32\cfmmon.exe
 
Guten Morgen an alle!

Ich bin heute beim Aufdrehen des PCs damit begrüßt worden:
C:\WINDOWS\system32\cfmmon.exe
Ist das Trojanische Pferd TR/Dropper.Gen

Ich habe Windows XP.

Nachdem ich mit den zu dem Thema gefundenen Beiträgen nicht so viel anfangen konnte (bin leider kein Computergenie, sondern nur Enduser mit erweiterten Kenntnissen), bin ich mal den Anweisungen gefolgt.

CCleaner ausgeführt.
Beim Durchlaufen der Malwarebytes-Anti-Malware spielte mein AntiVir Guard verrückt und hat mir sehr ausdauernd immer die gleiche Warnung gezeigt und irgendwann ist das Malware-Fenster einfach nur noch weiß geblieben, während AntiVir weiter den Fund gemeldet hat.

Weiter bin ich jetzt noch nicht gekommen. Wie gesagt, ich kenn mich nicht so gut aus. Ich konnte auch nicht wirklich herausfinden, inwieweit der Trojaner schädlich ist und was er macht (Bei AntiVir steht "Erstellt schädliche Dateien". Was auch immer das heißen mag...).

Ich bin mir sicher, mir eurer Hilfe krieg ich den Trojaner wieder los! Danke schon mal im Voraus für alle sachdienlichen Hinweise :)

LG, Tintifee

Update: Malwarebytes läuft jetzt doch durch, keine Ahnung, wieso. Ich melde mich mit dem Ergebnisbericht, sobald ich ihn habe. Danke für eure Geduld.

cosinus 19.03.2010 12:16
Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Tintifee 19.03.2010 14:49
Hallo nochmal :)

Danke für den Hinweis, hab ich alles gemacht. Malware ist zwei Mal gelaufen. Blöderweise hab ich beim ersten Mal das Ergebnis nicht gespeichert, beim 2. Mal hat er nix gefunden (aber AntiVir ist rotiert vor lauter Warnungen).

Hier sind die Log-files zu finden: h**p://www.file-upload.net/download-2360043/Desktop.rar.html
Ich hoffe, ich hab nicht alles falsch gemacht und du kannst was damit anfangen. Ich für meinen Teil bin ja schon mal von mir beeindruckt, dass ich es bis hierher geschafft habe ;)

Vielen Dank für die Unterstützung!!!
Smiles,
Jutta aka Tintifee

cosinus 19.03.2010 14:53
Malwarebytes speichert eine Log-Historie, im Programm unter "Scan-Berichte" zu finden.
Ich brauch das Log mit den Funden!

Tintifee 19.03.2010 15:01
Ich nehme an, du meinst das hier:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3884
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

19.03.2010 12:38:05
mbam-log-2010-03-19 (12-38-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 300235
Laufzeit: 1 hour(s), 55 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.

cosinus 19.03.2010 21:46
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
files to delete:
C:\WINDOWS\system32\cfmmon.exe
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Tintifee 20.03.2010 00:16
Ich kann inzwischen Entwarnung geben. Mein kleiner Bruder kam am Nachmittag zufällig vorbei und konnte helfen (bitte nicht fragen, was er gemacht hat, ich hab nicht die geringste Ahnung). Jetzt scheint alles wieder in Ordnung zu sein.

Vielen herzlichen Dank für die Unterstützung! Ich war heute früh echt kurz vorm Verzweifeln und sehr froh, dass ich eine kompetente Anlaufstelle gefunden habe.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131