Trojan.Dropper in C:\Users\*****\AppData\Local\Temp\0.7247057717775541.exe
 

Hallo Zusammen,

laut MaylwareBytes befindet sich folgender Störenfried auf meinem Rechner: Trojan.Dropper
Leider bin ich auch nach längerer Recherche nicht dahinter gestiegen, wie ich ich ihn wieder verjagen kann.

Über Eure Hilfe wäre ich hoch erfreut.

Ich habe die Checkliste abgearbeitet und die hoffentlich hilfreichen Log-datein angehangen.

Braucht ihr weitere Infos oder muss ich irgendwas tun, gebt mir bitte bescheid - ich versuche es umgehend zu erledigen.

Vielen Dank schon mal!
atze

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Hier der Scanbericht der aktuellen Version von MalwareBytes:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5475

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.01.2011 15:39:36
mbam-log-2011-01-07 (15-39-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 257058
Laufzeit: 33 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\*****\AppData\Local\Temp\0.7247057717775541.exe (Trojan.Dropper) -> Quarantined and deleted successfully.[/I][/I]

mehr Logdatein kann ich leider nicht anbieten ;)

Kann ich Euch noch irgendwie wie hilfreich sein?

Danke&Gruß
atze

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ich habe die Aktion genau wie beschrieben durchgeführt.
Nach dem ich auf FIX geklickt habe, wurde aber angezeigt:
"Kritischer Fehler, bitte sichern sie alle Daten. In einer Minute wird das System heruntergefahren". (was dann auch geschah)

Nach dem Wieder-Hochfahren erschien dann folgende Logfile:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0f0b2657-faf0-11df-b922-0024be7a9a3d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0f0b2657-faf0-11df-b922-0024be7a9a3d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0f0b2657-faf0-11df-b922-0024be7a9a3d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0f0b2657-faf0-11df-b922-0024be7a9a3d}\ not found.
File G:\ICM_ML.exe not found.
Folder C:\Users\*****\AppData\Roaming\.#\ not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: *****
->Temp folder emptied: 486821270 bytes
->Temporary Internet Files folder emptied: 392037236 bytes
->Java cache emptied: 38487189 bytes
->FireFox cache emptied: 53845203 bytes
->Flash cache emptied: 1382 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 22336391 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
RecycleBin emptied: 1009146594 bytes

Total Files Cleaned = 1.910,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01102011_175903

Files\Folders moved on Reboot...
C:\Users\*****\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...


Ist dass das erhoffte Ergebnis?

danke&gruß
atze

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so, alles ausgeführt und nun im Anhang die CF-Logdatei:
:crazy:

danke&gruß
atze

oh man!
ich hatte zu beginn des ganzen prozederes wie durch die Checkliste beschrieben, bei dem ersten scan (mit malwarebytes) auch meine externe Festplatte mit durchsuchen lassen. Dabei wurde nichts gefunden. Leider hab ich dies aber nicht auch noch mit Antivir getan, weil als ich es gerad eben gemacht hab, gabs leider Treffer (siehe Anhang). Der Fund hängt anscheinend mit einem Programm zusammen, dass ich zum auflegen mit dem Rechner (DJ) brauche... hm?

Die aktuellste Version von malwarebytes habe ich eben auch nochmal drüber laufen lassen. Hier gab es aber keine Treffer.

Muss ich jetzt nochmal alles von vorn beginnen? :confused:

vielen Dank&Gruß
atze

So und aus welcher Quelle ist das? Sieht mir nicht nach einer Originalversion aus :balla:

Tut mir leid, das weiß ich nicht - das Ganze hat mir ein Bekannter eingerichtet ...?
Wie soll ich weiter verfahren?

danke&gruß
atze

Auch wenns ein Bekannter installiert hat - ein Programm, dass mal eben 130 EUR kostet und dann irgendein bekannter und installiert da eine "Spezialversion" für lau - mal ehrlich, das muss einem auch als Laie auffallen, dass da war nicht stimmt.

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Oh man so eine Scheiße! ...und er meinte das is von seiner orginal version.. :stirn:
Ich werd das sofort alles löschen!

Trotzdem danke für alles!
atze

PS bin ich jetzt für alles weitere in eurem Board außen vor oder galt das nur zu diesem Thema?

Gilt nur zu diesem Thema, aber formatieren musst du :kloppen: