| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen im Firmennetzwerk entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.08.2009, 16:27
| #1 |
| |  TR/Dropper.Gen im Firmennetzwerk entfernen Hi, wir haben auf unseren Workstations im Firmennetzwerk Avira AntiVir installiert. Auf allen Workstations wird alle paar Stunden und manchmal bei allen Workstations gleichzeitig der Alarm "TR/Dropper.Gen" von AntiVir ausgegeben. Befallene Dateien sind: 1.) C:\Windows\System32\qfmmm.gft 2.) C:\Windows\System32\ggjjofk.uw Wahrscheinlich alternieren die Dateien auch die Betroffen sind, aber die User an den Workstations löschen die Dateien bei Alarm einfach, so dass mir momentan nur diese beiden Namen bekannt sind. Problem ist, dass das Löschen der betreffenden Dateien auf den Worksations mit AntiVir nicht wirklich zum Erfolg führt, da die Fehlermeldung dann nach einiger Zeit wieder auftritt. Ich vermute deshalb, dass entweder: 1.) AntiVir den tatsächlichen Grund der Infektion nicht richtig erkennt und behebt und nur die Dateien im System32-Verzeichnis löscht, obwohl noch andere Dateien betroffen sind und wieder neue Dateien generiert werden, was z. B. auf ein Rootkit schließen lassen würde. oder 2.) Sich der Trojaner - wie ein Wurm - nachdem er auf einer Workstation gelöscht wurde, wieder über das Firmennetzwerk verbreitet und sich die bereits bereinigte Workstation die Infektion erneut einfängt. Bisherige Maßnahmen auf meinem Admin-Rechner bei deaktivierter Systemwiederherstellung: 1.) Komplett-Scan mit AntiVir - nichts zusätzlich gefunden 2.) Komplett-Scan mit Panda Online-Virencheck - nichts gefunden 3.) Komplett-Scan mit Spy-Bot - einiges gefunden und alles entfernen lassen Ein HijackThis Log kann ich erst am morgigen Montag erstellen, da ich momentan zuhause bin und keinen VPN-Zugriff aufs Firmennetz habe. Was mich aber schonmal interessieren würde ist, was ich unternehmen kann, damit die Ausbreitung übers Netzwerk ausgeschlossen bzw. genauer bestimmt werden kann. Ich dachte mir ich aktiviere auf meiner Admin-Workstation zunächst die Windows-Firewall mit der Option "Keine Ausnahmen" und führe dann die von euch empfohlenen Maßnahmen auf meiner Admin-Workstation durch. Anschließend - falls sich das System bereinigen ließ - deaktiviere ich die Firewall wieder. Fange ich mir den Trojaner wieder ein, sollte klar sein, dass sich der Trojaner übers Netzwerk verbreitet? Oder soll ich z. B. mit Wireshark nach bestimmten Netzwerkverkehr suchen? Vielen Dank für eure Hilfe, nostream |
|
| Themen zu TR/Dropper.Gen im Firmennetzwerk entfernen |
| antivir, avira, dateien, entfernen, fehlermeldung, gelöscht, hijack, hijackthis, hijackthis log, log, löschen, maßnahme, namen, netzwerk, netzwerkverkehr, neue, rootkit, schließen, suche, system, systemwiederherstellung, tan, tr/dropper.gen, trojaner, windows, windows-firewall, wireshark, wurm |
Linear-Darstellung
