Trojaner-Board - Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/Dropper.Gen eingefangen und erfolgreich gelöscht? (https://www.trojaner-board.de/91459-trojaner-tr-dropper-gen-eingefangen-erfolgreich-geloescht.html)

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Außer Tracking-Cookies und einer ziemlcih sicheren Falschmeldung gabs keine Meldungen. Die vermutliche Falschmeldung ist ein geläufiges CMD-Freeware-Programm zur Auswertung von Röntgendiffraktogrammen, das man hier im Original runterladen kann: hxxp://www.ccp14.ac.uk/tutorial/xfit-95/getxfit.htm und das auch in der zip-Datei eines Neudownloads wird die Datei als Trojan.Agent erkannt. Hab das mal als Falschmeldung eingeschickt.

Hier das log von Malware:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4736

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

11.10.2010 00:04:03
mbam-log-2010-10-11 (00-04-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 305206
Laufzeit: 1 Stunde(n), 53 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und das von SASW:

Zitat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/11/2010 at 09:14 PM

Application Version : 4.44.1000

Core Rules Database Version : 5665
Trace Rules Database Version: 3477

Scan type : Complete Scan
Total Scan Time : 02:01:59

Memory items scanned : 757
Memory threats detected : 0
Registry items scanned : 9092
Registry threats detected : 0
File items scanned : 199411
File threats detected : 51

Adware.Tracking Cookie
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ad.zanox[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ad2.adfarm1.adition[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@adx.chip[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@2o7[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@adfarm1.adition[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@revsci[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@truestracker[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@content.yieldmanager[3].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ad.yieldmanager[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@stats.ilsemedia[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@tracking.mindshare[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@tracking.mlsat02[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@rambler[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@invitemedia[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ads.creative-serving[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@videoegg.adbureau[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@smartadserver[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@traffictrack[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@myroitracking[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@adtech[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@server.cpmstar[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@www.active-tracking[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ad3.adfarm1.adition[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@xiti[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ad.ad-srv[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ww251.smartadserver[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@clicksor[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@bs.serving-sys[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@collective-media[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@tribalfusion[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@serving-sys[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@stats.cleverreach[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@zanox[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@studivz.adfarm1.adition[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@kontera[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@tracking.quisma[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ad.adserver01[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ad.adition[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@eas.apm.emediate[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@webmasterplan[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@www.etracker[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@unitymedia[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@de.sitestat[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ads2.vrm[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@adserver.mainz05.onvert[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@zanox-affiliate[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@www6.addfreestats[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@ad.adnet[2].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@content.yieldmanager[1].txt
C:\Users\ich\AppData\Roaming\Microsoft\Windows\Cookies\ich@zbox.zanox[1].txt

Trojan.Agent/Gen-Krpytik
C:\EIGENE DATEIEN\UNSW\XRD\XFIT\RIET.EXE

VIelen Dank für die Hilfe!!!

Zitat:

Datenbank Version: 4736

Su solltest MBAM doch vorher updaten :(

ui. Ich sollte anscheinend spät abends genauer lesen...

Hier der neue log, auch kein Fund:

Zitat:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4796

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

11.10.2010 23:55:30
mbam-log-2010-10-11 (23-55-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 305888
Laufzeit: 1 Stunde(n), 27 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht soweit ok. Die Cookies kann man ignorieren.

Zitat:

Trojan.Agent/Gen-Krpytik
C:\EIGENE DATEIEN\UNSW\XRD\XFIT\RIET.EXE

Kannst Du das zuordnen?

Zitat:

Zitat von cosinus (Beitrag 577907)

Kannst Du das zuordnen?

Wie gesagt: Ist ein geläufiges CMD-Freeware-Programm zur Auswertung von Röntgendiffraktogrammen, das man hier im Original runterladen kann: hxxp://www.ccp14.ac.uk/tutorial/xfit-95/getxfit.htm und das auch in der zip-Datei eines Neudownloads wird die Datei als Trojan.Agent erkannt. Hab das mal als Falschmeldung eingeschickt.

Bei Defogger kann ich wieder auf re-enable klicken? (kA, was das genau macht)

Vielen dank dann nochmal für die Hilfe!

Zitat:

Wie gesagt: Ist ein geläufiges CMD-Freeware-Programm zur Auswertung von Röntgendiffraktogrammen,

Ok, ist mir entfallen :D

Zitat:

Bei Defogger kann ich wieder auf re-enable klicken? (kA, was das genau macht)

Ja kannste machen.

Sonst noch Probleme oder weitere Funde in der Zwischenzeit?

Sonst keine Funde/Vorkommnisse*. Scheint also alles wieder rein zu sein. ein GROßES DANKESCHÖN dafür.

*: Einzige Ausnahme: bei den Scans von Malwarebytes war Antivir nicht deaktiviert und hat gemeckert als Malwarbytes die in Quarantäne verschobene Datei des Rootkits gescannt hat. (Also die im Ordner c:\Qoobox\Quarantine\...

Zitat:

(Also die im Ordner c:\Qoobox\Quarantine\...

Die Meldungen da drin kannst Du eh ignorieren, weil CF schädliche Dateien dorthin verschoben hat, damit die dort isoliert sind, man aber notfalls noch dran kann.

Anonsten müssten wir durch sein! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.