TR/Dropper.gen Trojaner gefunden - wirklich infiziert?

#1 Hallo zusammen,

der Computer meiner Schwägerin hat gestern Alarm geschlagen und angeblich einen Trojaner gefunden mit AntiVir.
Ich kenne mich zwar allgemein mit Computern aus, allerdings wird's hier ein bisschen zu speziell und da ich auch 300km entfernt wohne kann ich nicht mal schnell vorbeischauen.
Wir haben jetzt drei Logfiles erstellt: hijackthis, combofix und mbam. Ich hoffe, euch sagen die mehr als mir und ihr findet raus, ob es überhaupt eine korrekte Meldung war oder nicht.
Vielen Dank schon mal bis hierhin.

Viele Grüße,
Venator

#2 Lass mbam die Dinge loeschen, die es findet. Das was du nicht angehaengt hast war ein Antivir Report!
__________
MfG Ralf
SEO-Spam Hunter

#3 Danke für die Antwort.
Stimmt leider, den hatte ich vergessen. Die beiden infizierten Dateien waren zwischenzeitlich auch im AntiVir Quarantäne Verzeichnis. Sie hat diese jetzt mit mbam gelöscht. Hat auch funktioniert. AntiVir hat sie in der Zwischenzeit auch nochmal drüberlaufen lassen, keine Funde.
War's das jetzt? Sind wir das Ding sicher los oder kann der sich immer noch irgendwo verstecken?

Gruß,
Venator

#4 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Starte Hijack This nochmal und schau nach ob
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe (file missing)
weg ist,wenn nicht mach folgendes:

klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
Suche " Symantec Core LC "
"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Öffne Hijack This,klicke rechtsunten den Knopf "Config… "
Klicke " Delete an NT Service“
Kopiere rein: Symantec Core LC klicke OK
__________
MfG Argus

#5 Fix checked wurde ausgeführt und
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe (file missing)
ist weg.

Allerdings wurde heute morgen Antivir wieder aktiv und meldete folgendes:
Die Datei 'C:\System Volume Information\_restore{440347BF-FDBB-425C-8034-1EA1CB6022AB}\RP58\A0076481.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.ISR' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b0b25d.qua' verschoben!

und

Die Datei 'C:\Dokumente und Einstellungen\Peggy\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\QUAR1.78328'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.ISR' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c1b0ff.qua' verschoben!

Mbam zeigt nichts mehr an bei erneutem Durchlauf, die Dateien können also so nicht mehr gelöscht werden.

Gruß,
Ven

#6 "System Volume Information\_restore"ist die Systemwiederherstellung

Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren
__________
MfG Argus