TR/Dropper.gen Trojaner gefunden - wirklich infiziert? |
||
---|---|---|
#0
| ||
17.07.2008, 19:42
...neu hier
Beiträge: 3 |
||
|
||
17.07.2008, 20:01
Moderator
Beiträge: 7805 |
#2
Lass mbam die Dinge loeschen, die es findet. Das was du nicht angehaengt hast war ein Antivir Report!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.07.2008, 22:31
...neu hier
Themenstarter Beiträge: 3 |
#3
Danke für die Antwort.
Stimmt leider, den hatte ich vergessen. Die beiden infizierten Dateien waren zwischenzeitlich auch im AntiVir Quarantäne Verzeichnis. Sie hat diese jetzt mit mbam gelöscht. Hat auch funktioniert. AntiVir hat sie in der Zwischenzeit auch nochmal drüberlaufen lassen, keine Funde. War's das jetzt? Sind wir das Ding sicher los oder kann der sich immer noch irgendwo verstecken? Gruß, Venator |
|
|
||
18.07.2008, 00:09
Ehrenmitglied
Beiträge: 6028 |
#4
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Starte Hijack This nochmal und schau nach ob O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe (file missing) weg ist,wenn nicht mach folgendes: klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK! Suche " Symantec Core LC " "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" Öffne Hijack This,klicke rechtsunten den Knopf "Config… " Klicke " Delete an NT Service“ Kopiere rein: Symantec Core LC klicke OK __________ MfG Argus |
|
|
||
18.07.2008, 20:14
...neu hier
Themenstarter Beiträge: 3 |
#5
Fix checked wurde ausgeführt und
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe (file missing) ist weg. Allerdings wurde heute morgen Antivir wieder aktiv und meldete folgendes: Die Datei 'C:\System Volume Information\_restore{440347BF-FDBB-425C-8034-1EA1CB6022AB}\RP58\A0076481.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.ISR' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b0b25d.qua' verschoben! und Die Datei 'C:\Dokumente und Einstellungen\Peggy\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\QUAR1.78328' enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.ISR' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c1b0ff.qua' verschoben! Mbam zeigt nichts mehr an bei erneutem Durchlauf, die Dateien können also so nicht mehr gelöscht werden. Gruß, Ven |
|
|
||
18.07.2008, 21:23
Ehrenmitglied
Beiträge: 6028 |
#6
"System Volume Information\_restore"ist die Systemwiederherstellung
Systemwiederherstellung http://www.virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren __________ MfG Argus |
|
|
||
der Computer meiner Schwägerin hat gestern Alarm geschlagen und angeblich einen Trojaner gefunden mit AntiVir.
Ich kenne mich zwar allgemein mit Computern aus, allerdings wird's hier ein bisschen zu speziell und da ich auch 300km entfernt wohne kann ich nicht mal schnell vorbeischauen.
Wir haben jetzt drei Logfiles erstellt: hijackthis, combofix und mbam. Ich hoffe, euch sagen die mehr als mir und ihr findet raus, ob es überhaupt eine korrekte Meldung war oder nicht.
Vielen Dank schon mal bis hierhin.
Viele Grüße,
Venator