TR/Dropper.Gen bzw BackdoorWin32/IRCbot.fy

#0
26.02.2012, 19:00
...neu hier

Beiträge: 7
#1 Hey leute ich brauche dringend hilfe!!

also folgendes problem:

habe seit 3 tagen einen neuen computer und es lief alles super bis auf einmal sämtliche trojaner, wie zb TR/Dropper.Gen oder BackdoorWin32/IRCbot.fy bei Antivir angezeigt wurden,

TR/dropper.gen kommt immer wieder, habe langsam echt angst vor dem dem, der scheint echt meinen ganzen pc auseinander zu nehmen

bitte um hilfe!!!

habe jetzt einen OTL und MAM Scan durchgeführt, siehe anhang


ich bitte euch um hilfe!

Paul

Anhang: LogFile.zip
Seitenanfang Seitenende
27.02.2012, 01:09
Member

Beiträge: 420
#2 Hi

Zitat

-> Keine Aktion durchgeführt.
1. Hast Du die Funde von Malwarebytes auch entfernen lassen? Falls nicht, bitte nachholen, das passiert nicht automatisch.

2. Starte OTL, kopiere unten in das Skript-Feld rein:

Zitat


:OTL
PRC - C:\Users\Paul\AppData\Local\Temp\94752.exe ()
PRC - C:\Users\Paul\AppData\Local\Temp\6099.exe ()
PRC - C:\Users\Paul\AppData\Roaming\ExecWin\ExecWin.exe (curato asini)
PRC - C:\Users\Paul\AppData\Roaming\botnew.exe (curato asini)
PRC - C:\Users\Paul\AppData\Roaming\ExeceWine\ExeceWine.exe (caute rubati)
PRC - C:\Users\Paul\AppData\Roaming\dndmwdd.exe ()
MOD - C:\Users\Paul\AppData\Local\Temp\94752.exe ()
MOD - C:\Users\Paul\AppData\Local\Temp\6099.exe ()
MOD - C:\Users\Paul\AppData\Local\Temp\System\hpwebregUI.exe ()
O4 - HKLM..\Run: [cmd] C:\Users\Paul\AppData\Roaming\bot2.exe File not found
O4 - HKCU..\Run: [© Microsoft Real Time Media Stack] C:\Users\Paul\AppData\Local\Temp\System\mtvdemd.exe (Microsoft Corporation)
O4 - HKCU..\Run: [dndmwdd.exe] C:\Users\Paul\AppData\Roaming\dndmwdd.exe ()
O4 - HKCU..\Run: [ExeceWine] C:\Users\Paul\AppData\Roaming\ExeceWine\ExeceWine.exe (caute rubati)
O4 - HKCU..\Run: [ExecWin] C:\Users\Paul\AppData\Roaming\ExecWin\ExecWin.exe (curato asini)
O4 - HKCU..\Run: [Glkgkm] C:\Users\Paul\AppData\Roaming\Glkgkm.exe (caute rubati)
O4 - HKCU..\Run: [Ogu3FMdasw3tbhy6] C:\Users\Paul\AppData\Roaming\dndmwdd.exe ()
O4 - HKCU..\Run: [Wineget] C:\Users\Paul\AppData\Roaming\botnew.exe (curato asini)
[2012.02.26 16:22:39 | 001,249,280 | ---- | C] (caute rubati) -- C:\Users\Paul\AppData\Roaming\Glkgkm.exe
[2012.02.26 14:28:13 | 000,834,181 | ---- | C] (FileZilla Project) -- C:\Users\Paul\AppData\Roaming\30C0.exe
[2012.02.26 11:51:28 | 001,593,344 | ---- | C] (curato asini) -- C:\Users\Paul\AppData\Roaming\botnew.exe
[2012.02.26 11:51:28 | 001,593,344 | ---- | C] (curato asini) -- C:\Users\Paul\AppData\Roaming\A238.exe
[2012.02.25 20:43:20 | 001,228,800 | ---- | C] (Microsoft Corporation) -- C:\Users\Paul\AppData\Roaming\72FF.exe
[2012.02.25 19:24:15 | 000,502,275 | ---- | C] (FileZilla Project) -- C:\Users\Paul\AppData\Roaming\5189.exe
[2012.02.25 15:56:50 | 001,589,248 | ---- | C] (code popolo) -- C:\Users\Paul\AppData\Roaming\F1FF.exe
[2012.02.25 20:13:16 | 000,221,184 | RHS- | C] () -- C:\Users\Paul\AppData\Roaming\dndmwdd.exe

:Commands
[emptytemp]
[emptyflash]

und klicke auf Fix. Poste bitte das Fix-Log.

3. Lade aswmbr von avast! herunter
http://public.avast.com/~gmerek/aswMBR.exe
Starte das Programm
wähle "Ja" bei der Frage nach avast-Engine.
Klicke auf Scan
Klicke nach dem Scan auf Save Log, speichere es ab und poste es hier (nichts "Fixen")
Seitenanfang Seitenende
27.02.2012, 09:23
...neu hier

Themenstarter

Beiträge: 7
#3 so bin deinen schritten gefolgt, eine .dat datei hat aswmbr auch ausgespuckt, habe sie jetzt auch in das zip file hineingesteckt

Seitenanfang Seitenende
27.02.2012, 14:31
Member

Beiträge: 420
#4 Das sieht schon besser aus.

Folge bitte nun dieser Anleitung (und zwar genau)
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
und poste das Log.
Seitenanfang Seitenende
27.02.2012, 18:46
...neu hier

Themenstarter

Beiträge: 7
#5 so combifix scan erfolgreich abgeschlossen

logfile siehe anhang

Anhang: combifix.txt
Seitenanfang Seitenende
27.02.2012, 20:01
Member

Beiträge: 420
#6 1. Hol Dir bitte die CFScript.txt aus dem Anhang auf den Desktop.
Treffe alle Vorbereitungen zum Lauf von ComboFix gemäß Anleitung, aber starte es noch nicht.
Ziehe dann die CFScript.txt mit der Maus auf das Symbol von ComboFix auf Deinem Desktop (und loslassen).
ComboFix wird erneut scannen, poste bitte anschließend das neue Log.

2. Eset Online Scanner (zeitintensiv)
http://www.eset.de/onlinescanner
(hier sollte der Browser mit Rechtsklick als Administrator gestartet werden)
Poste bitte nach Ende des Scans das Log, normalerweise zu finden unter C:\Programme\Eset\EsetOnlineScanner\log.txt

3. Und noch ein OTL Log zur abschließender Überprüfung:
Starte bitte OTL, klicke auf Quick Scan und poste die neue OTL.txt

Anhang: CFScript.txt
Seitenanfang Seitenende
27.02.2012, 21:40
...neu hier

Themenstarter

Beiträge: 7
#7 so habe jetzt alles gemacht, währenddessen hat einmal mein avira paar viren gefunden die ich in die quarantäne gesetzt habe

log und pic sind im anhang

Anhang: log.zip
Seitenanfang Seitenende
27.02.2012, 21:43
...neu hier

Themenstarter

Beiträge: 7
#8 habe jetzt quick scan mam und avira durchgeführt, beide programme nichts gefunden, falls das was hilft!
Seitenanfang Seitenende
27.02.2012, 22:06
Member

Beiträge: 420
#9 Gut, ich sehe in den Logs keine aktive Malware mehr. Aber ein paar Reste:

Als erstes setze bitte Deine Firewall zurück
http://scareware.de/2009/11/windows-firewall-zurucksetzen/

Dann starte OTL, kopiere unten in das Skript-Feld rein:

Zitat


:Files
C:\Users\Paul\AppData\Roaming\WebDefe
C:\Users\Paul\AppData\Roaming\bot.exe
C:\Users\Paul\AppData\Roaming\ExecWin
C:\Users\Paul\AppData\Roaming\bot2.exe
C:\Users\Paul\AppData\Roaming\msconfi.exe

:Commands
[emptytemp]
[emptyflash]

und klicke auf Fix. Poste bitte das Fix-Log. Kann gut sein, dass das Zeug bereits weg ist, aber sicher ist sicher.

Und schließlich: macht der Rechner noch Probleme? Denn sonst würden wir noch aufräumen (also noch nicht weglaufen ;) ) und wären fertig.
Seitenanfang Seitenende
27.02.2012, 22:18
...neu hier

Themenstarter

Beiträge: 7
#10 auch das wäre gemacht, generell macht mir der rechner null probleme, er ist ganze 5 tage alt und wirklich schnell. auch sonst scheints ihm jetzt gut zu gehen, ich merke nicht wirklich etwas, obwohl ich jetzt nicht sicher weiss ob da noch was ist, weil ich in diesem bereich wirklich wenig ahnung habe.

Seitenanfang Seitenende
27.02.2012, 22:36
Member

Beiträge: 420
#11 Nun, in den Logs zeigt sich nichts mehr. Zum Glück ist es nicht gerade einfach, Win7 komplett auszuhebeln, wirklich effektiv geht es nur über MBR, und den haben wir gecheckt. Insofern bin ich guter Dinge. Die absolute Sicherheit gibt es auf diesem Weg allerdings nicht, da würde es nur helfen, das Betriebssystem komplett neu aufzusetzen.

Zum Schluß noch:

1. Ändere alle Deine Passwörter - Email, Facebook usw. Die Malware hat diese gesammelt und womöglich schon "nach Hause" geschickt.

2. Starte OTL und klicke bitte auf Bereinigung (Clean Up). OTL entfernt sich daraufhin selbst.

3. Halte Dein System auf dem neuesten Stand. http://secunia.com/vulnerability_scanning/personal/ kann dabei helfen (kostenlos).

4. Lies Dir das hier durch: http://malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidbar

Fertig ;)

Gruß,
gangren
Seitenanfang Seitenende
27.02.2012, 22:57
...neu hier

Themenstarter

Beiträge: 7
#12 Das Durchlesen hebe ich mir für morgen auf, habe heute echt schon genug von Trojanern etc. ;)

Am Schluss möchte ich dir noch sagen, dass ich dir echt dankbar bin und dass ich es großartig finde, dass es solche Personen wie dich gibt, die einem bei jenen schwierigen Dingen helfen. Ich finde es generell bewundernswert, wie ihr euch in diesen Bereichen so gut auskennt.
Außerdem wollte ich gestern meinen Computer eigentlich schon aufgeben, weil mir ein Kollege empfohlen hat den Pc gleich neu aufzusetzen da der Trojaner "TR/dropper.gen" so gut wie unmöglich wegzukriegen ist , doch anscheinend wurde ich eines Besseren belehrt ;)

Danke für alles,

Gruß,
Paul
Seitenanfang Seitenende
27.02.2012, 23:21
Member

Beiträge: 420
#13 Gern geschehen ;)

Gruß,
gangren
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: