TR/Drop.Small.abq + TR/Drop.Agent.17

Guten Abend an alle PC-Päbste dieses Landes.

Habe vorhin meinen Virusscanner von Avira (Personal Premium Edition) über meinen Rechner laufen lassen und siehe da, er hat die o.g. Trojaner entdeckt, kann sie aber nicht entfernen.

Ich möchte an dieser Stelle sogleich darauf hinweisen, dass ich keine allzu großen PC-Kenntnisse habe. Ich würde mich freuen, wenn mir irgendjemand helfen könnte.

Da ich vor Jahren schon mal ein Problem mit einem Hijack-Browser hatte, meine ich mich daran erinnern zu können, dass man einen Hijackthis-Logfile anfügen soll. Ich versuche das dann mal.

http://www.hijackthis.de/logfiles/168794374af8e90e2f364a00d4688f41.html

 

Hilfe! Warum antwortet niemand?
Habe ich etwas falsch gemacht?

Bitte gebt mir Anweisungen, wie ich diese s..... Trojaner wieder entfernt bekomme.

 

Hallo luis arconada

Du hast den HijackThis-Scan mit einer veralteten Version von HijackThis gemacht. Bitte den Scan nochmals mit Version 1.99.1 wiederholen und anschließend das Log unter http://www.hijackthis.de/ auswerten lassen und gemäß Anleitung (im Board "Sicherheit" angepinnt) hier posten.

Gruß
Nevok

 

Ok, wenn ich heute abend wieder zu hause bin, werde ich mein bestes geben und hoffentlich gemäß den vorgegebenen Anleitungen nochmal von neuem starten.

 

Guten Abend.
Ich hoffe, dass ich jetzt alles richtig gemacht habe.
Schaun 'mer mal...

http://www.hijackthis.de/logfiles/e066cb87465ebd648469b2c4014c7433.html

Juchuh, das sieht doch gut aus.
Also bitte, jetzt brauche ich eure Hilfe.

Danke
luis

 

Ach du Schande. Habe die durch Antivir angegebenen Dateien gerade mal www.virusscan.jotti.org/de prüfen lassen und dabei kam folgendes Ergebnis heraus:

AntiVir: TR/Drop.Small.abq
Avast: Win32:Agent-DZL
ClamAV: TrojanDropper.Agent-158
F-Secure + Kaspersky: Trojan Dropper.Win32Agent.bad

Die andere lt. AntiVir mit TR/Drop.Agent.age.17 infizierte Datei konnte nicht hochgeladen werden, da es sich entweder um eine 0 Byte Datei handeln soll oder aber das Virus selbst, das Hochladen sperrt.

So langsam bekomme ich Angst.

 

Das Log ist soweit sauber, daran lässt sich keine Infektion feststellen. Allerdings habe ich festgestellt, dass du noch YAW 3.5 verwendest. Das Programm ist total veraltet. Es gibt bereits ein "Nachfolgeprogramm" namens a² bzw. a-squared Free.

http://www.emsisoft.de/de/software/free/

In welchen Dateien wurden die Viren gefunden? Schau dazu mal in die Reportdatei von AntiVir.

Gruß
Nevok

 

Hallo Nevok,

erstmal vielen Dank für Deine Unterstützung.
Sobald ich heute abend wieder zuhause eingetroffen bin, werde ich die angesprochenen Dateien posten.
Die neue Version von YAW werde ich ebenfalls herunterladen.
Habe übrigens bereits festgestellt, dass die Datei, die mit den mehrfach benannten Schädlingen benannt wurde, eine Acrobat Reader Datei ist.
Bis heute abend.

Gruß
luis

 

Guten Abend Nevok,

hier die "angeforderten" Dateien:

C:\_RESTORE\TEMP\A0187449.CPY
und
C:\RESTORE\ARCHIVE\FS73.CAB

Die "Temp" Datei habe ich als Acrobat Reader Datei identifiziert, lässt sich aber nicht löschen.
Die "Archive" Datei kann überhaupt nicht gefunden werden.

Und jetzt erstmal zu emsisoft und Deinen Anweisungen folgen. Melde mich dann gleich wieder.

luis

 

So, a-squared runtergeladen, upgedatet und gescannt, aber bis auf ein paar cookies und 2 alten (mir bekannten) Einwahlsystemen wurde überhaupt kein Trojaner entdeckt.
Muss ich das jetzt verstehen?
Und vor allem: Was soll ich denn jetzt machen?

Erbitte weitere Anweisungen.

Danke
luis

 

Deaktiviere mal die Systemwiederherstellung von Windows ME. Dann müssten auch die Trojaner verschwinden. Wie du die Systemwiederherstellung von Windows ME deaktivierst, kannst du hier nachlesen:

http://www.windows-tweaks.info/html/systemwiederherstellung1.html

Starte anschließend Windows ME neu und aktiviere nach der Anmeldung die Systemwiederherstellung wieder.

Gruß
Nevok

 

Guten Morgen, Nevok.

Nach bewährtem Muster der letzten Tage werde ich Deine Anweisung heute abend umsetzen und hoffe, dann endlich von diesen gefährlichen Plagegeistern erlöst zu sein.

Wenn ich das mit Deiner Hilfe geschafft habe, gebe ich `n Bier aus.

Danke und bis heute abend
luis

 

Und, hat's funktioniert? Sind die "Plagegeister" weg?

 

Habe soeben den AntiVir Scanner komplett drüber laufen lassen (nachdem ich Deine letzten Anweisungen durchgeführt habe) und siehe da:

Keine verdächtigen Dateien mehr gefunden!!!!!!!!!

Bin total happy und Dir wirklich sehr dankbar für Deine Hilfe, ohne die ich das nie hinbekommen hätte. Am Wochenende spielt mein Verein bei Werder und wenn ich mitführe, würde ich mein Versprechen sofort einlösen. Da ich aber keine Lust habe, auch im dreißigsten Anlauf eine Pleite zu erleben, bleibe ich dann doch lieber im Pott.

Kann ich denn wirklich davon ausgehen, dass jetzt alle Schädlinge gelöscht sind?
Und wieso hat das mit der deaktivierung der Systemwiederherstellung zu tun?
Und wie kommst Du an Dein Bier?

Schönen Abend
luis

 

Das Hinspiel hat Bochum, glaub ich, 6:0 verloren. Ob Werder diesmal auch so hoch gewinnt... schön wär's ja, aber in letzer Zeit spielen sie auch nicht mehr so gut wie man es von ihnen gewohnt ist.

Ob wirklich alle Schädlinge weg sind, da kann man sich nach einer Infektion nie ganz sicher sein. Die einzig sichere Methode, um wirklich sicher zu sein, dass kein Schädling mehr auf der Platte ist, ist eine Formatierung der Festplatte und eine anschließende Neuinstallation des Betriebssystems.

Die Systemwiederherstellung (sowohl von ME als auch XP) erstellt in regelmäßigen Abständen einen Systemwiederherstellungspunkt, mit dem sich das System nach einem "Systemcrash" wiederherstellen lässt. Sind Viren oder andere Schädlinge auf der Platte, werden diese ebenfalls mit in den Systemwiederherstellungspunkt aufgenommen. Durch die Deaktivierung der Systemwiederherstellung werden alle Systemwiederherstellungspunkte (und damit auch darin enthaltene Schädlinge) gelöscht.

Daher ist es auch so wichtig, dass bei "Infektionsmeldungen" hier im Board auch immer der Pfad angegeben wird, in welchem der Virus sich befindet. Dadurch kann einem schneller geholfen werden. Hättest du das beispielsweise in deinem Eröffnungsbeitrag geschrieben, dann hätte ich dir das mit der Systemwiederherstellung gleich sagen können und der Thread wäre nach 3 - 4 Beiträgen beendet gewesen. So haben wir 4 Tage daran herumgedoktert und es auf 14 Beiträge gebracht.

Wegen des Bieres, selbst wenn du mit nach Bremen ins Weserstadion gefahren währst, hättest du mich dort nicht angetroffen, womit sich das mit dem Bier ausgeben dann erledigt hätte. Deine Dankbarkeit ist mir aber Lohn genug. Und wenn ich dir die Lösung nicht verraten hätte, dann hätte es ein anderer getan und dann wurde ihm deine Dankbarkeit gehören.