Dropper Solutions

Marben08 · 05.06.2007, 17:31

Hey

ich bekomme seit gestern eine Viren meldung von antivir " dropper solution DR/180.... . Da ich so gut wie keine ahnung hab, und ich vor einiger zeit von einem W32 stanit angegriffen wurde, der mein kompletes system zerstört hat bin ich ganz vorsichtig und brauch proffesionellen rat. Ich hab den Dropper jetzt erst mal unter quarantäne gestellt. Ist das ok? Der W32 Stanit wurde erst durch das löschen im antivir aktiviert, hab ich mir sagen lassen. Will natürlich nicht das sowas nochmal passiert.
Hab jetzt schon mehrfach gelesen das ich ein hijack Logfile erstellen muß, hab ich gemacht. Kann ich dieses ohne bedenken senden? oder kommen dann vielleicht böse menschen an private infos von mir.

Kann mir bitte jemand helfen???!!!!

Franz1968 · 05.06.2007, 17:45

Zitat:

Zitat von Marben08

oder kommen dann vielleicht böse menschen an private infos von mir.

Nicht, wenn du dich daran hältst:

Zitat:

Zitat von Cidre:
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Marben08 · 05.06.2007, 18:03

das hört sich nach ner menge arbeit an. Mach ich gleich.
Wie schlimm ist so ein trojaner, kann er großen schaden verursachen? Er spioniert meine pc aus, ist das richtig? Kann er auch dateien zerstören?
Kann ich ihn dann einfach überschreiben?

Marben08 · 05.06.2007, 18:18

Ok, kann man erkennen?? Wenn ich was vergessen hab, sag bitte bescheid.

Danke

Logfile of HijackThis v1.99.1
Scan saved at 18:12:24, on 05.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\ehome\ehtray.exe
I:\WINDOWS\system32\RunDll32.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\WINDOWS\system32\rundll32.exe
I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
I:\Programme\iTunes\iTunesHelper.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
I:\Programme\Skype\Phone\Skype.exe
I:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
I:\Programme\Real\RealPlayer\RealPlay.exe
I:\Programme\Sitecom\Bluetooth Software\BTTray.exe
I:\Programme\Skype\Plugin Manager\skypePM.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
I:\WINDOWS\eHome\ehRecvr.exe
I:\WINDOWS\eHome\ehSched.exe
I:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
I:\Programme\iPod\bin\iPodService.exe
I:\WINDOWS\system32\wbem\wmiapsrv.exe
I:\WINDOWS\system32\dllhost.exe
I:\WINDOWS\system32\wuauclt.exe
I:\WINDOWS\eHome\ehmsas.exe
I:\Dokumente und Einstellungen\*****\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar4.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - I:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar4.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - I:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] I:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "I:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "I:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] I:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://I:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://I:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?ca2da4e45d9e4d8da9287108dfa274d5
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://I:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?ca2da4e45d9e4d8da9287108dfa274d5
O8 - Extra context menu item: Senden an &Bluetooth - I:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-77?RedirectEnter&partner=36420&loc=http://pages.ebay.de (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - I:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - I:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: I:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - I:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: WgaLogon - I:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - I:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - I:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - I:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

irrlicht · 05.06.2007, 18:42

Hallo,
sieht unauffällig aus ,dein Log....
Probiere folgendes : Starte in den abgesicherten Modus (beim anschalten der Kiste die Taste F8 gedrückt halten).
Dann machst du einen Komplettcheck mit deinem Antivir und postest die Ergebnisse.
Irrlicht

Marben08 · 08.06.2007, 17:39

Hallo,

hab mein pc im agesich.modus gesartet und antivir durchlaufen lassen, mir wurde das selbe angezeigt.
er steckt in folgender datei, I:/Recycler/S-1...............Insaller/BSInsallDE_DE5.2.5.5.exe. Ich schätz das ist bearshare, was ich vor einigen monaten mal installier habe, hab es aber schon seit längerer zeit deinstalliert und komplett gelöscht. Wenn ich dem Pfad folge kann ich diese datei nicht finden auch nicht wenn ich mein pc suchen lasse. Es tritt folgendes problem auf, ich kann einige seiten im internet nicht mehr oder nur noch manchmel öffnen, liegt wahrscheinlich an der verbindung, schätze ich. Soll ich ihn einfach im antivir löschen? und ihn somit beseitigen?

Danke für jeden ratschlag

gruß markus

Dropper Solutions

Log-Analyse und Auswertung: Dropper Solutions