Erst TR/Dropper.Gen nun DR/Tool.Reboot.F.106

Lenox · 02.07.2008, 09:37

Ja wie der Title schon sagt
Zuerst war TR/Dropper.Gen da ...
Gelöst hab ich das problem damit das ich im abgesicherten modus gestartet habe vorher die Wiederherstellung abgeschaltet habe und dann dort Antivir laufen lassen habe .. viele Trojaner wurden gefunden und beseitigt.
Danach habe ich CCleaner benutzt und neugestartet nun dachte ich wäre alles erledigt aber plötzlich nach 2 tagen hat Antivir ein neuen Trojaner gefunden
DR/Tool.Reboot.F.106...
Gelöscht.... und heute schon wieder den gleichen nur in einem anderen verzeichnes. *seuftzt*

1. Fund :In der Datei 'C:\Dokumente und Einstellungen\-\Desktop\Navilog1.exe'
wurde ein Virus oder unerwünschtes Programm 'DR/Tool.Reboot.F.106' [dropper] gefunden.
Ausgeführte Aktion: Datei löschen

2. Fund : In der Datei 'C:\System Volume Information\_restore{12B8DF90-A91A-4C2F-8EEB-563CA4C30036}\RP7\A0000743.exe'
wurde ein Virus oder unerwünschtes Programm 'DR/Tool.Reboot.F.106' [dropper] gefunden.
Ausgeführte Aktion: Datei löschen

Nun hab ich schonmal das HijackThis programm laufen lassen HIER die Logfile

Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:23, on 02.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Wallpaper4U\Wallpaper4U.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Dimondback] C:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Wallpaper4U] C:\Programme\Wallpaper4U\Wallpaper4U.exe -w
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{61A51B37-7B50-4035-8D98-B6EF0DBA0DCA}: NameServer = 213.209.104.220,213.209.104.250
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 5646 bytes

Danke schonmal für eure Hilfe :-)

P.s: Tut mir leid wegen den Rechtsschreibfehlern bin Legasteniker ... ;-)

blow-in · 02.07.2008, 10:18

Hallo Lenox
Das Navilog als Schädling erkannt wird ist ein False positiv also Fehlalarm. Ansonsten wird er noch in der Systemwiederherstellung erkannt.
Navilog hast du bestimmt bei deiner Reinigung verwendet. Kann jetzt wieder deinstalliert werden vom Desktop
Dann noch die Systemwiederherstellung deaktivieren. Rechner ausschalten und nach 1 Minute wieder einschalten. Systemwiederherstellung wieder aktivieren.
Hast du dein Java deinstalliert?
Kann ja das neuste wieder runtergeladen werden.

Lenox · 02.07.2008, 13:46

Erstmal danke für die schnelle antwort :-)

Das bedeutet also alles falscher alarm und ich hab nochmal glück gehabt ? ;-)

1.Das mit dem Deinstallieren ich hoffe es geht noch wenn Antivir die Datei aufm Destop schon gelöscht hat .

2. Nein eigentlich habe ich Java nicht Deinstalliert warum ?

3. Ist mein Hijack log soweit inordnung ?

4.Ist also alles nicht schlimm ?

Fragen über Fragen ich hoffe ich erschlage euch damit nicht ;-)

Mfg
Lenox

Erst TR/Dropper.Gen nun DR/Tool.Reboot.F.106

Plagegeister aller Art und deren Bekämpfung: Erst TR/Dropper.Gen nun DR/Tool.Reboot.F.106