|
Plagegeister aller Art und deren Bekämpfung: Erst TR/Dropper.Gen nun DR/Tool.Reboot.F.106Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.07.2008, 09:37 | #1 |
| Erst TR/Dropper.Gen nun DR/Tool.Reboot.F.106 Ja wie der Title schon sagt Zuerst war TR/Dropper.Gen da ... Gelöst hab ich das problem damit das ich im abgesicherten modus gestartet habe vorher die Wiederherstellung abgeschaltet habe und dann dort Antivir laufen lassen habe .. viele Trojaner wurden gefunden und beseitigt. Danach habe ich CCleaner benutzt und neugestartet nun dachte ich wäre alles erledigt aber plötzlich nach 2 tagen hat Antivir ein neuen Trojaner gefunden DR/Tool.Reboot.F.106... Gelöscht.... und heute schon wieder den gleichen nur in einem anderen verzeichnes. *seuftzt* 1. Fund :In der Datei 'C:\Dokumente und Einstellungen\-\Desktop\Navilog1.exe' wurde ein Virus oder unerwünschtes Programm 'DR/Tool.Reboot.F.106' [dropper] gefunden. Ausgeführte Aktion: Datei löschen 2. Fund : In der Datei 'C:\System Volume Information\_restore{12B8DF90-A91A-4C2F-8EEB-563CA4C30036}\RP7\A0000743.exe' wurde ein Virus oder unerwünschtes Programm 'DR/Tool.Reboot.F.106' [dropper] gefunden. Ausgeführte Aktion: Datei löschen Nun hab ich schonmal das HijackThis programm laufen lassen HIER die Logfile Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:16:23, on 02.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FileZilla Server\FileZilla Server.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Razer\razerhid.exe C:\Programme\Razer\razerofa.exe C:\Programme\Wallpaper4U\Wallpaper4U.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe c:\programme\antivir personaledition classic\avcenter.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [Dimondback] C:\Programme\Razer\Diamondback\razerhid.exe O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [Wallpaper4U] C:\Programme\Wallpaper4U\Wallpaper4U.exe -w O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{61A51B37-7B50-4035-8D98-B6EF0DBA0DCA}: NameServer = 213.209.104.220,213.209.104.250 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- End of file - 5646 bytes Danke schonmal für eure Hilfe :-) P.s: Tut mir leid wegen den Rechtsschreibfehlern bin Legasteniker ... ;-) |
02.07.2008, 10:18 | #2 |
| Erst TR/Dropper.Gen nun DR/Tool.Reboot.F.106 Hallo Lenox
__________________Das Navilog als Schädling erkannt wird ist ein False positiv also Fehlalarm. Ansonsten wird er noch in der Systemwiederherstellung erkannt. Navilog hast du bestimmt bei deiner Reinigung verwendet. Kann jetzt wieder deinstalliert werden vom Desktop Dann noch die Systemwiederherstellung deaktivieren. Rechner ausschalten und nach 1 Minute wieder einschalten. Systemwiederherstellung wieder aktivieren. Hast du dein Java deinstalliert? Kann ja das neuste wieder runtergeladen werden. |
02.07.2008, 13:46 | #3 |
| Erst TR/Dropper.Gen nun DR/Tool.Reboot.F.106 Erstmal danke für die schnelle antwort :-)
__________________Das bedeutet also alles falscher alarm und ich hab nochmal glück gehabt ? ;-) 1.Das mit dem Deinstallieren ich hoffe es geht noch wenn Antivir die Datei aufm Destop schon gelöscht hat . 2. Nein eigentlich habe ich Java nicht Deinstalliert warum ? 3. Ist mein Hijack log soweit inordnung ? 4.Ist also alles nicht schlimm ? Fragen über Fragen ich hoffe ich erschlage euch damit nicht ;-) Mfg Lenox |
Themen zu Erst TR/Dropper.Gen nun DR/Tool.Reboot.F.106 |
abgesicherten modus, antivir, application, avira, ctfmon.exe, desktop, einstellungen, ellung, explorer, firefox, ftp, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, nvidia, problem, programm, rojaner gefunden, rundll, server, software, system, tr/dropper.gen, trojaner, trojaner gefunden, unknown file in winsock lsp, virus, windows, windows xp |