TR/Dropper.Gen Avira Fund

Forenjunkie · 16.07.2008, 12:46

Hallo

heute während ich den Rechner liefen ließ (2 h) hat er sich einen Trojaner eingefangen... Kann das überhaupt sein? ich meine, ich habe gar nichts am Rechner gemacht, war woanders...

Als ich dann wieder an den Rechner kam:

sagt mir avira Antivir:

Es wurde ein Virus gefunden
...

TR/Dropper.Gen

da ich dachte, dieser Virus wäre ein gedownloadete Datei aus dem Inet bin ich auf "Zugriff verweigern" gegangen.

Hier nochmal die Meldung von Antivir (die 2. Manuelle Einsicht):

Zitat:

In der Datei 'C:\System Volume Information\_restore{F16968AD-86D1-4C42-90DB-7A9845E26190}\RP356\A0150478.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

über google habe ich ziemlich schnell mehr über den Virus erfahren, z.B dass man die systemwiederherstellung auf allen Laufwerken deaktivieren soll... hab ich gemacht

in dem oben von Antivir beschriebenen Verzeichnis liegen meines Wissens Wiederherstellungsdaten, ist das richtig? also könnte das Problem behoben sein...

Das ärgerliche an der ganzen Sache ist, dass der PC nicht mir gehört, sondern einer Bekannten als Arbeitslaptop dient und deswegen sehr wichtige Daten enthält. Formatieren ist aus meiner Sicht ausgeschlossen

Damit ich hier nicht ganz ohne Infos abzische , hier einmal die HJT Logs BEIM erkennen des TR und nach dem Zugriff verweigern:

BEIM:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:15, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\QKeys\QKeys.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\QTTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8B1E73A-46BA-42EB-A48C-A4C8B6710A34}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 5409 bytes

NACH:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:10, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\QKeys\QKeys.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\QTTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = ht*p://go.microsoft.com/fwlink/?LinkId=54843
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8B1E73A-46BA-42EB-A48C-A4C8B6710A34}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 5409 bytes

undoreal · 16.07.2008, 14:08

Halli hallo Forenjunkie

Zitat:

hat er sich einen Trojaner eingefangen... Kann das überhaupt sein?

der Trojaner war schon vorher auf der Platte, evtl. sogar schön gelöscht und daher nur in der Systemwiederherstellung gefunden und wurde dann während der Leerlaufuntersuchung von Avira gefunden. Ganz normal.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Programme\QKeys\QKeys.EXE

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Systembereinigung

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Unter File -> Database Update ->Start drücken.
Unter AVZPM -> Install extended monitoring driver drücken.
Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!
Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!

Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!

Nun starte den Scan bitte durch Drücken des Start Buttons.
Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.

Die beiden logs hänge bitte an deinen nächsten Post an.
Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

Forenjunkie · 16.07.2008, 14:59

danke für deine Antwort, sie macht mir wieder Mut

Ich habe jetzt die Systemwiederherstellung auf allen Laufwerken deaktiviert und alle Daten gelöscht (per Assi von Windows) allerdings habe ich ja bei Avira "zugriff verweigern" gewählt... Jetzt kann ich auf den beschriebenen ordner nicht zugreifen, kommt immer die Meldung :Zugriff verweigert!

ich schätze mal, dass das Antivir war, weiß einer, wie man das rückgängig macht?

Die proggis und Methoden teste ich heute Abend, der betroffene rechner ist allerdings kurz vorm

sein und der geht immer bei hoher Belastung aus !?
deswegen wirds ein wenig schwierig aber DANKE :aplaus:

Noch eine frage:

Wenn ich jetzt ein Gerät (PSP z.B ) anschließe, muss ich dann damit rechen, dass der Virus aufs Gerät übertragen wird?

bei Avira steht ja, dass der Virus sehr schwach ist...

schonmal Danke, dieses Board wird seinem Ruf gerecht :aplaus:

Forenjunkie · 19.07.2008, 16:58

so noch mal ich

Da der PC bei jedem Virencheck einfac ausgeht (war auch früher schon so, nichts neues, geht auch bei DVDs aus)

lass ich einfach es jetzt so wies ist und nehms wies kommt

Aber trotzdem noch zwei Fragen

- Die Daten, die dieser Trojaner herstellt, sind das Dateien, die normalerweise von einem Virenproggi gemeldet werden?
-verändert dieser Trojaner meine Dateien? oder macht er nur neue?

vielen Dank schon mal für Antworten

Forenjunkie · 19.07.2008, 20:02

ich bins nochmal

habe die empfohlenen Sachen gemacht und ist doch was bei rausgekommen:

Beim Upload

alles Clean

nur bei einer Sache soll Panda was gemerkt haben

na ja, bei der Virencheckmethode bin ich bis 170.000 Dateien gekommen (wären noch 2.5 mn bin Schluss) und er hatter NUR 2 Mailbomb gefunden...
Keine Trojaner etc... Leider ist dann der Laptop einfach ausgegangen

Will deswegen (kommt schon seit 1 Jahr dauernt vor) am Montag zu einem Experten!
ch würde mal sagen, das System ist clean ! Hatte auch die System Value... schon gescannt

Kann mir das einer bestätigen?

Danke schonmal im Vorraus

undoreal · 20.07.2008, 16:26

Magst du bitte die zwei AVZ logs und die VT Auswertung posten?!

Forenjunkie · 22.07.2008, 18:19

So habe gerade den Übertäter gefunden (deswegen stürtze der Laptop immer ab) war das Netzkabel !

Kein originales, eine Austauschware nicht vom Hersteller

Also direkt nur mit Akku Check gemacht und super, es geht

Log.txt

Zitat:

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 22.07.2008 18:05:49
Database loaded: signatures - 177330, NN profile(s) - 2, microprograms of healing - 56, signature database released 21.07.2008 23:31
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 71511
Heuristic analyzer mode: Maximum heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
Searching for masking processes and drivers - complete
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 30
Analyzer: process under analysis is 1616 C:\Programme\AntiVir PersonalEdition Classic\sched.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 1628 C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
Analyzer: process under analysis is 128 C:\WINDOWS\System32\PAStiSvc.exe
[ES]:Application has no visible windows
[ES]:Located in system folder
Analyzer: process under analysis is 196 C:\WINDOWS\wanmpsvc.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Located in system folder
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 840 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 2600 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Number of modules loaded: 301
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\Andrea Rieck\Cookies\index.dat
music_src/audio_id MailBomb detected !
SYSTEM/m3sakura/swapfile.$$$ MailBomb detected !
Direct reading C:\Dokumente und Einstellungen\Andrea Rieck\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\Andrea Rieck\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\Andrea Rieck\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\Andrea Rieck\ntuser.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\Perflib_Perfdata_74c.dat
Direct reading C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading C:\Programme\InstallShield Installation Information\{28173CE5-FDC0-11D9-B098-009027EC0701}\Setup.ilg
Direct reading C:\Programme\InstallShield Installation Information\{E825D490-927B-43E5-BD45-3ABF03D6347A}\setup.ilg
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\master.mdf
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\mastlog.ldf
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\model.mdf
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\modellog.ldf
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdbdata.mdf
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdblog.ldf
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\tempdb.mdf
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\templog.ldf
Direct reading C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG
Direct reading C:\System Volume Information\_restore{F16968AD-86D1-4C42-90DB-7A9845E26190}\RP399\change.log
Direct reading C:\WINDOWS\SchedLgU.Txt
Direct reading C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading C:\WINDOWS\system32\config\default
Direct reading C:\WINDOWS\system32\config\Internet.evt
Direct reading C:\WINDOWS\system32\config\SAM
Direct reading C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading C:\WINDOWS\system32\config\SECURITY
Direct reading C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading C:\WINDOWS\system32\config\system
C:\WINDOWS\system32\shdocvw.bak - PE file with non-standard extension(dangerousness level is 5%)
File quarantined succesfully (C:\WINDOWS\system32\shdocvw.bak)
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Direct reading C:\WINDOWS\WindowsUpdate.log
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 225067, extracted from archives: 158656, malicious software found 0, suspicions - 0
Scanning finished at 22.07.2008 19:02:33
Time of scanning: 00:56:46
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

das andere Log war nur eine Datei (C:\WINDOWS\SYSTEM32\shdocvw.bak)
hab ich bei Virus Total hochgeladen und kein Scanner sprang an

Na ja, wäre toll, wenn sich jmd. das Log anschauen würde

undoreal · 24.07.2008, 11:35

Das log sieht gut aus..

20.07.2008, 16:26	#6
undoreal /// AVZ-Toolkit Guru	TR/Dropper.Gen Avira Fund Magst du bitte die zwei AVZ logs und die VT Auswertung posten?! __________________ --> TR/Dropper.Gen Avira Fund

24.07.2008, 11:35	#8
undoreal /// AVZ-Toolkit Guru	TR/Dropper.Gen Avira Fund Das log sieht gut aus.. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

TR/Dropper.Gen Avira Fund

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen Avira Fund