|
Log-Analyse und Auswertung: Hilfe: Trojaner TR/Dropper.GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.09.2008, 19:05 | #1 |
| Hilfe: Trojaner TR/Dropper.Gen Hallo, zunächst einmal vorweg: Ich bin nicht gerade fit in Sachen Computer. Das ist auch mein erstes Mal, dass ich über ein Forum um Hilfe bitte; ich hoffe, ich mache alles korrekt. Also, zu meinem Problem: Ich habe mir den Trojaner TR/Dropper.Gen eingefangen. Seit gestern meldet mir Antivir immer wieder, wenn ich meinen Internet-Browser (neueste Version Mozilla Firefox) öffne, dass er TR/Dropper.Gen gefunden hat. Ich versuche ihn dann in die Quarantäne zu stellen oder zu löschen, was aber leider nichts bringt. Meldung erscheint immer wieder. Dazu öffnet sich dann immer ein Browser-Fenster, meist mit einer "Sex-Seite" mit der Aufforderung, sich da anzumelden; oder auch Werbung für Spyware-Programme. Ich habe auch schon in anderen Beiträgen oder anderen Foren versucht, mein Problem zu lösen, konnte aber keinen für mich wirklich hilfreichen Tipp finden. Ich habe auch schon, wie in einem Beitrag empfohlen, die Systemwiederherstellung deaktiviert und den Rechner neu gestartet und daraufhin die SWH wieder aktiviert. Brachte leider auch nicht den gewünschten Effekt. Mein Betriebssystem: Windows XP SP2 Wäre super, wenn mit jemand sagen könnte, wie ich den sch... Trojaner wieder aus meinem System bringe. Vielen Dank schon mal. Im folgenden das Protokoll von HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:43:52, on 24.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE C:\Programme\Lexmark X6100 Series\lxbfbmon.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mim.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\uuttzbhg.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\update\update.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [tvjbmonitor] C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB002" /M "Stylus D88" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [uuttzbhg] "c:\dokumente und einstellungen\mike\lokale einstellungen\anwendungsdaten\uuttzbhg.exe" uuttzbhg O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: VPN Client.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O17 - HKLM\System\CCS\Services\Tcpip\..\{9C05CA41-7A48-4248-B2BA-E327605DCE42}: NameServer = 212.18.3.5 212.18.0.5 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 10245 bytes |
24.09.2008, 19:17 | #2 |
| Hilfe: Trojaner TR/Dropper.Gen Same same (wie der Thai sagen würde)
__________________Also, den Text hätte ich schreiben können, ich hab nämlich das selbe Problem. Ich wäre also ebenso über eine Antwort erfreut wie "macmib". Vielen Dank und ach dir (macmib) viel Glück. P.S.: Wenn du vor mir was rauskriegst bitte hier bescheidgeben |
24.09.2008, 19:21 | #3 |
| Hilfe: Trojaner TR/Dropper.Gen ...erster post hat ja doch geklappt..
__________________Geändert von MeisterMoatl (24.09.2008 um 19:35 Uhr) |
24.09.2008, 19:23 | #4 |
| Hilfe: Trojaner TR/Dropper.Gen Hallo, folgende Datein sind auf deinem System schädlich: C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\uuttzbhg.exe c:\dokumente und einstellungen\mike\lokale einstellungen\anwendungsdaten\uuttzbhg.exe Bitte mit den Datein folgendes machen: Tests durchführen 1. Anubis Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse. 2. Virustotal Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite. Desweiteren dürfte euch beiden folgende Infoseiten helfen: http://www.avira.com/de/threats/sect...647/index.html http://www.trojaner-board.de/57791-t...deckt-tun.html http://www.trojaner-board.de/44870-b...ngefangen.html Tipp wenn ihr diesen Beitrag lest solltet ihr schon weiter kommen. Also der kann sich auch in die Systemwiederherstellung setzen und sich somit immer wieder neu herstellen: Deaktivieren geht so>> |
25.09.2008, 08:49 | #5 |
| Hilfe: Trojaner TR/Dropper.Gen Hallo Xonic, vielen Dank erstmal für die schnelle Antwort. Anubis hat nichts an der C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\uuttzbhg.exe auszusetzen. VirusTotal hat untenstehendes gemeldet; kann leider nichts damit anfangen. Nun versuche ich mal deine Tipps mit Malwarebytes und Navilog1. Mal sehen, was dabei rauskommt. Werde mich heute Abend mal damit auseinandersetzen und mich wieder melden, hoffentlich wenn der drecks Trojaner sich auf Nimmerwiedersehen verabschiedet hat. Und hier das Protokoll vom Virus-Total-Scan (einfach mal drangehängt): Datei uuttzbhg.exe empfangen 2008.09.25 09:15:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/36 (2.78%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 51 und 73 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.25.0 2008.09.25 - AntiVir 7.8.1.34 2008.09.25 - Authentium 5.1.0.4 2008.09.24 - Avast 4.8.1195.0 2008.09.24 - AVG 8.0.0.161 2008.09.24 - BitDefender 7.2 2008.09.25 - CAT-QuickHeal 9.50 2008.09.25 - ClamAV 0.93.1 2008.09.25 - DrWeb 4.44.0.09170 2008.09.25 - eSafe 7.0.17.0 2008.09.24 - eTrust-Vet 31.6.6105 2008.09.24 - Ewido 4.0 2008.09.24 - F-Prot 4.4.4.56 2008.09.25 - F-Secure 8.0.14332.0 2008.09.25 - Fortinet 3.113.0.0 2008.09.25 - GData 19 2008.09.25 - Ikarus T3.1.1.34.0 2008.09.25 - K7AntiVirus 7.10.470 2008.09.24 - Kaspersky 7.0.0.125 2008.09.25 - McAfee 5391 2008.09.24 - Microsoft 1.3903 2008.09.25 - NOD32 3469 2008.09.24 - Norman 5.80.02 2008.09.24 - Panda 9.0.0.4 2008.09.24 - PCTools 4.4.2.0 2008.09.24 - Prevx1 V2 2008.09.25 Suspicious Rising 20.63.31.00 2008.09.25 - Sophos 4.33.0 2008.09.25 - Sunbelt 3.1.1668.1 2008.09.24 - Symantec 10 2008.09.25 - TheHacker 6.3.0.9.093 2008.09.25 - TrendMicro 8.700.0.1004 2008.09.25 - VBA32 3.12.8.6 2008.09.25 - ViRobot 2008.9.25.1391 2008.09.25 - VirusBuster 4.5.11.0 2008.09.24 - Webwasher-Gateway 6.6.2 2008.09.25 - weitere Informationen File size: 262144 bytes MD5...: 17fecee53830326609212d548ed18b75 SHA1..: 8251017e3aa91da9f6a0a81f94f7b8b534807cff SHA256: 2a178197013388258d44f99aca042453eeda3e19a7d0366c4d344245efee8837 SHA512: fd752704d8e4884c67cdc6959c043c8568e72d177d72572ce7af2658c9b51346 f1932a4034fe29737a4b8a292010b466fe742ec31cb126ea8a02a6a749116713 PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x43b879 timedatestamp.....: 0x45d9e0f1 (Mon Feb 19 17:40:01 2007) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3aa0c 0x3b000 7.42 0d85d07cb4d24ec67922550f91fd0a30 .rdata 0x3c000 0x177a 0x2000 4.59 67008dfd5bc5879f3fcc7e4c49b309bd .data 0x3e000 0x195c 0x2000 3.46 59dd48dd80328589ea0870cf10157395 ( 11 imports ) > KERNEL32.dll: GetLogicalDriveStringsA, SetProcessAffinityMask, ExpandEnvironmentStringsW, VirtualQueryEx, DebugBreak, GetSystemDefaultLangID, SetConsoleOutputCP, FreeLibrary, GetProcessTimes, CopyFileExW, WaitNamedPipeA, CancelIo, _lopen, GetWindowsDirectoryA, PrepareTape, lstrcmpiW, ClearCommBreak, FreeResource, WritePrivateProfileStringW, TryEnterCriticalSection, GetTimeZoneInformation, GetComputerNameW, IsBadReadPtr, GetHandleInformation, SetConsoleActiveScreenBuffer, FindFirstFileA, CreateProcessA, CreateIoCompletionPort, CompareStringW, EnumTimeFormatsW, SetCommTimeouts, VirtualUnlock, FindResourceExW, GetDateFormatA, GetConsoleMode, SystemTimeToFileTime, GetLocaleInfoW, ExitThread, CreateWaitableTimerA, SetStdHandle, GlobalGetAtomNameW, AreFileApisANSI, GetPrivateProfileSectionW, VirtualLock, ReadFileScatter, SetProcessWorkingSetSize, CloseHandle, SetSystemTime, GetOEMCP, GetOverlappedResult, FatalAppExitA, GetFullPathNameA, GetACP, GetProcessHeap, GetFileAttributesA, VirtualProtect, GetVersionExA, EnumSystemCodePagesA, FreeLibraryAndExitThread, ReadFile, GlobalReAlloc, SetVolumeLabelA, LocalFileTimeToFileTime, lstrcmpiA, GetTempFileNameA, LCMapStringA, CreatePipe, InitializeCriticalSection, SetLastError, OutputDebugStringA, GetTapeStatus, LeaveCriticalSection, RemoveDirectoryW, GetModuleHandleA, SetHandleCount, SetThreadPriorityBoost, GetShortPathNameW, SetupComm, DuplicateHandle, GetAtomNameA, GetTickCount, PulseEvent, SetFileAttributesA, WritePrivateProfileSectionW, GetUserDefaultLCID, GetCommConfig, EnumResourceNamesW, SetEnvironmentVariableA, SetEnvironmentVariableW, GetStartupInfoA, GetFileAttributesExA, WriteConsoleOutputW, lstrlenA, _hread, VirtualAlloc > USER32.dll: GetUpdateRect, SetPropW, SetCursor, OpenWindowStationA, ArrangeIconicWindows, DialogBoxIndirectParamA, InternalGetWindowText, OemToCharA, GetGuiResources, MenuItemFromPoint, InsertMenuA, UnhookWinEvent, UnregisterClassW, AdjustWindowRect, wsprintfA, ToUnicodeEx, SetForegroundWindow, MapVirtualKeyExW, SendNotifyMessageA, BringWindowToTop, GetTopWindow, IsDialogMessageW, SetLastErrorEx, MonitorFromWindow, WaitForInputIdle, GetWindowTextLengthA, CreateIcon, GetWindowLongW, DrawTextExA, MapWindowPoints, IsCharAlphaNumericW, GetProcessDefaultLayout, EnumDisplaySettingsW, MapVirtualKeyA, IsClipboardFormatAvailable, EnumWindowStationsA, LoadCursorW, UnionRect, ShowCaret, EnableMenuItem, LoadIconW, CreateDialogParamW > GDI32.dll: GetOutlineTextMetricsA, GetRgnBox, CreateMetaFileA, CombineRgn, SetROP2, ScaleViewportExtEx, PlayEnhMetaFile, Polygon, EnumFontsA, GetBrushOrgEx, StrokeAndFillPath, RealizePalette, UpdateColors, GetEnhMetaFileDescriptionA, CreateDCA, AddFontResourceW, IntersectClipRect, SelectObject, EnumObjects, GetNearestPaletteIndex, SelectClipPath > comdlg32.dll: ReplaceTextW, GetOpenFileNameW, FindTextA > ADVAPI32.dll: SetServiceStatus, SetKernelObjectSecurity, EqualSid, OpenThreadToken, SetNamedSecurityInfoA, RegSetValueExA, CryptDeriveKey, CryptGetHashParam, BuildTrusteeWithNameW, GetSecurityDescriptorSacl, GetServiceDisplayNameW, CryptVerifySignatureA > SHELL32.dll: Shell_NotifyIconA, FindExecutableW, SHBrowseForFolderA, FindExecutableA, SHGetPathFromIDListA > ole32.dll: CoReleaseMarshalData, CoMarshalInterface, CoCreateInstanceEx, ReadFmtUserTypeStg, OleIsRunning, CoUninitialize, CoFreeAllLibraries > OLEAUT32.dll: -, -, - > COMCTL32.dll: - > SHLWAPI.dll: StrTrimW, SHRegGetUSValueW, PathFindNextComponentW, PathIsUNCA, AssocQueryStringW, StrCatBuffW, SHRegQueryUSValueW > MSVCRT.dll: _acmdln, exit, _XcptFilter, _exit, _controlfp, _except_handler3, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B2DC72B500F6EBDD00A9047B0D3C930026CB7D6E |
25.09.2008, 09:17 | #6 |
| Hilfe: Trojaner TR/Dropper.Gen P.S.: Wenn du vor mir was rauskriegst bitte hier bescheidgeben[/QUOTE] Hallo MeisterMoatl, bislang kann ich leider noch keine Erfolgsmeldung liefern. Falls du das Ei des Kolumbus gefunden hast, kannst mich ja informieren. Ich glaube, das wird ein langer Abend am PC heute für mich. |
25.09.2008, 20:09 | #7 |
| Hilfe: Trojaner TR/Dropper.Gen Hallo Xonic, habe jetzt mit Malewarebytes und anschließend mit Navilog wie beschrieben die Festplatte gescannt (Logs dazu stehen unten). Danach die Systemwiederherstellung deaktiviert und Rechner neu gestartet. Nochmal mit beiden Programmen gescannt. Mal sehen was passiert. Hier der Malware-Log: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1204 Windows 5.1.2600 Service Pack 3 25.09.2008 20:44:50 mbam-log-2008-09-25 (20-44-45).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|L:\|) Durchsuchte Objekte: 200350 Laufzeit: 1 hour(s), 36 minute(s), 42 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Media Access (Adware.MediaAccess) -> No action taken. HKEY_CLASSES_ROOT\AppID\LoaderX.EXE (Adware.Winad) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und hier der Navi-Log: Search Navipromo version 3.6.5 began on 25.09.2008 at 20:51:15,32 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : *** Updated on 22.08.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** *** Search folders in "C:\DOKUME~1\Admin\anwend~1" *** *** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" *** *** Search folders in "C:\DOKUME~1\Kinder\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Admin\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Kinder\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\Admin\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\Kinder\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\Admin\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\Kinder\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : uuttzbhg.dat found ! uuttzbhg.exe found ! uuttzbhg_nav.dat found ! uuttzbhg_navps.dat found ! * In "C:\DOKUME~1\Admin\lokale~1\anwend~1" : * In "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" : * In "C:\DOKUME~1\Kinder\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! Montorgueil certificate not found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 25.09.2008 at 20:58:50,64 *** |
25.09.2008, 22:31 | #8 |
| Hilfe: Trojaner TR/Dropper.Gen Hallo, so untenstehend die Logs, die ich nach der SWH aufgezeichnet habe, nachdem ich mit Navilog bereinigt, anschließend mit Maleware gescannt und nochmals mit Navilog gescannt habe. Hoffentlich habe ich das Problem dank deiner/eurer Hilfe nach stundenlangem posten, scannen und removen beheben können. Falls nicht, versuch ichs nochmal hier. Ansonsten vielen Dank. Die (hoffentlich) abschließenden Logs: MALWAREBYTES: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1204 Windows 5.1.2600 Service Pack 3 25.09.2008 23:05:44 mbam-log-2008-09-25 (23-05-44).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 158451 Laufzeit: 1 hour(s), 0 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Media Access (Adware.MediaAccess) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\LoaderX.EXE (Adware.Winad) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) NAVILOG: Search Navipromo version 3.6.5 began on 25.09.2008 at 23:07:38,21 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "***" Updated on 22.08.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" *** *** Search folders in "C:\DOKUME~1\Admin\anwend~1" *** *** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" *** *** Search folders in "C:\DOKUME~1\Kinder\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Admin\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\Kinder\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\Admin\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\Kinder\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\Admin\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\Kinder\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" : * In "C:\DOKUME~1\Admin\lokale~1\anwend~1" : * In "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" : * In "C:\DOKUME~1\Kinder\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 25.09.2008 at 23:13:32,54 *** |
26.09.2008, 08:44 | #9 |
| Hilfe: Trojaner TR/Dropper.Gen Also, die Maßnahmen scheinen gegriffen zu haben. Trojaner offenbar entfernt. Bislang funzt alles wie geschmiert. Ein herzliches Dankeschön. |
Themen zu Hilfe: Trojaner TR/Dropper.Gen |
adobe, antivir, avg, avira, bho, bonjour, browser-fenster, defender, drivers, einstellungen, ellung, firefox, google, hijack, hijackthis, hkus\s-1-5-18, home, immer wieder, internet explorer, mozilla, mozilla thunderbird, problem, rundll, security, super, symantec, trojaner, usb, werbung, windows, windows defender, windows xp |