|
Plagegeister aller Art und deren Bekämpfung: TR/Dropper.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.11.2008, 03:17 | #1 |
| TR/Dropper.Gen Moin ! ich habe vorhin den oben genannten Virus bzw Malware über Antivir entdeckt: Die Datei 'C:\System Volume Information\_restore{E879C21C-5467-4D90-8A8C-B218364A3DDA}\RP269\A0031031.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494a2f38.qua' verschoben! ich wurde misstrauisch nachdem die arcor.de seite nicht mehr richtig geladen wurde.. dies tut sie auch immer noch nicht (hat vllt auch nichts damit zu tun) ich habe ein paar tips befolgt und habe die systemwiederherstellung deaktiviert, CCleaner drüber laufen lassen und habe dieses hijack erstellt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:56:59, on 12.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\winsys2.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\WINDOWS\SOUNDMAN.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\Orbitdownloader\orbitdm.exe D:\Programme\Orbitdownloader\orbitnet.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\svchost.exe D:\Programme\Skype\Plugin Manager\skypePM.exe D:\WINDOWS\system32\wscntfy.exe D:\Programme\CCleaner\CCleaner.exe D:\WINDOWS\system32\wuauclt.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Programme\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] D:\WINDOWS\system32\sw20.exe O4 - HKLM\..\Run: [SW24] D:\WINDOWS\system32\sw24.exe O4 - HKLM\..\Run: [WinSys2] D:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Orbit.lnk = D:\Programme\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe -- End of file - 4153 bytes ist soweit alles in ordnung oder habe ich mir weiteres eingefangen bzw drauf.. ? bin leider nicht allzu erfahren mit trojanern und co. bisher habe ich immer formatiert um weiteren schaden zu vermeiden... diesmal sitzt er jedoch auf einer partition die ich ungern formatieren möchte... ich bitte um hilfe ° ° warte gespannt auf antwort lg Pita |
12.11.2008, 20:48 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Dropper.Gen Hallo und
__________________Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter D:\WINDOWS\system32\sw20.exe D:\WINDOWS\system32\sw24.exe D:\WINDOWS\system32\winsys2.exe 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
Themen zu TR/Dropper.Gen |
'tr/dropper.gen', .com, 1.exe, antivir, antivirus, avg, avira, bho, bitte um hilfe, downloader, ellung, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware, mozilla, programm, rundll, system, tr/dropper.gen, trojan, trojaner, virus, windows, windows xp |