Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted

mr87 · 12.12.2008, 12:12

Hallo zusammen,

ich habe zwar paar Beiträge zwar zu diesem Thema gelesen jedoch nirgendwo eine endgültige Lösung dazu gefunden.
Deshalb wollte ich ein neuen Beitrag dazu öffnen.

Folgende Störung tritt auf:

User bekommen von Avira folgende meldung:
Auf Ihren Computer wurde ein Virus oder unerwünschtes Programm gefunden!
C: Dokumente und Einstellungen\.. ucxzge[1] .jpg
Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert
HIDDENEXT\Crypted.

Diese wird zwar laut Avira in Quarantäne verschoben jedoch bekommt der User diese Meldung mehrfach von ca. 7 verschieben *.jpg Dateien. Diese befinden sich entweder beim lokalen Usern in den Temporären Internet Dateien aber auch bei User Network Service.
Den gesamten Inhalt habe ich gelöscht jedoch kam die Meldung nach spätestens einer halben Stunde wieder.
Desweiteren bekommen seitdem einige User folgende Meldung:

Generic Host Process Im Win32 Seivices hat ein Problem festgestellt und muss beendet werden.

Nach einem Klick auf "Nicht Senden" friert der PC ein und es muss ein cold resert gemacht werden. Diese Störung tritt dann mehrfach am Fag auf und ist höchst lästig.

Vorgestern meldete Avira dann folgendes:

Avira AntiVir Professional erkannte in der Datei
C:\WINDOWS\system32\x
verdächtigen Code mit der Bezeichnung TR/Dropper.Gen

Ich habe exemplarisch bei einem User Hijack ausgeführt und das Log beigefügt. Wenn jemand dazu einen Lösungsvorschlag hat wäre ich sehr dankbar da ich mit meinem Latein am ende bin und dies höchst nervend ist.

vielen danke im vorraus

ps: mir ist aufgefallen, dass bei Usern die Vista nutzen dieser Virus nicht kommt.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:38:36, on 12.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Workstation\sched.exe
C:\Programme\Avira\Avira Security Management Center Agent\agent.exe
C:\Programme\Avira\AntiVir Workstation\avguard.exe
C:\Programme\Avira\AntiVir Workstation\avesvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Programme\Avira\AntiVir Workstation\avmailc.exe
C:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\bgsmsnd.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir Workstation\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Trilogy\lib\UpdateAgent.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\Snapware\Snapware.exe
C:\Programme\lotus\notes\ntaskldr.EXE
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Business Solutions-Navision\Client\fin.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.16.0.15:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = rzweb.bechtle.de;www-intern.bechtle.de;adressinfo.bechtle.de;sapfiweb.bechtle.de;10.*.*.*;www-*.bechtle.de;e*.bechtle.de;b*.bechtle.de;i*.bechtle.de;s*.bechtle.de;its*;as*;info.bechtle.de;blog.bechtle.de;<local>
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\bgstb.dll
O3 - Toolbar: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\bgstb.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\system32\bgsmsnd.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Update Agent.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_17\bin\npjpi142_17.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_17\bin\npjpi142_17.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213012431923
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - hxxps://fujitsu-siemens.webex.com/client/T26L/webex/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = BEBN.local
O17 - HKLM\Software\..\Telephony: DomainName = BEBN.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = BEBN.local
O20 - AppInit_DLLs: msjt3032Patch.dll
O23 - Service: Avira Security Management Center Agent (AntiVir Security Management Center Agent) - Avira GmbH - C:\Programme\Avira\Avira Security Management Center Agent\agent.exe
O23 - Service: Avira AntiVir Professional MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avmailc.exe
O23 - Service: Avira AntiVir Professional Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\sched.exe
O23 - Service: Avira AntiVir Professional Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avguard.exe
O23 - Service: Avira AntiVir Professional WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Professional MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avesvc.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe

--
End of file - 7104 bytes

Franz1968 · 12.12.2008, 12:17

User, bei einem User, User mit Vista?
Um wessen System geht's denn nun? Bist du Admin?

mr87 · 12.12.2008, 12:27

Zitat:

Zitat von Franz1968

User, bei einem User, User mit Vista?
Um wessen System geht's denn nun? Bist du Admin?

Das Problem tritt bei XP Usern(ca 30 Personen) auf. Deshalb habe ich auch ein Hijacker Log von einem XP Rechner gemacht. Vista User sind davon nicht betroffen.

Kampy · 28.07.2009, 09:58

geht mir genauso. hab ihn bis jetzt nicht weggekriegt. ich lösch immer den ordner in den temporären Dateien dann hab ich bis zum nächsten Reboot Ruhe. Ab und zu hab ich gedacht ihn wegbekommen zu haben, aber er kommt dann doch immer wieder. Hier hat mir auch keiner dazu geholfen auf dem Board

12.12.2008, 12:17	#2
Franz1968 /// Helfer-Team	$Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted - Standard$ Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted User, bei einem User, User mit Vista? Um wessen System geht's denn nun? Bist du Admin? __________________ __________________

Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted

Log-Analyse und Auswertung: Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted