| |
| |||||||
Log-Analyse und Auswertung: TR/Dropper.gen Malware-BeseitigungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.01.2009, 00:31
| #1 |
| |  TR/Dropper.gen Malware-Beseitigung Hallo schönen guten abend, leider habe ich auch einen Trojaner dieser Art:TR/Dropper.gen (Malware) eingefangen und weiss jetzt nicht was ich genau tun soll. Ich habe 2 Partitionen. Ich würde es auch in Kauf nehmen beide Platten zu formatieren! Die Frage ist: reicht das Formatieren um davon auszugehen, dass der Trojaner dann endgültig weg ist? Eine Zeile mit F2....ntos.exe existiert nicht, da ich gelesen habe, das dieser ein gravierender Fehler ist. Wenn ich die daten jetzt sicher und antivir keinen trojaner darauf anzeigt, kann es trotzdem sein dass sich dort ein trojaner versteckt?? Ich hatte jetzt Angst, die Hijackthisfile auf diesen Rechner zu spielen, weil ich nicht wusste inwiefern Trojaner sich verbreiten. ich werde die HJT file morgen hier mal posten. Beste Grüße und vielen Dank für eure antworten schonmal! satisfy ps.: zudem komme ich nur noch in den abgesicherten Modus!! Hilfe ich verzweifle meine Seminarbeit is da drauf! das ist gerade wie in einem albtraum! Geändert von satisfy (21.01.2009 um 00:44 Uhr) |
|
21.01.2009, 08:36
| #2 |
| | TR/Dropper.gen Malware-Beseitigung Der Trojaner hat irgendwie eine andere Form wie die bisher bekannten hier im Forum!
__________________Nachdem ich den TR/Dropper.gen gefunden habe und gelöscht habe, hat sich dann abends nen Winrar Werbe Pop-Up geöffnet. dann hat der PC sich runtergefahren und seitdem geht nichts mehr. Wenn ich ihn starte piept er am anfang nur noch und bootet nicht mehr hoch. In den abgesicherten Modus komm ich noch, wie soll ich nun vorgehen? ich bin wirklich verzweifelt... hilfe... jetzt bootet der wieder! komisch hier is die hijackthisfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:43:17, on 21.01.2009 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16764) Boot mode: Safe mode Running processes: C:\Windows\Explorer.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ViivMonitor] C:\Program Files\Intel\Intel Media Share Software\ViivMonitor.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: PDFCreator.lnk = C:\Program Files\PDFCreator\PDFCreator.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photoup...che=1222026080 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photoup...che=1211229818 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Abaqus Licence Server - Macrovision Corporation - C:\ABAQUS\License\lmgrd.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ASDM_Service - EnviProt - C:\Program Files\AutoShutdownManager\Services\AutoShutdownManager_Service.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Flexlm Service 1 - Macrovision Corporation - C:\ABAQUS\License\lmgrd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Intel® Media Share Synch Service (IMSSync) - Intel® Corporation - C:\Program Files\Intel\Intel Media Share Software\IMSSync.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB701\webserver\bin\win32\matlabserver.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe -- End of file - 7837 bytes und die Malwarebyte logfile: Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1654 Windows 6.0.6000 21.01.2009 08:42:19 mbam-log-2009-01-21 (08-42-19).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 290273 Laufzeit: 51 minute(s), 15 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von satisfy (21.01.2009 um 09:07 Uhr) |
|
21.01.2009, 15:46
| #3 |
| | TR/Dropper.gen Malware-Beseitigung das problem ist wirklich dringend, ich wäre super dankbar wenn mir jemand helfen könnte! ich schreibe gerade meine seminararbeit und die zeit rennt ohne notebook... hülfeeee:aplaus:
__________________ |
|
21.01.2009, 15:49
| #4 |
 | TR/Dropper.gen Malware-Beseitigung Der HiJackThis-Log ist sauber. Malwarebytes ebenfalls. Antivir mal durchlaufen gelassen? SuperAntiSpyware zum Schluss durchlaufen lassen. |
|
21.01.2009, 16:36
| #5 |
| | TR/Dropper.gen Malware-Beseitigung ja hab antivir laufen lassen und es tauchen nur 2 Warnungen auf, pagefile.sys und ne andere sys datei die ich gerade nicht mehr weiß da ich auf der arbeit bin. ich werde dann mal heute abend kaspersky und SUPERAntiSpyware drüberlaufen lassen. aber schonmal gut zu hören, dass diese 2 logfiles clean sind. es kam zwar so ne komische fehlermeldung als ich HijackThis laufen hatte, aber naja , die logfile ist jedenfalls das resultat.mein pc ist sehr langsam zur zeit, ich überleg daher mir die ganze arbeit zu ersparen und einfach eine partition zu formatieren. reicht das? oder sollte ich die andere mitformatieren, obwohl da nur bilder sind? Beste grüße Satisfy |
|
21.01.2009, 16:38
| #6 |
| | TR/Dropper.gen Malware-Beseitigung Warum willst du Kaspersky durchlaufen lassen? Anti-Vir reicht  |
|
21.01.2009, 21:37
| #7 |
| | TR/Dropper.gen Malware-Beseitigung Antispyware hat folgendes ergeben: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 01/21/2009 at 09:26 PM Application Version : 4.25.1012 Core Rules Database Version : 3719 Trace Rules Database Version: 1693 Scan type : Complete Scan Total Scan Time : 01:50:13 Memory items scanned : 812 Memory threats detected : 0 Registry items scanned : 6766 Registry threats detected : 0 File items scanned : 245811 File threats detected : 29 Adware.Tracking Cookie C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@atdmt[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@ad.71i[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@insightexpressai[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@data.coremetrics[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@bluestreak[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@adopt.euroclick[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@serving-sys[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@atwola[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@advertising[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@bs.serving-sys[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@doubleclick[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@webmasterplan[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@adserver.71i[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@de2.komtrack[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@questionmarket[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@tradedoubler[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@sevenoneintermedia.112.2o7[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@www.zanox-affiliate[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@weborama[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@a6.adserver01[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@ad.zanox[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@ad.yieldmanager[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@zbox.zanox[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@adfarm1.adition[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@apmebf[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@fastclick[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@ads.pointroll[2].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@divx.112.2o7[1].txt C:\Users\satisfy\AppData\Roaming\Microsoft\Windows\Cookies\satisfy@mediaplex[2].txt |
|
| Themen zu TR/Dropper.gen Malware-Beseitigung |
| abgesicherten, abgesicherten modus, antivir, antworten, arbeit, daten, eingefangen, fehler, formatieren, frage, guten, hijack, malware, modus, morgen, platte, platten, rechner, schonmal, schöne, spiele, spielen, tr/dropper.gen, trojaner, worte, würde |
Linear-Darstellung
