| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen - Hilfe!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.02.2009, 17:48
| #1 | |||
| |  TR/Dropper.Gen - Hilfe!! Habe seit ein paar Tagen Problem mit Viren, vor allem mit diesem Trojaner, Avira sagt folgendes: Zitat:
Zitat:
Zitat:
Weiss da jemand Rat? Vielen Dank im Voraus!! |
|
20.02.2009, 17:59
| #2 |
| /// Selecta Jahrusso   | TR/Dropper.Gen - Hilfe!! Hallo Charmaquest
__________________Bitte lese dir die Anleitung von Malwarebytes noch einmal genau durch und lasse es noch einmal laufen. Poste bitte die neue Auswertung |
|
20.02.2009, 20:41
| #3 |
| | TR/Dropper.Gen - Hilfe!! Hab ich was falsch gemacht? Ich habe mir alles nochmal durchgelesen, habe es doch genauso gemacht und den Report gepostet. |
|
20.02.2009, 22:05
| #4 |
| /// Selecta Jahrusso | TR/Dropper.Gen - Hilfe!!Code:
ATTFilter HKEY_CLASSES_ROOT\CLSID\{8ca5ed52-f3fb-4414-a105-2e3491156990} (Trojan.BHO) -> No action taken.
Ergebnisse anzeigen--> Ausgewähltes Entfernen klicken Dies wurde hier nicht gemacht  |
|
21.02.2009, 19:41
| #5 | ||
| | TR/Dropper.Gen - Hilfe!! Okay, ich habe die Dateien gelöscht nachdem der Bericht erstellt wurde. Ich habe dennoch den Scan nochmal gemacht, war sauber. Nochmal einen Scan mit Avira, der hatnochmal was entdeckt, die Dateien wurden auch gelöscht. Heute hatte ich dann erstmal Ruhe, am Nachmittag meldete Avira wieder besagten Trojaner, habe die wieder gelöscht, die kamen aber wieder. Gerade eben nochmal mit Malware gescannt, hier der Bericht: Zitat:
Zitat:
Ich danke wirklich für eure Hilfe. Sollte ich wieder was falsch gemacht haben, benennt den Fehler bitte, ich versuche wirklich aufmerksam der Anleitung zu folgen. |
|
21.02.2009, 19:54
| #6 |
| | TR/Dropper.Gen - Hilfe!! Auch hier zur Info: Die Funde von Mbam sind Fehlalarme.
__________________ --> TR/Dropper.Gen - Hilfe!! |
|
21.02.2009, 20:04
| #7 |
 | TR/Dropper.Gen - Hilfe!! Hallo, habe dasselbe/ein ähnliches Problem. Es handelt sich ebenfalls um den Virus TR/Dropper.Gen. Die Meldung bei Antivir wurde ausgelöst, als die Datei "Speed-Downloading_setup.exe" untersucht wurde. Datei hochgeladen bei: http://virusscan.jotti.org/ A-Squared Found nothing AntiVir Found TR/Dropper.Gen ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing G DATA Found nothing Ikarus Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found a variant of Win32/Injector.IQ Norman Virus Control Found nothing Panda Antivirus Found nothing Sophos Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing Hijackthis-Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:57:12, on 21.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\winsys2.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mumble\dbus-daemon.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trillian\trillian.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe C:\Programme\VideoLAN\VLC\vlc.exe C:\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [RGSC] C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [VeohPlugin] "C:\Programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKLM\..\Policies\Explorer\Run: [Q2sseKWiGq] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elkxwtox\axuzsbwt.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8115 bytes Wenn ihr noch weitere Infos braucht, sagt bescheid, stelle sie schnellstmöglich zur Verfügung. edit: auch ein Scan mit Ad-Aware und SpyBot ergab kein Fund... Geändert von Samtailor (21.02.2009 um 20:54 Uhr) |
|
21.02.2009, 21:28
| #8 |
| | TR/Dropper.Gen - Hilfe!! Fehlalarm? Wieso schlägt dann Avira immer wieder Alarm? Habe gerade wieder einen kompletten Scan gemacht und vier Infizierungen gefunden. |
|
21.02.2009, 21:35
| #9 |
| | TR/Dropper.Gen - Hilfe!! Diese Funde von Mbam sind Fehlalarme: C:\WINDOWS\system32\wextract.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\dllcache\wextract.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Sony Setup\09063B41-0916-4360-A80D-0C2A2B89D300\dotnetfx.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Programme\Sony Setup\Sound Forge 9.0\vcredist_x86.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Programme\Sony Setup\Sound Forge 9.0\nrpack\vcredist_x64.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Programme\Sony Setup\Sound Forge 9.0\nrpack\vcredist_x86.exe (Backdoor.Bot) -> Quarantined and deleted successfully. Ob die Meldungen von Antivir Fehlalarme sind, mag ich nicht beurteilen, da ich nicht weiss, was es meldet. "Speed-Downloading_setup.exe" hoert sich nicht nach Fehlalarm an...
__________________ MfG Ralf |
|
21.02.2009, 22:20
| #10 |
| | TR/Dropper.Gen - Hilfe!! weiterer Fund von AV: C:\System Volume Information\...\A0161684.exe Hier ist außerdem noch mein Log von Malwarebytes: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1787 Windows 5.1.2600 Service Pack 3 21.02.2009 22:36:22 mbam-log-2009-02-21 (22-36-22).txt Scan-Methode: Vollständiger Scan (C:\|G:\|H:\|) Durchsuchte Objekte: 151602 Laufzeit: 49 minute(s), 56 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\free-downloads.net toolbar (Adware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von Samtailor (21.02.2009 um 22:43 Uhr) |
|
22.02.2009, 02:05
| #11 |
| | TR/Dropper.Gen - Hilfe!! Habe zusätzlich noch SUPERAntiSpyware installiert und durchlaufen lassen, hier das Log-File: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 02/22/2009 at 00:53 AM Application Version : 4.25.1012 Core Rules Database Version : 3769 Trace Rules Database Version: 1729 Scan type : Complete Scan Total Scan Time : 02:05:10 Memory items scanned : 664 Memory threats detected : 0 Registry items scanned : 5931 Registry threats detected : 6 File items scanned : 103165 File threats detected : 11 Adware.Vundo Variant HKLM\Software\Classes\CLSID\{2E5A65BB-B055-C0DD-0118-09975F2EE086} HKCR\CLSID\{2E5A65BB-B055-C0DD-0118-09975F2EE086} HKCR\CLSID\{2E5A65BB-B055-C0DD-0118-09975F2EE086}\InprocServer32 HKCR\CLSID\{2E5A65BB-B055-C0DD-0118-09975F2EE086}\InprocServer32#ThreadingModel C:\PROGRAMME\UQBJLWD\COMINFO.DLL HKCR\CLSID\{2E5A65BB-B055-C0DD-0118-09975F2EE086} Adware.Tracking Cookie C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@de2.komtrack[2].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@ad.71i[1].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@bnn[1].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@ads.ad4game[1].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@zbox.zanox[1].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@ad.zanox[3].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@adfarm1.adition[2].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@komtrack[2].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@klo[2].txt C:\Dokumente und Einstellungen\Pursche\Cookies\pursche@media6degrees[1].txt Trojan.DNSChanger-Codec HKU\S-1-5-21-220523388-1715567821-839522115-1003\Software\uninstall |
|
| Themen zu TR/Dropper.Gen - Hilfe!! |
| 'tr/dropper.gen', adobe, adware.gamesbar, adware.trymedia, antivir, avg, avira, bonjour, browser, dropbox, google, google update, gupdate, helper, hijack, hijackthis, hilfe!!, hkus\s-1-5-18, internet, internet explorer, logfile, magix, malwarebytes' anti-malware, problem, programm, registrierungsschlüssel, rundll, server, software, system, trojaner, trymedia, viren, virus, windows, windows xp |
Linear-Darstellung
