| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen auch bei mir...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.02.2009, 21:24
| #1 |
 |  TR/Dropper.Gen auch bei mir... Hallo.. auch ich habe mir den Dropper eingefangen.. HJT-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:52:40, on 21.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\LClock\LClock.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Logitech\SetPoint\SetPoint.exe F:\Programme\Microsoft Office\Office\OSA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O1 - Hosts: 220.232.149.248 lloydstsb.co.uk O1 - Hosts: 220.232.149.248 w*w.lloydstsb.co.uk O1 - Hosts: 220.232.149.248 w*w.lloydstsb.com O1 - Hosts: 220.232.149.248 w*w.lloydstsb.com O1 - Hosts: 220.232.149.248 personal.barclays.co.uk O1 - Hosts: 220.232.149.248 barclays.co.uk O1 - Hosts: 220.232.149.248 w*w.barclays.co.uk O1 - Hosts: 220.232.149.248 nwolb.com O1 - Hosts: 220.232.149.248 hsbc.co.uk O1 - Hosts: 220.232.149.248 w*w.hsbc.co.uk O1 - Hosts: 220.232.149.248 abbey.com O1 - Hosts: 220.232.149.248 w*w.abbey.com O1 - Hosts: 220.232.149.248 w*w.abbey.co.uk O1 - Hosts: 220.232.149.248 abbey.co.uk O1 - Hosts: 220.232.149.248 cahoot.com O1 - Hosts: 220.232.149.248 w*w.cahoot.com O1 - Hosts: 220.232.149.248 w*w.cahoot.co.uk O1 - Hosts: 220.232.149.248 cahoot.co.uk O1 - Hosts: 220.232.149.248 w*w.co-operativebank.co.uk O1 - Hosts: 220.232.149.248 co-operativebank.co.uk O1 - Hosts: 220.232.149.248 w*w.co-operativebank.com O1 - Hosts: 220.232.149.248 co-operativebank.com O1 - Hosts: 220.232.149.248 welcome2.co-operativebankonline.co.uk O1 - Hosts: 220.232.149.248 welcome6.co-operativebankonline.co.uk O1 - Hosts: 220.232.149.248 welcome8.co-operativebankonline.co.uk O1 - Hosts: 220.232.149.248 welcome10.co-operativebankonline.co.uk O1 - Hosts: 220.232.149.248 w*w.smile.co.uk O1 - Hosts: 220.232.149.248 smile.co.uk O1 - Hosts: 220.232.149.248 w*w.cajamar.es O1 - Hosts: 220.232.149.248 cajamar.es O1 - Hosts: 220.232.149.248 w*w.cajamar.com O1 - Hosts: 220.232.149.248 cajamar.com O1 - Hosts: 220.232.149.248 w*w.unicaja.es O1 - Hosts: 220.232.149.248 unicaja.es O1 - Hosts: 220.232.149.248 w*w.unicaja.com O1 - Hosts: 220.232.149.248 unicaja.com O1 - Hosts: 220.232.149.248 w*w.caixagalicia.es O1 - Hosts: 220.232.149.248 caixagalicia.es O1 - Hosts: 220.232.149.248 w*w.caixagalicia.com O1 - Hosts: 220.232.149.248 caixagalicia.com O1 - Hosts: 220.232.149.248 activa.caixagalicia.es O1 - Hosts: 220.232.149.248 w*w.caixapenedes.es O1 - Hosts: 220.232.149.248 caixapenedes.es O1 - Hosts: 220.232.149.248 w*w.caixapenedes.com O1 - Hosts: 220.232.149.248 caixapenedes.com O1 - Hosts: 220.232.149.248 w*w.caixasabadell.es O1 - Hosts: 220.232.149.248 caixasabadell.es O1 - Hosts: 220.232.149.248 w*w.caixasabadell.net O1 - Hosts: 220.232.149.248 caixasabadell.net O1 - Hosts: 220.232.149.248 w*w.cajamadrid.es O1 - Hosts: 220.232.149.248 cajamadrid.es O1 - Hosts: 220.232.149.248 w*w.cajamadrid.com O1 - Hosts: 220.232.149.248 cajamadrid.com O1 - Hosts: 220.232.149.248 w*w.ccm.es O1 - Hosts: 220.232.149.248 ccm.es O1 - Hosts: 220.232.149.248 w*w.haspa.de O1 - Hosts: 220.232.149.248 haspa.de O1 - Hosts: 220.232.149.248 ssl2.haspa.de O1 - Hosts: 220.232.149.248 w*w.dresdner-bank.de O1 - Hosts: 220.232.149.248 dresdner-bank.de O1 - Hosts: 220.232.149.248 w*w.dresdner-privat.de O1 - Hosts: 220.232.149.248 postbank.de O1 - Hosts: 220.232.149.248 w*w.postbank.de O1 - Hosts: 220.232.149.248 w*w.sparda-b.de O1 - Hosts: 220.232.149.248 sparda-b.de O1 - Hosts: 220.232.149.248 w*w.bankingonline.de O1 - Hosts: 220.232.149.248 w*w.raiffeisenbank-erding.de O1 - Hosts: 220.232.149.248 raiffeisenbank-erding.de O1 - Hosts: 220.232.149.248 w*w.vr-networld-ebanking.de O1 - Hosts: 220.232.149.248 vr-networld-ebanking.de O1 - Hosts: 220.232.149.248 w*w.bnhof.de O1 - Hosts: 220.232.149.248 bnhof.de O1 - Hosts: 220.232.149.248 w*w.deutsche-bank.de O1 - Hosts: 220.232.149.248 deutsche-bank.de O1 - Hosts: 220.232.149.248 w*w.citibank.de O1 - Hosts: 220.232.149.248 citibank.de O1 - Hosts: 220.232.149.248 w*w.dkb.de O1 - Hosts: 220.232.149.248 dkb.de O1 - Hosts: 220.232.149.248 w*w.sparkasse-regensburg.de O1 - Hosts: 220.232.149.248 sparkasse-regensburg.de O1 - Hosts: 220.232.149.248 w*w.berliner-bank.de O1 - Hosts: 220.232.149.248 berliner-bank.de O1 - Hosts: 220.232.149.248 w*w.berliner-sparkasse.de O1 - Hosts: 220.232.149.248 berliner-sparkasse.de O1 - Hosts: 220.232.149.248 w*w.wellsfargo.com O1 - Hosts: 220.232.149.248 wellsfargo.com O1 - Hosts: 220.232.149.248 w*w.bankofamerica.com O1 - Hosts: 220.232.149.248 bankofamerica.com O1 - Hosts: 220.232.149.248 w*w.usbank.com O1 - Hosts: 220.232.149.248 usbank.com O1 - Hosts: 220.232.149.248 w*w.bankone.com O1 - Hosts: 220.232.149.248 bankone.com O1 - Hosts: 220.232.149.248 w*w.citibank.com O1 - Hosts: 220.232.149.248 citibank.com O1 - Hosts: 220.232.149.248 w*w.capitalone.co.uk O1 - Hosts: 220.232.149.248 capitalone.co.uk O1 - Hosts: 220.232.149.248 w*w.banesto.es O1 - Hosts: 220.232.149.248 banesto.es O1 - Hosts: 220.232.149.248 w*w.bancagenerali.it O1 - Hosts: 220.232.149.248 bancagenerali.it O1 - Hosts: 220.232.149.248 w*w.bancaintesa.it O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - f:\Programme\ICQ6\ICQ.exe O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://w*w.giga.de/giga-stream-test/Rawflow.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab O16 - DPF: {A1D886C6-4039-4451-97A9-515F5BE5D4C2} (mkdplusCtrl Class) - h**p://ahnlabdownload.nefficient.co.kr/asp/cab/mkdplus.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - h**p://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Update Service (gupdate1c986d1f21eb89a) (gupdate1c986d1f21eb89a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing) O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 13380 bytes Auffällig sind ja die ganzen Banken da drin o.O Ich hab btw schonmal die Systemwiederherstellung deaktiviert, den Dropper mit Antivir runtergeschmissen und den PC neugestartet, (Systemwiederherstellung wieder aktiviert) den CCleaner drübergejagt und dann den HJT.. Bin ich ihn los? muss ich noch was machen? Danke schonmal im vorraus für eventuelle Hilfe..  Edit: Nochmal den bericht von AntiVir: Code:
ATTFilter Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\woymsqy.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
Geändert von tegrity (21.02.2009 um 21:57 Uhr) |
| Themen zu TR/Dropper.Gen auch bei mir... |
| 'tr/dropper.gen', adobe, antivir, avira, banke, banken, bho, bonjour, canon, desktop, einstellungen, explorer, firefox, google, google update, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, monitor, mozilla, object, rundll, software, system, tr/dropper.gen, trojan, virus, windows, windows internet, windows internet explorer, windows xp |
Baum-Darstellung