| |
| |||||||
Log-Analyse und Auswertung: Antivir meldet TR/Dropper.GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
22.03.2009, 12:23
| #1 |
 |  Antivir meldet TR/Dropper.Gen Hallo, mein AntiVir meldet den Fund des Trojaners TR/Dropper.Gen in der Datei: C:\System Volume Information\_restore{C9E5322E-58A4-4CFB-B8A5-0663336410AF}\RP535\A0101469.exe Kann mir bitte jemand helfen den wieder los zu werden? Hier das HjackLogfile Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:04:09, on 22.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe F:\Programme\Brennen\CloneCD\CloneCDTray.exe F:\Programme\Bildbearbeitung\OpwareSE4.exe C:\Programme\Java\jre6\bin\jusched.exe F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\WINDOWS\system32\ctfmon.exe F:\Programme\Brennen\Daemon Tools\daemon.exe F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe C:\Programme\Skype\Phone\Skype.exe F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSync2.exe C:\Programme\DNA\btdna.exe C:\dokumente und einstellungen\torsten-admin\lokale einstellungen\anwendungsdaten\gwgacuq.exe F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe C:\Programme\RALINK\Common\RaUI.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\cidaemon.exe F:\Programme\Internet\Mozilla Thunderbird\thunderbird.exe f:\programme\sicherheit\antivir personaledition classic\avcenter.exe F:\Programme\Internet\Mozilla Firefox\firefox.exe F:\Programme\Sicherheit\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "F:\Programme\Bildbearbeitung\OpwareSE4.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [PC Suite Tray] "F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Nokia.PCSync] "F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSync2.exe" /NoDialog O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [gwgacuq] "c:\dokumente und einstellungen\torsten-admin\lokale einstellungen\anwendungsdaten\gwgacuq.exe" gwgacuq O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe O4 - Global Startup: Quicken 2009 Zahlungserinnerung.lnk = F:\Programme\Finanzen\Quicken 2009\billmind.exe O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7803 bytes Grüße Guddy |
|
22.03.2009, 13:31
| #2 | |
| /// AVZ-Toolkit Guru   | Antivir meldet TR/Dropper.Gen Halli hallo.
__________________Du saugst über BitTorrent. Das solltest du bleiben lassen. Da fängt man sich dauernd was ein. Ich denke für deinen Rechner kommt daher jede Hilfe zu spät -.- Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________ |
|
23.03.2009, 22:13
| #3 |
| | Antivir meldet TR/Dropper.Gen Hallo,
__________________hab alles so gemacht wie beschrieben. War das die einzige Datei die ich prüfen sollte? Code:
ATTFilter Datei gwgacuq.exe empfangen 2009.03.23 21:52:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/39 (2.57%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.23 -
AhnLab-V3 5.0.0.2 2009.03.23 -
AntiVir 7.9.0.120 2009.03.23 -
Authentium 5.1.2.4 2009.03.23 -
Avast 4.8.1335.0 2009.03.23 -
AVG 8.5.0.283 2009.03.23 -
BitDefender 7.2 2009.03.23 -
CAT-QuickHeal 10.00 2009.03.23 -
ClamAV 0.94.1 2009.03.23 -
Comodo 1082 2009.03.23 -
DrWeb 4.44.0.09170 2009.03.23 -
eSafe 7.0.17.0 2009.03.23 -
eTrust-Vet 31.6.6412 2009.03.23 -
F-Prot 4.4.4.56 2009.03.23 -
F-Secure 8.0.14470.0 2009.03.23 -
Fortinet 3.117.0.0 2009.03.23 -
GData 19 2009.03.23 -
Ikarus T3.1.1.48.0 2009.03.23 -
K7AntiVirus 7.10.679 2009.03.23 -
Kaspersky 7.0.0.125 2009.03.23 -
McAfee 5562 2009.03.23 -
McAfee+Artemis 5562 2009.03.23 -
McAfee-GW-Edition 6.7.6 2009.03.23 Trojan.LooksLike.Dropper
Microsoft 1.4502 2009.03.23 -
NOD32 3955 2009.03.23 -
Norman 6.00.06 2009.03.23 -
nProtect 2009.1.8.0 2009.03.23 -
Panda 10.0.0.10 2009.03.23 -
PCTools 4.4.2.0 2009.03.23 -
Prevx1 V2 2009.03.23 -
Rising 21.22.02.00 2009.03.23 -
Sophos 4.39.0 2009.03.23 -
Sunbelt 3.2.1858.2 2009.03.23 -
Symantec 1.4.4.12 2009.03.23 -
TheHacker 6.3.3.4.288 2009.03.23 -
TrendMicro 8.700.0.1004 2009.03.23 -
VBA32 3.12.10.1 2009.03.23 -
ViRobot 2009.3.23.1660 2009.03.23 -
VirusBuster 4.6.5.0 2009.03.23 -
weitere Informationen
File size: 253952 bytes
MD5...: d89d116372024c33722d4eb52916b649
SHA1..: ffea0368b9e953ea881e3cdbc71424e2c1ffb433
SHA256: 049093571be1835908e86d297e5bfde0c4ff718db5b9a1caf1c26bf458e98ff0
SHA512: 80c113d5f9bf7211afebea1376118f6e0a1bb4485d85123adc72c72af226d580
41a556772c2cd18e244f0ff1c8c627f66eb91795109edb54ece45f148145ee10
ssdeep: 6144:qVng8FeCgRFtkUsN10iXtVF3ho+T4J4fiUhxr3EtsFocksPnVH7todGn:qV
lXgRFaNB3ho+cJ46UDSgeG
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x30aa8
timedatestamp.....: 0x474132a9 (Mon Nov 19 06:52:25 2007)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2fc36 0x30000 7.41 818af54537b0429d9fc4a073c644f64e
.rdata 0x31000 0xb4fc 0xc000 5.53 097b05c1487bd3756f8ef991a15ee55d
.data 0x3d000 0x93c 0x1000 3.79 6a0cf01fec5cdf8083c989ce8f0d31a3
( 10 imports )
> KERNEL32.dll: CreateNamedPipeA, DebugBreak, GetSystemDirectoryA, GetFileInformationByHandle, GlobalAddAtomA, SetThreadExecutionState, CreateSemaphoreW, InterlockedExchange, GetCurrentDirectoryW, LoadLibraryExW, FindClose, LocalAlloc, GetLogicalDriveStringsA, GetEnvironmentVariableA, LeaveCriticalSection, IsValidLocale, AddAtomA, HeapSize, GetThreadLocale, GetVersion, WideCharToMultiByte, GlobalHandle, GetSystemPowerStatus, CreateMutexA, GetShortPathNameA, SetStdHandle, GetWindowsDirectoryW, _lread, HeapFree, MoveFileExA, GetProcessHeap, SystemTimeToFileTime, GetStdHandle, SetProcessWorkingSetSize, OpenFileMappingA, LocalFileTimeToFileTime, SearchPathW, TlsGetValue, Process32NextW, DuplicateHandle, GetNumberFormatW, TlsFree, GetStringTypeExW, LCMapStringW, GetVolumeInformationA, GetFileAttributesExW, CompareStringA, InterlockedIncrement, GlobalAddAtomW, GetExitCodeThread, QueryPerformanceFrequency, CreateProcessW, GetStartupInfoW, SetCurrentDirectoryA, GetTempFileNameW, _lopen, MoveFileExW, GetOverlappedResult, VirtualQueryEx, SetCurrentDirectoryW, GlobalFree, LockResource, CreateEventW, GetTickCount, WriteProfileStringA, WritePrivateProfileStringW, GetCurrentThread, GetModuleHandleA, CopyFileA, GetModuleFileNameW, CreateSemaphoreA, GetFileTime, HeapDestroy, GetLocaleInfoW, RemoveDirectoryW, GetEnvironmentStringsW, VirtualAlloc, GetStartupInfoA
> USER32.dll: GetMenu, UnpackDDElParam, GetScrollInfo, EnumThreadWindows, SetWindowRgn, UnregisterClassA, GetScrollRange, GetDialogBaseUnits, FlashWindow, SendNotifyMessageA, TrackPopupMenuEx, GetWindowDC, CheckMenuRadioItem, CharUpperBuffW, DrawFrameControl, LoadMenuW, DrawStateW, DestroyIcon, SetCaretPos, DdeDisconnect, GetClassLongA, CharUpperW, SetDlgItemTextW, CreateCaret, CallNextHookEx, IsCharAlphaNumericW, MapVirtualKeyW, GetWindowThreadProcessId, NotifyWinEvent, GetDesktopWindow, TranslateMDISysAccel
> ole32.dll: CoLockObjectExternal, CoTaskMemRealloc, WriteClassStm, CoInitializeEx, PropVariantClear, CLSIDFromString, CoGetMalloc, CreateFileMoniker
> comdlg32.dll: ChooseColorA, GetOpenFileNameA, CommDlgExtendedError
> OLEAUT32.dll: -
> VERSION.dll: GetFileVersionInfoSizeW
> SHLWAPI.dll: PathFindFileNameA
> WINSPOOL.DRV: EnumPortsA, DocumentPropertiesW, GetPrinterDataA, ClosePrinter
> ADVAPI32.dll: RegDeleteValueA, RegisterEventSourceW, StartServiceCtrlDispatcherW, InitializeSid, GetAclInformation, AddAce, RegEnumValueA, RegDeleteKeyA
> MSVCRT.dll: _ecvt, _c_exit, calloc, free, _wcsnicmp, isspace, toupper, wcsspn, localtime, _mbsrchr, _exit, fclose, _errno, strncmp, iswspace, _purecall, _ismbblead, sprintf, wcsncpy, atol, isdigit, wcstol, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, qsort, malloc, exit, _XcptFilter, swscanf, swprintf, wcsstr, _controlfp, _itoa, floor, tolower, _wcsupr, strstr
( 0 exports )
|
|
24.03.2009, 07:10
| #4 |
| /// AVZ-Toolkit Guru | Antivir meldet TR/Dropper.Gen
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (24.03.2009 um 07:20 Uhr) |
|
24.03.2009, 19:01
| #5 |
| | Antivir meldet TR/Dropper.Gen Kann ich meine Daten auf dem Rechner schon abschreiben? Als was soll ich die Datei kennzeichnen: Unbekanntes Schadprogramm? |
|
24.03.2009, 22:21
| #6 | ||
| /// AVZ-Toolkit Guru | Antivir meldet TR/Dropper.GenZitat:
Zitat:
__________________ --> Antivir meldet TR/Dropper.Gen |
|
| Themen zu Antivir meldet TR/Dropper.Gen |
| adobe, antivir, antivir meldet, avira, bho, dll, einstellungen, excel, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, lexware, microsoft, mozilla, mozilla thunderbird, plug-in, programme, remote control, rundll, sicherheit, software, solution, system, system volume information, tr/dropper.gen, windows, windows xp |
Hybrid-Darstellung
