TR/Dropper.gen wird immer wieder angezeigt

1605mr65 · 25.03.2009, 20:31

Hallo,
ich bin neu in diesem Forum und hoffe mir kann jemand helfen. Ich habe schon viel gegooglt aber noch keine richtige Lösung gefunden. Auf auf unseren Clients(WinXP Pro) in einer Windows-Domäne (Server 2003) werden seit ca. 2 Wochen von AntiVir immer wieder Trojaner-Meldungen gebracht. Habe einen Rechner schon kompl. neu installiert und gescannt. Zunächst keine Funde, aber nach einiger Zeit kommt der Fund TR/Dropper.gen in c:\windows\system32\lyann.exe Konnte keine Info im Netz zu der Datei finden. Nach Quarantäne und anschließendem löschen kommt die Meldung nach einiger Zeit wieder.
Ich habe jetzt mit combofix gescannt und folgende log-Datei bekommen.

Danke im voraus für jeden Tip und Hilfe

ComboFix 09-03-19.01 - Administrator 2009-03-25 10:52:34.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1983.1483 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-25 bis 2009-03-25 ))))))))))))))))))))))))))))))
.

2009-03-20 11:04 . 2009-03-20 11:04 <DIR> d-------- c:\programme\Windows Defender
2009-03-20 10:59 . 2009-03-20 10:59 118 --a------ c:\windows\system32\MRT.INI
2009-03-20 10:56 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-03-20 10:56 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-03-20 10:56 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-03-20 10:56 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-03-20 10:56 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-03-20 10:56 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-03-20 10:56 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-03-20 10:56 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-03-20 10:56 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-03-20 10:49 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat
2009-03-20 09:54 . 2009-03-20 09:54 <DIR> d-------- c:\programme\Avira
2009-03-20 09:54 . 2009-03-20 09:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-20 09:54 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-20 09:51 . 2009-03-20 09:51 <DIR> d-------- c:\programme\RDT Global
2009-03-20 09:50 . 2009-03-20 09:50 <DIR> d-------- c:\windows\Downloaded Installations
2009-03-20 09:44 . 2009-03-20 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Danware Data
2009-03-20 09:44 . 2006-05-24 09:00 91,408 --a------ c:\windows\system32\drivers\NHOSTNT1.SYS
2009-03-20 09:44 . 2006-05-24 09:00 3,216 --a------ c:\windows\system32\drivers\NHOSTNT3.SYS
2009-03-20 09:44 . 2006-05-24 09:00 2,480 --a------ c:\windows\system32\NHOSTNT4.DLL
2009-03-20 09:43 . 2009-03-20 09:43 <DIR> d-------- c:\programme\Danware Data
2009-03-20 09:42 . 1998-07-30 18:41 306,688 --a------ c:\windows\IsUn0407.exe
2009-03-20 09:42 . 2009-03-20 09:44 161 --a------ c:\windows\NetOp.INI
2009-03-20 08:18 . 2009-03-20 08:43 <DIR> d-------- c:\programme\Macromedia
2009-03-20 08:18 . 2009-03-20 08:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macromedia
2009-03-20 08:13 . 2009-03-20 08:13 <DIR> d-------- c:\programme\Micrografx
2009-03-20 08:13 . 1996-08-16 13:49 298,496 --a------ c:\windows\uninst.exe
2009-03-20 08:13 . 1997-03-21 11:23 188,928 --a------ c:\windows\MGXBM20.DLL
2009-03-20 08:13 . 1996-10-16 15:37 172,544 --a------ c:\windows\MGXCLEAN.EXE
2009-03-20 08:13 . 1997-04-04 02:00 76,288 --a------ c:\windows\system32\PPIV20.DLL
2009-03-20 08:13 . 1997-03-20 10:51 38,400 --a------ c:\windows\MGXFRM20.DLL
2009-03-20 07:51 . 2009-03-20 07:51 <DIR> d-------- c:\programme\Zero G Registry
2009-03-20 07:49 . 2009-03-20 07:49 <DIR> d-------- c:\programme\Siemens
2009-03-20 07:49 . 2009-03-20 07:49 <DIR> d-------- c:\dokumente und einstellungen\Administrator\InstallAnywhere
2009-03-20 07:49 . 2009-03-20 07:52 <DIR> d-------- c:\dokumente und einstellungen\Administrator\.LOGOComfort5
2009-03-19 17:25 . 2009-03-20 08:12 <DIR> d-------- C:\EWB5
2009-03-19 17:25 . 2009-03-19 17:25 0 --a------ c:\windows\system\Win32s.ini
2009-03-19 17:24 . 2009-03-19 17:24 <DIR> d-------- c:\dokumente und einstellungen\Administrator\WINDOWS
2009-03-19 17:24 . 1998-06-17 14:43 246,784 --a------ c:\windows\UN160407.EXE
2009-03-19 17:13 . 2009-03-19 17:13 <DIR> d-------- c:\programme\Common Files
2009-03-19 15:05 . 2009-03-19 15:05 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Brother
2009-03-19 15:04 . 2009-03-19 15:04 416 --a------ c:\windows\BRWMARK.INI
2009-03-19 15:04 . 2009-03-19 15:04 34 --a------ c:\windows\system32\BD2150N.DAT
2009-03-19 12:49 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\windows\system32\XPSViewer
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\programme\Reference Assemblies
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\programme\MSBuild
2009-03-19 12:45 . 2009-03-19 12:45 <DIR> d-------- C:\1dca7ca99332ff13d620069ca7f5
2009-03-19 12:45 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll
2009-03-19 12:45 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll
2009-03-19 12:45 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-03-19 12:45 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll
2009-03-19 12:45 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll
2009-03-19 12:45 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll
2009-03-19 12:45 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-03-19 11:49 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-19 11:47 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-19 11:46 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-19 11:46 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-03-19 11:46 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-19 11:46 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-03-19 11:45 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-19 11:45 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-19 11:43 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-03-19 11:43 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-03-19 11:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-03-19 11:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-03-19 11:43 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-03-19 11:42 . 2009-03-19 11:42 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator\UserData
2009-03-19 08:54 . 2009-03-20 12:22 <DIR> d-------- C:\Admin
2009-03-17 07:09 . 2009-03-12 15:36 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-17 07:09 . 2009-03-25 10:53 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-17 07:09 . 2009-03-20 10:44 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-17 07:09 . 2009-03-20 11:00 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-17 07:09 . 2009-03-19 15:05 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-17 07:09 . 2009-03-25 08:12 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-03-13 09:18 . 2009-03-20 10:57 <DIR> d-------- c:\windows\system32\de-de
2009-03-13 09:17 . 2009-03-13 09:17 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-13 09:17 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2009-03-13 09:15 . 2006-12-29 00:31 19,569 --a------ c:\windows\002715_.tmp
2009-03-13 09:11 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-03-13 08:40 . 2009-03-13 08:40 <DIR> d-------- c:\programme\Foxit Software
2009-03-13 08:40 . 2009-03-13 08:40 <DIR> d-------- C:\Program Files
2009-03-13 08:33 . 2009-03-13 08:33 0 --a------ c:\windows\nsreg.dat
2009-03-13 08:02 . 2009-03-19 17:12 660 --a------ c:\windows\ODBC.INI
2009-03-13 08:02 . 2009-03-13 08:02 63 --a------ c:\windows\mdm.ini
2009-03-13 08:01 . 2009-03-20 08:13 <DIR> d-------- c:\windows\ShellNew
2009-03-13 08:00 . 2009-03-13 08:00 <DIR> d-------- c:\dokumente und einstellungen\bfs\Anwendungsdaten\Microsoft Web Folders
2009-03-13 07:58 . 2009-03-25 10:17 <DIR> d-------- c:\windows\system32\config\systemprofile\Anwendungsdaten\VMware
2009-03-13 07:57 . 2009-03-13 07:57 <DIR> d-------- c:\windows\system32\Lang
2009-03-13 07:57 . 2009-03-13 07:57 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2009-03-13 07:57 . 2009-03-13 07:57 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2009-03-13 07:56 . 2008-04-14 00:47 83,072 --a------ c:\windows\system32\drivers\wdmaud.sys
2009-03-13 07:56 . 2008-04-14 00:15 52,864 --a------ c:\windows\system32\drivers\dmusic.sys
2009-03-13 07:56 . 2006-08-01 15:02 49,152 --a------ c:\windows\system32\ChCfg.exe
2009-03-13 07:56 . 2008-04-14 00:15 6,272 --a------ c:\windows\system32\drivers\splitter.sys
2009-03-13 07:56 . 2007-11-14 15:18 553 --a------ c:\windows\USetup.iss
2009-03-13 07:55 . 2009-03-13 07:55 <DIR> d-------- c:\programme\Realtek
2009-03-13 07:16 . 2009-03-13 07:54 <DIR> d-------- c:\dokumente und einstellungen\bfs\Anwendungsdaten\VMware
2009-03-13 07:14 . 2001-08-17 13:53 4,992 --a------ c:\windows\system32\drivers\loop.sys
2009-03-13 07:14 . 2001-08-17 13:53 4,992 --a--c--- c:\windows\system32\dllcache\loop.sys
2009-03-13 07:05 . 2009-03-25 10:17 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2009-03-13 07:05 . 2009-03-19 08:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2009-03-13 07:05 . 2007-09-06 14:40 135,168 --a------ c:\windows\system32\vmnat.exe
2009-03-13 07:05 . 2007-09-06 14:40 106,496 --a------ c:\windows\system32\vmnetdhcp.exe
2009-03-13 07:05 . 2007-09-06 14:40 15,616 --a------ c:\windows\system32\drivers\vmnetuserif.sys
2009-03-13 07:05 . 2007-09-06 14:40 9,600 -ra------ c:\windows\system32\drivers\vmnetadapter.sys
2009-03-13 07:05 . 2007-09-06 14:40 5,120 -ra------ c:\windows\system32\vnetinst.dll
2009-03-13 07:04 . 2007-09-06 14:40 364,631 --a------ c:\windows\system32\vnetlib.dll
2009-03-13 07:04 . 2007-09-06 14:40 10,240 -ra------ c:\windows\system32\drivers\vmnet.sys
2009-03-13 07:04 . 2009-03-13 07:04 1,024 --a------ C:\.rnd
2009-03-13 07:01 . 2009-03-13 07:01 <DIR> d-------- c:\programme\Gemeinsame Dateien\VMware
2009-03-13 07:00 . 2009-03-13 07:00 <DIR> d-------- C:\Virtual Machines
2009-03-13 07:00 . 2009-03-13 07:00 <DIR> d-------- c:\programme\VMware
2009-03-13 06:57 . 2009-03-13 06:57 0 --a------ c:\windows\ativpsrm.bin
2009-03-13 06:54 . 2009-03-20 08:42 <DIR> d--h----- c:\programme\InstallShield Installation Information
2009-03-13 06:54 . 2009-03-13 06:54 <DIR> d-------- c:\programme\ATI Technologies
2009-03-13 06:53 . 2009-03-20 09:50 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 06:55 315,392 ----a-w c:\windows\HideWin.exe
2009-03-12 15:42 --------- d-----w c:\programme\Boot-US
2009-03-12 14:39 --------- d-----w c:\programme\microsoft frontpage
2009-03-12 14:38 --------- d-----w c:\programme\Online-Dienste
2009-03-12 14:37 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-03-20_12.27.35,18 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-20 11:19:17 81,240 ----a-w c:\windows\system32\perfc007.dat
+ 2009-03-25 09:50:04 81,240 ----a-w c:\windows\system32\perfc007.dat
- 2009-03-20 11:19:17 68,638 ----a-w c:\windows\system32\perfc009.dat
+ 2009-03-25 09:50:04 68,638 ----a-w c:\windows\system32\perfc009.dat
- 2009-03-20 11:19:17 451,502 ----a-w c:\windows\system32\perfh007.dat
+ 2009-03-25 09:50:04 451,502 ----a-w c:\windows\system32\perfh007.dat
- 2009-03-20 11:19:17 435,348 ----a-w c:\windows\system32\perfh009.dat
+ 2009-03-25 09:50:04 435,348 ----a-w c:\windows\system32\perfh009.dat
+ 2009-03-25 09:17:39 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_72c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"SystemMessageHG"="c:\programme\RDT Global\HDGUARD\\HDStat.exe" [2004-08-19 1499648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-26 c:\windows\RTHDCPL.exe]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2008-11-10 65544]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Danware Data\\NetOp School\\STUDENT\\Nstdw32.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1540:TCP"= 1540:TCP:vqzmnx

R0 IFWDHKXP;IFWDHKXP;c:\windows\system32\drivers\ifwdhkxp.sys [2004-08-27 52224]
R1 NHostNT1;NetOp Driver 1 ver. 9.00 (2006144);c:\windows\system32\drivers\NHOSTNT1.SYS [2009-03-20 91408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-20 108289]
R2 HDStatSrv_Form;HDStatSrv;c:\programme\RDT Global\HDGUARD\HDSrv.exe [2003-06-20 445952]
R2 NetOp Host for NT Service;NetOp Helper ver. 9.00 (2006144);c:\programme\Danware Data\NetOp School\STUDENT\NHOSTSVC.EXE [2009-03-20 1323280]
R2 vmserverdWin32;VMware Registration Service;c:\programme\VMware\VMware Server\vmserverdWin32.exe [2007-09-06 1650781]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 NHOSTNT3;NetOp Driver 3 ver. 9.00 (2006144) (NHOSTNT3);c:\windows\system32\drivers\NHOSTNT3.SYS [2009-03-20 3216]
S2 gvfnp;Boot Security;c:\windows\system32\svchost.exe -k netsvcs [2006-02-28 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gvfnp
.
Inhalt des "geplante Tasks" Ordners

2009-03-25 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = 10.3.1.2:8080
uInternet Settings,ProxyOverride = <local>
TCP: {0DF9CD0A-8168-49DE-B2C8-405513B0719F} = 10.3.5.38
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\51q0ww2g.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 10:53:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\windows\TEMP\TMP000000541141511738293446 524288 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gvfnp]
"ServiceDll"="c:\windows\system32\ylann.dll"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(616)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-25 10:53:51
ComboFix-quarantined-files.txt 2009-03-25 09:53:49
ComboFix2.txt 2009-03-25 07:08:08
ComboFix3.txt 2009-03-20 11:27:58

Vor Suchlauf: 12 Verzeichnis(se), 18.272.919.552 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 18,261,557,248 Bytes frei

226

Krachim · 26.03.2009, 15:24

Hi Leute,
ich bin schon den ganzen Tag am Googlen - aber es scheint ja wirklich keine Patentlösung gegen diesen Störenfried zu geben.
Hier auch nochmal mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:10, on 26.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\PhoneSuite_CTI_Client\phonesuite.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4080525
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4080525
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PhoneSuite CTI Client.lnk = C:\Programme\PhoneSuite_CTI_Client\phonesuite.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/31.42/uploader2.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Achim/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 7800 bytes

Hat nicht doch mal jemand ein Patentrezept?
Knoppicilin, Adaware, Spybot, Avira etc....alle Nutzlos!

Hilfe!!!

clipperd · 28.03.2009, 21:03

Ich bin einer der wenigen, die über tr/dropper.gen gesiegt haben!

KA wie ich das geschafft habe, vlleicht solltet ihr dasselbe machen wie ich

Krachim · 30.03.2009, 12:55

Also bei mir hat Dropps sich entweder von alleine in Luft aufgelöst oder Antivir hatte ein Update gegen den Kollegen!?

(oder das Teil hat sich mittlerweile so tief verbuddelt das gar nix mehr hilft)

Auf jeden Fall wird seit 3 Tagen nichts mehr gefunden wenn ich etliche Virenprogramme durchlaufen lasse.

Meinungen?

TR/Dropper.gen wird immer wieder angezeigt

Log-Analyse und Auswertung: TR/Dropper.gen wird immer wieder angezeigt