Hallo und einen guten Abend.

Leider musste ich heute wieder feststellen, dass Avira wieder den TR/Dropper.gen dreimal (einmal so und 2 im suchlauf) gefunden hat.
Hatte das gleiche Problem schon einmal und habe den PC komplett platt gemacht und alles neu draufgespielt. Soweit so gut...
Habe gestern jedoch eine extere Festplatte benutzt, auf der der Dropper wohl drauf war.(bescheuert, ich weiß) Habe aus Vorsicht zwar extra den Autostart geblockt und das Laufwerk mit Avira untersucht,..
Trotz allem scheint es doch an diesem Laufwerk (Lacie) zu liegen.

Nun meine Frage...
Wie bekomme ich den Dropper wieder runter, ohne wieder alles platt zu machen.
Ist es auch möglich die externe Festplatte komplett platt zu machen, ohne dass ich sie, wenn ich sie an irgend einen PC anschließe gleich wieder eine "Übertragung" habe...

Hier schonmal die erstellten Logfiles:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:02, on 05.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\phonostar\ps_agent.exe
D:\Programme\phonostar\ps_timer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\Programme\KodakEasyShare\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programme\Alice\Signup\AliceCnn.exe
D:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Admin\Desktop\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "D:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [openvpn-gui] D:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] D:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\De\Felix2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KodakEasyShare\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdp32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C586ED5-175E-4270-BEF9-4AD2A17C2A75}: NameServer = 213.191.92.87 62.109.123.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C586ED5-175E-4270-BEF9-4AD2A17C2A75}: NameServer = 213.191.92.87 62.109.123.6
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - D:\Programme\OpenVPN\bin\openvpnserv.exe

--
End of file - 5508 bytes
         

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 5. April 2009  13:58

Es wird nach 1339172 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PHOENIX

Versionsinformationen:
BUILD.DAT      : 9.0.0.387     17962 Bytes  24.03.2009 11:03:00
AVSCAN.EXE     : 9.0.3.3      464641 Bytes  24.02.2009 11:13:22
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF   : 7.1.2.12    3336192 Bytes  11.02.2009 19:33:26
ANTIVIR2.VDF   : 7.1.3.0     1330176 Bytes  01.04.2009 11:16:39
ANTIVIR3.VDF   : 7.1.3.13      57344 Bytes  03.04.2009 11:15:33
Engineversion  : 8.2.0.138
AEVDF.DLL      : 8.1.1.0      106868 Bytes  27.01.2009 16:36:42
AESCRIPT.DLL   : 8.1.1.73     373114 Bytes  04.04.2009 11:15:37
AESCN.DLL      : 8.1.1.10     127348 Bytes  04.04.2009 11:15:37
AERDL.DLL      : 8.1.1.3      438645 Bytes  29.10.2008 17:24:41
AEPACK.DLL     : 8.1.3.12     397687 Bytes  04.04.2009 11:15:36
AEOFFICE.DLL   : 8.1.0.36     196987 Bytes  26.02.2009 19:01:56
AEHEUR.DLL     : 8.1.0.114   1700214 Bytes  04.04.2009 11:15:36
AEHELP.DLL     : 8.1.2.2      119158 Bytes  26.02.2009 19:01:56
AEGEN.DLL      : 8.1.1.33     340340 Bytes  04.04.2009 11:15:34
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 13:32:40
AECORE.DLL     : 8.1.6.7      176502 Bytes  04.04.2009 11:15:34
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.1      292609 Bytes  09.02.2009 06:52:20
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.21    2438401 Bytes  09.02.2009 10:41:16
RCTEXT.DLL     : 9.0.35.0      87809 Bytes  11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: d:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, K:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 5. April 2009  13:58

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\WINDOWS\system32\svchost.exe'
Signiert -> 'C:\WINDOWS\system32\winlogon.exe'
Signiert -> 'C:\WINDOWS\explorer.exe'
Signiert -> 'C:\WINDOWS\system32\smss.exe'
Signiert -> 'C:\WINDOWS\system32\wininet.DLL'
Signiert -> 'C:\WINDOWS\system32\wsock32.DLL'
Signiert -> 'C:\WINDOWS\system32\ws2_32.DLL'
Signiert -> 'C:\WINDOWS\system32\services.exe'
Signiert -> 'C:\WINDOWS\system32\lsass.exe'
Signiert -> 'C:\WINDOWS\system32\csrss.exe'
Signiert -> 'C:\WINDOWS\system32\drivers\kbdclass.sys'
Signiert -> 'C:\WINDOWS\system32\spoolsv.exe'
Signiert -> 'C:\WINDOWS\system32\alg.exe'
Signiert -> 'C:\WINDOWS\system32\wuauclt.exe'
Signiert -> 'C:\WINDOWS\system32\advapi32.DLL'
Signiert -> 'C:\WINDOWS\system32\user32.DLL'
Signiert -> 'C:\WINDOWS\system32\gdi32.DLL'
Signiert -> 'C:\WINDOWS\system32\kernel32.DLL'
Signiert -> 'C:\WINDOWS\system32\ntdll.DLL'
Signiert -> 'C:\WINDOWS\system32\ntoskrnl.exe'
Signiert -> 'C:\WINDOWS\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '35600' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MESSENGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Kodak Software Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyShare.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_timer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_agent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'openvpn-gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'locator.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\qnxunln9.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{C8F8CF07-3FA5-4BB4-98B4-31B9C824739C}\RP78\A0013414.dll
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'K:\' <IOMEGA_HDD>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\qnxunln9.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a37ae00.qua' verschoben!
D:\System Volume Information\_restore{C8F8CF07-3FA5-4BB4-98B4-31B9C824739C}\RP78\A0013414.dll
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a08adc0.qua' verschoben!


Ende des Suchlaufs: Sonntag, 5. April 2009  15:09
Benötigte Zeit:  1:10:27 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  12938 Verzeichnisse wurden überprüft
 470171 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 470168 Dateien ohne Befall
   4124 Archive wurden durchsucht
      1 Warnungen
      3 Hinweise
  35600 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Schon mal Danke im voraus....

P.S. Ich habe gesehen, dass es schon massig Beitrage zu diesem Thema gab, da aber immer individuell verfahren wurde, weiß ich nun leider nicht genau was meine nächsten Schritte sein sollten.

Hi,

hm, adope-plus-plugin...(zumindest die ClassId stimmt)...ev. false/positive...

Aus der Quarantäne bitte direkt zur Überprüfung an Avira schicken, Ergebnis mitteilen...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\qnxunln9.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Systemwiederherstellung löschen
Systemwiederherstellung deaktivieren in Windows XP
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

chris

Hi Chris,

danke erstmal für die schnelle Hilfe.
Habe die Dateien gestern Abend schon an Avira geschickt. Hoffe ich bekomme demnächst eine Antwort.
Die versteckten Dateien sind auch angezeigt.
Mit dem hochladen gibt es jedoch ein Problem.
Da ich die Dropper in Quarantäne verschoben habe, kann ich sie nicht mehr in den Plugins finden. Soll ich sie in einen externen Ordner wieder herstellen, oder aus der Quarantäne hochladen?

Hab die Datei jetzt von Virustotal überprüfen lassen:

Code: Alles auswählenAufklappen

ATTFilter

  Datei np_gp1.dll empfangen 2009.04.06 11:51:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/40 (5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.04.06	-
AhnLab-V3	5.0.0.2	2009.04.06	-
AntiVir	7.9.0.138	2009.04.06	-
Antiy-AVL	2.0.3.1	2009.04.06	-
Authentium	5.1.2.4	2009.04.05	-
Avast	4.8.1335.0	2009.04.05	-
AVG	8.5.0.285	2009.04.06	-
BitDefender	7.2	2009.04.06	-
CAT-QuickHeal	10.00	2009.04.04	-
ClamAV	0.94.1	2009.04.05	-
Comodo	1100	2009.04.05	-
DrWeb	4.44.0.09170	2009.04.06	-
eSafe	7.0.17.0	2009.04.05	Suspicious File
eTrust-Vet	31.6.6435	2009.04.03	-
F-Prot	4.4.4.56	2009.04.05	-
F-Secure	8.0.14470.0	2009.04.06	-
Fortinet	3.117.0.0	2009.04.06	-
GData	19	2009.04.06	-
Ikarus	T3.1.1.49.0	2009.04.06	-
K7AntiVirus	7.10.692	2009.04.03	-
Kaspersky	7.0.0.125	2009.04.06	-
McAfee	5575	2009.04.05	-
McAfee+Artemis	5575	2009.04.05	-
McAfee-GW-Edition	6.7.6	2009.04.03	Win32.Malware.gen!92 (suspicious)
Microsoft	1.4502	2009.04.06	-
NOD32	3989	2009.04.06	-
Norman	6.00.06	2009.04.03	-
nProtect	2009.1.8.0	2009.04.06	-
Panda	10.0.0.14	2009.04.05	-
PCTools	4.4.2.0	2009.04.05	-
Prevx1	V2	2009.04.06	-
Rising	21.23.41.00	2009.04.03	-
Sophos	4.40.0	2009.04.06	-
Sunbelt	3.2.1858.2	2009.04.04	-
Symantec	1.4.4.12	2009.04.06	-
TheHacker	6.3.4.0.302	2009.04.06	-
TrendMicro	8.700.0.1004	2009.04.06	-
VBA32	3.12.10.2	2009.04.06	-
ViRobot	2009.4.6.1679	2009.04.06	-
VirusBuster	4.6.5.0	2009.04.05	-
weitere Informationen
File size: 114540 bytes
MD5...: 2bb04306e5fdb3d9442847ef54ad375b
SHA1..: 261d31218825a56138af708b88d54ec820ee0b30
SHA256: 876be7b4a35595447fa9218b68c616ebb4f37fceeb27a2f6d5efdee888bcfd36
SHA512: 7625f2d8a2a3af05719442662429c63faf3015a4784ec27cf660de6ca7c8e67c
10f40e179ee4b10bb0234151400846c1cf7dcf7719e9be72539df8d19a10dd45
ssdeep: 3072:elQmnpO2VmZEJCPYVBuYroK9WbMDp54FUJar:eOBmjJCPqrIbQkmJm
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5b596
timedatestamp.....: 0x48b81b07 (Fri Aug 29 15:51:35 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.nos 0x1000 0x40000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x41000 0x1a7b1 0x1a800 7.98 92e328523467eb59c5e506e1ee5437af
.rsrc 0x5c000 0x156c 0x1568 4.98 026208979ae9bac2692be5c022ebaa87

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress

( 3 exports )
NP_GetEntryPoints, NP_Initialize, NP_Shutdown
RDS...: NSRL Reference Data Set
-
         

und den zweiten:

Code: Alles auswählenAufklappen

ATTFilter

 Datei np_gp.dll empfangen 2009.04.06 11:53:53 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/40 (5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.04.06	-
AhnLab-V3	5.0.0.2	2009.04.06	-
AntiVir	7.9.0.138	2009.04.06	-
Antiy-AVL	2.0.3.1	2009.04.06	-
Authentium	5.1.2.4	2009.04.05	-
Avast	4.8.1335.0	2009.04.05	-
AVG	8.5.0.285	2009.04.06	-
BitDefender	7.2	2009.04.06	-
CAT-QuickHeal	10.00	2009.04.04	-
ClamAV	0.94.1	2009.04.05	-
Comodo	1100	2009.04.05	-
DrWeb	4.44.0.09170	2009.04.06	-
eSafe	7.0.17.0	2009.04.05	Suspicious File
eTrust-Vet	31.6.6435	2009.04.03	-
F-Prot	4.4.4.56	2009.04.05	-
F-Secure	8.0.14470.0	2009.04.06	-
Fortinet	3.117.0.0	2009.04.06	-
GData	19	2009.04.06	-
Ikarus	T3.1.1.49.0	2009.04.06	-
K7AntiVirus	7.10.692	2009.04.03	-
Kaspersky	7.0.0.125	2009.04.06	-
McAfee	5575	2009.04.05	-
McAfee+Artemis	5575	2009.04.05	-
McAfee-GW-Edition	6.7.6	2009.04.03	Win32.Malware.gen!92 (suspicious)
Microsoft	1.4502	2009.04.06	-
NOD32	3989	2009.04.06	-
Norman	6.00.06	2009.04.03	-
nProtect	2009.1.8.0	2009.04.06	-
Panda	10.0.0.14	2009.04.05	-
PCTools	4.4.2.0	2009.04.05	-
Prevx1	V2	2009.04.06	-
Rising	21.23.41.00	2009.04.03	-
Sophos	4.40.0	2009.04.06	-
Sunbelt	3.2.1858.2	2009.04.04	-
Symantec	1.4.4.12	2009.04.06	-
TheHacker	6.3.4.0.302	2009.04.06	-
TrendMicro	8.700.0.1004	2009.04.06	-
VBA32	3.12.10.2	2009.04.06	-
ViRobot	2009.4.6.1679	2009.04.06	-
VirusBuster	4.6.5.0	2009.04.05	-
weitere Informationen
File size: 114540 bytes
MD5...: 2bb04306e5fdb3d9442847ef54ad375b
SHA1..: 261d31218825a56138af708b88d54ec820ee0b30
SHA256: 876be7b4a35595447fa9218b68c616ebb4f37fceeb27a2f6d5efdee888bcfd36
SHA512: 7625f2d8a2a3af05719442662429c63faf3015a4784ec27cf660de6ca7c8e67c
10f40e179ee4b10bb0234151400846c1cf7dcf7719e9be72539df8d19a10dd45
ssdeep: 3072:elQmnpO2VmZEJCPYVBuYroK9WbMDp54FUJar:eOBmjJCPqrIbQkmJm
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5b596
timedatestamp.....: 0x48b81b07 (Fri Aug 29 15:51:35 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.nos 0x1000 0x40000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x41000 0x1a7b1 0x1a800 7.98 92e328523467eb59c5e506e1ee5437af
.rsrc 0x5c000 0x156c 0x1568 4.98 026208979ae9bac2692be5c022ebaa87

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress

( 3 exports )
NP_GetEntryPoints, NP_Initialize, NP_Shutdown
RDS...: NSRL Reference Data Set
-
         

Leider hat Avira eben schon wieder den Dropper gefunden.
Wenn der Lauf durch ist, werde den Log posten.
Und die anderen Schritte abarbeiten.

Hier der neue Avira Log:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 6. April 2009  11:13

Es wird nach 1339172 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PHOENIX

Versionsinformationen:
BUILD.DAT      : 9.0.0.387     17962 Bytes  24.03.2009 11:03:00
AVSCAN.EXE     : 9.0.3.3      464641 Bytes  24.02.2009 11:13:22
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF   : 7.1.2.12    3336192 Bytes  11.02.2009 19:33:26
ANTIVIR2.VDF   : 7.1.3.0     1330176 Bytes  01.04.2009 11:16:39
ANTIVIR3.VDF   : 7.1.3.13      57344 Bytes  03.04.2009 11:15:33
Engineversion  : 8.2.0.138
AEVDF.DLL      : 8.1.1.0      106868 Bytes  27.01.2009 16:36:42
AESCRIPT.DLL   : 8.1.1.73     373114 Bytes  04.04.2009 11:15:37
AESCN.DLL      : 8.1.1.10     127348 Bytes  04.04.2009 11:15:37
AERDL.DLL      : 8.1.1.3      438645 Bytes  29.10.2008 17:24:41
AEPACK.DLL     : 8.1.3.12     397687 Bytes  04.04.2009 11:15:36
AEOFFICE.DLL   : 8.1.0.36     196987 Bytes  26.02.2009 19:01:56
AEHEUR.DLL     : 8.1.0.114   1700214 Bytes  04.04.2009 11:15:36
AEHELP.DLL     : 8.1.2.2      119158 Bytes  26.02.2009 19:01:56
AEGEN.DLL      : 8.1.1.33     340340 Bytes  04.04.2009 11:15:34
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 13:32:40
AECORE.DLL     : 8.1.6.7      176502 Bytes  04.04.2009 11:15:34
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.1      292609 Bytes  09.02.2009 06:52:20
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.21    2438401 Bytes  09.02.2009 10:41:16
RCTEXT.DLL     : 9.0.35.0      87809 Bytes  11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: d:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, K:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 6. April 2009  11:13

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\WINDOWS\system32\svchost.exe'
Signiert -> 'C:\WINDOWS\system32\winlogon.exe'
Signiert -> 'C:\WINDOWS\explorer.exe'
Signiert -> 'C:\WINDOWS\system32\smss.exe'
Signiert -> 'C:\WINDOWS\system32\wininet.DLL'
Signiert -> 'C:\WINDOWS\system32\wsock32.DLL'
Signiert -> 'C:\WINDOWS\system32\ws2_32.DLL'
Signiert -> 'C:\WINDOWS\system32\services.exe'
Signiert -> 'C:\WINDOWS\system32\lsass.exe'
Signiert -> 'C:\WINDOWS\system32\csrss.exe'
Signiert -> 'C:\WINDOWS\system32\drivers\kbdclass.sys'
Signiert -> 'C:\WINDOWS\system32\spoolsv.exe'
Signiert -> 'C:\WINDOWS\system32\alg.exe'
Signiert -> 'C:\WINDOWS\system32\wuauclt.exe'
Signiert -> 'C:\WINDOWS\system32\advapi32.DLL'
Signiert -> 'C:\WINDOWS\system32\user32.DLL'
Signiert -> 'C:\WINDOWS\system32\gdi32.DLL'
Signiert -> 'C:\WINDOWS\system32\kernel32.DLL'
Signiert -> 'C:\WINDOWS\system32\ntdll.DLL'
Signiert -> 'C:\WINDOWS\system32\ntoskrnl.exe'
Signiert -> 'C:\WINDOWS\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '35673' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_timer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_agent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'openvpn-gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'locator.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{C8F8CF07-3FA5-4BB4-98B4-31B9C824739C}\RP78\A0013417.dll
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'K:\' <IOMEGA_HDD>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{C8F8CF07-3FA5-4BB4-98B4-31B9C824739C}\RP78\A0013417.dll
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a09d711.qua' verschoben!


Ende des Suchlaufs: Montag, 6. April 2009  12:18
Benötigte Zeit:  1:04:25 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  12655 Verzeichnisse wurden überprüft
 467310 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 467308 Dateien ohne Befall
   4108 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise
  35673 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Schicke diese Datei ebenfalls wieder an Avira.

Hi,

bevor nicht klar ist ob es ein false/positiv ist, möchte ich sie nicht "eliminieren"...

chris

Hab den Punkt "Systemwiederherstellung" abgearbeitet...
Und hier die Malware Durchsuchung:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1944
Windows 5.1.2600 Service Pack 3

06.04.2009 13:58:07
mbam-log-2009-04-06 (13-58-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 279400
Laufzeit: 1 hour(s), 15 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Von Avira kam bisher noch keine Antwort....

Hi,

hat sich Avira inzwischen gemeldet?

chris

Nein...leider immer noch nicht. Haben wahrscheinlich vom Wochenende ganz viel nachzuholen.
Der Dropper aus der Systemwiederherstellung ist weg und weitere Scans mit Avira waren bisher alle negativ.
Hoffe der Rest klärt sich auch bald.

dürfte der hier sein http://www.symantec.com/security_response/writeup.jsp?docid=2007-070610-5827-99&tabid=1 das mistding habe ich auch und es kopiert sich selbst auf alle erdenklichen usb speichermedien.

Keine Ahnung ob er das ist. Avira hatte TR/Dropper.gen gemeldet.
Leider kam immer noch keine Antwort.
Weiß jemand wie lange das ungefähr dauert?

Hi,

normalerweise geht das innerhalb eines Tages, daher nehmen wir mal Kapi:
http://forum.kaspersky.com/index.php?showtopic=42428
Die Antworten innerhalb von ein paar Stunden...

chris

Danke für den Tipp. Werde ich heute machen.
Dazu muss ich allerdings das Quarantäneverzeichnis finden, bzw. die Dropper in einen externen Odner wiederherstellen und dort zippen, oder?
Dabei kann nichts passieren?

Hi,

nein, nur wenn Du Ihn ausführst kann es zu Problemen kommen (ruhiger Zeigefinger )...

Dann zippen und abschicken...

chris

Abgeschickt....