Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Dropper.Gen

TR/Dropper.Gen


Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 05.09.2009, 19:03   #1
Angelsboy
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


Hallo alle zusammen,
Ich habe ein problem mit folgendem Virus TR/Dropper.Gen
Dieser wurde in vielen Datein im Ordner C:/Windows/Temp gefunden.
Meistens mit Dateinamen wie etwa diesem kbwikmejsikssanf.tmp.
Zum einen habe ich in Cmd netstat -b eingegeben um alle derzeitigen verbindungen herauszubekommen.
Hier das Ergebnis:

Ist darauf irgendwas gefährliches zu erkennen?

Hier noch der HjackThis log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:38, on 05.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Toshiba\Utilities\KeNotify.exe
C:\Program Files\Toshiba\ConfigFree\NDSTray.exe
C:\Program Files\Toshiba\HDMICtrlMan\HDMICtrlMan.exe
C:\Program Files\Toshiba\Power Saver\TPwrMain.exe
C:\Program Files\Toshiba\SmoothView\SmoothView.exe
C:\Program Files\Toshiba\FlashCards\TCrdMain.exe
C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe
C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe
C:\Program Files\Toshiba\Toshiba Online Product Information\TOPI.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
C:\Program Files\Lexmark Z2300 Series\ezprint.exe
C:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Razer\Diamondback 3G\razerhid.exe
C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Toshiba\ConfigFree\CFSwMgr.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Razer\Diamondback 3G\razertra.exe
C:\Program Files\Razer\Diamondback 3G\razerofa.exe
C:\Program Files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
c:\program files\avira\antivir desktop\avscan.exe
C:\Program Files\HijackThis\HijackThis.exe
D:\Programme\PortableApps\PortableAppsMenu\PortableAppsMenu.exe
C:\Windows\system32\conime.exe
H:\PortableApps\PortableApps\TeamviewerPortable\TeamViewer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [HWSetup] "C:\Program Files\TOSHIBA\Utilities\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [cfFncEnabler.exe] cfFncEnabler.exe
O4 - HKLM\..\Run: [HDMICtrlMan] C:\Program Files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe IE PA
O4 - HKLM\..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe" /start
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [lxdpmon.exe] "C:\Program Files\Lexmark Z2300 Series\lxdpmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark Z2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [BtTray] "C:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Windows\system32\skype4com.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: BlueSoleilCS - IVT Corporation - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: BsHelpCS - IVT Corporation - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: BsMobileCS - IVT Corporation - C:\Program Files\IVT Corporation\BlueSoleil\BsMobileCS.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxdpCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdpserv.exe
O23 - Service: lxdp_device -   - C:\Windows\system32\lxdpcoms.exe
O23 - Service: McAfee Real-time Scanner (McShield) - Unknown owner - C:\Program Files\McAfee\VirusScan\McShield.exe (file missing)
O23 - Service: McAfee SystemGuards (McSysmon) - Unknown owner - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartFaceVWatchSrv - Toshiba - C:\Program Files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Notebook Performance Tuning Service  (TempoMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPRO\TempoSVC.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 11326 bytes

Ich nutze Avira Antivir Personal
und Zone Alarm free

Im Moment befindet sich der Virus in der Quartäne. Außerdem wurde er öfters gefunden.
wäre nett wenn ihr mir helfen könntet

P.S.: das Programm McAffe Internet Security Suite war bis vor einer Woche drauf ist aber jetzt komplett deinstalliert...

Alt 05.09.2009, 20:02   #2
cacatoa
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


Noch hast Du ihn in den temporären Dateien. Diese solltest Du erst mal löschen. Ich bevorzuge hierzu clearprog 1.6.0 final. Downloaden, aufrufen, Häkchen bei "alles löschen" und die temporären Dateien sind weg.
Danach den Quarantäne-Ordner leeren und neu scannen; der Fund sollte weg sein.
Download bei Clearprog unter clearprog.de
Diesbezügliche Auffälligkeiten im HJT-LOog fielen mir nicht auf.

cacatoa
__________________

__________________
Alt 05.09.2009, 20:24   #3
john.doe
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


@cacatoa

Sorry für's Reinposten, aber das ist ein Rootkit.

@Angelsboy

Hallo und

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit RSIT. Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________
__________________
Alt 05.09.2009, 20:50   #4
cacatoa
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


@Angelsboy
Sorry, wenn ich dich nicht ausführlich und richtig genug beraten habe. Es ist wohl doch zu lange her, dass ich hier so richtig aktiv war.
Ich gelobe Besserung!

cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 05.09.2009, 21:40   #5
Angelsboy
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


So war bis grad weg sry...
Ich spiele lieber mit offenen karten.
Also das problem habe nich ich sondern mein Kumpel und er weiß das er ziemlich sicher ziemlich Viren verseucht is. Er hat mich darum gebeten das für ihn zu posten.
Mache ich demnächst jetzt auch weiter..^^
So
@cacatoa
nich so schlimm auf jedenfall vielen dank das du uns helfen wolltest

@all
Mein Kumpel is leider grade off.
Ich werde morgen mit ihm über Tv entweder versuchen die schritte durchzuführen oder er setzt das System komplett neu auf, was ich ihm empfelen werde.
Aber nun zum HijackThis Log.
ich habe mir den auch mal genauer angeschaut und ein paar Sachen rausgesucht.
Code:
ATTFilter
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
Code:
ATTFilter
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
Was ist das? oo Sowas habe ich noch niemals bei einem HijackThis Log gesehen!
Code:
ATTFilter
O4 - HKLM\..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe IE PA
Hierbei weiß ich auch nicht was das ist!
Ich hoffe ihr könnt mir diese 3 einträge mal genauer erklären :/
Morgen kommen dann wie gesagt die ganzen Logs RSIT und ComboFix

Mfg
Till aka. Angelsboy


Alt 05.09.2009, 22:13   #6
john.doe
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


Um es kurz zu machen, es gibt bestimmte Kategorien, die kannst du gefahrlos fixen, nämlich alle, die nur den MSIE betreffen (mit dem sowieso niemand surfen sollte).
R0, R1, R3, O2, O3, O8, O9, O11, O14 und O16 kannst du jederzeit fixen. Gibt nur wenige Ausnahmen wie Proxyserver unter R1.

Bei O4 sollte alles weg, dass nicht unbedingt notwendig ist. Denn das wird bei Windowsstart automatisch mitgestartet und braucht Zeit und Ressourcen. Das Google-Gelumpe kannst du unter O4 immer fixen.

ciao, andreas
__________________
--> TR/Dropper.Gen

Alt 05.09.2009, 23:34   #7
Angelsboy
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


So RSIT is durch.
Allerdings kam ziemlich schnell ein bluescreen. Aber die logs sind da!
Mein kumpel is bereits an den weiteren Schritten..^^

Mfg
Till aka. Angelsboy

Alt 05.09.2009, 23:39   #8
john.doe
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


Die Bluescreens werden vom Rootkit verursacht, damit sollte nach ComboFix Schluss sein, ähm, falls ComboFix läuft.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 06.09.2009, 00:59   #9
Angelsboy
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


so combofix ist auch durch ...

log hier posten ?? ...

naja nach dem ersten restart von combofix hat sich mein antivir gemeldet während combofix lief
ich hab das einfach mal gelassen und damit hat mein antivir dem rootkit den zugriff verweigert...
dann nach dem 2ten restart konnt ich keine programme mehr starten
"irwas mit unzulässig auf regestry zugreifen ... "
ich hab dann restartet und jezt bin ich hier ...

Alt 06.09.2009, 01:00   #10
BataAlexander
> MalwareDB
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


poste mal
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 06.09.2009, 01:02   #11
Angelsboy
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


so hier der log

Alt 06.09.2009, 11:44   #12
Angelsboy
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


Also ... ich frag mich grade ... was ich jetzt noch machen soll ...


hab den virus und diese trojans immernoch im quarantäne ordner von antivir ...

einfach löschen oder wie soll ich fortfahren... ??

wär nett wen mir jmd mal sagen könnte wies weitergeht... ^^

mfg KeKsDoSe

Alt 06.09.2009, 12:10   #13
john.doe
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


Das Rootkit bist du oder dein Freund los. Aber die Logs sehen böse aus. Mit Beschreibungen wie:
Zitat:
dann nach dem 2ten restart konnt ich keine programme mehr starten
Kann ich nichts anfangen. Bitte genauer. Was geht nicht mehr?

Eigentlich sollte sich jetzt alles wieder starten lassen und keine Bluescreens mehr kommen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 08.09.2009, 16:34   #14
Angelsboy
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


so prevX ^^
Alt 08.09.2009, 16:39   #15
john.doe
 
TR/Dropper.Gen - Standard

TR/Dropper.Gen


Wo hast du die Datei girc526.exe denn geladen? Schicke mir den Downloadlink bitte als Private Nachricht.

ciao, andreas

Edit: So richtig schädlich sieht die nicht aus. Nur ClamAV schießt mal wieder den Vogel ab.
Code:
ATTFilter
Datei girc526.htm empfangen 2009.09.08 15:52:44 (UTC)
Status:    Beendet 
Ergebnis: 12/41 (29.27%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.09.08	Riskware.Client-IRC.Win32.mIRC!IK
AhnLab-V3	5.0.0.2	2009.09.08	-
AntiVir	7.9.1.12	2009.09.08	-
Antiy-AVL	2.0.3.7	2009.09.08	Client-IRC/Win32.mIRC.gen
Authentium	5.1.2.4	2009.09.08	-
Avast	4.8.1351.0	2009.09.08	-
AVG	8.5.0.409	2009.09.08	-
BitDefender	7.2	2009.09.08	-
CAT-QuickHeal	10.00	2009.09.08	-
ClamAV	0.94.1	2009.09.08	Worm.Downadup-319
Comodo	2210	2009.09.08	UnclassifiedMalware
DrWeb	5.0.0.12182	2009.09.08	-
eSafe	7.0.17.0	2009.09.08	-
eTrust-Vet	31.6.6725	2009.09.08	-
F-Prot	4.5.1.85	2009.09.08	-
F-Secure	8.0.14470.0	2009.09.08	Client-IRC.Win32.mIRC.g
Fortinet	3.120.0.0	2009.09.08	Misc/MIRC
GData	19	2009.09.08	-
Ikarus	T3.1.1.72.0	2009.09.08	not-a-virus:Client-IRC.Win32.mIRC
Jiangmin	11.0.800	2009.09.08	-
K7AntiVirus	7.10.839	2009.09.08	-
Kaspersky	7.0.0.125	2009.09.08	not-a-virus:Client-IRC.Win32.mIRC.g
McAfee	5734	2009.09.07	-
McAfee+Artemis	5734	2009.09.07	Artemis!5A3449E5F18D
McAfee-GW-Edition	6.8.5	2009.09.08	-
Microsoft	1.5005	2009.09.08	-
NOD32	4406	2009.09.08	-
Norman	6.01.09	2009.09.08	-
nProtect	2009.1.8.0	2009.09.08	-
Panda	10.0.2.2	2009.09.07	Application/MotherboardMonitor.A
PCTools	4.4.2.0	2009.09.07	-
Prevx	3.0	2009.09.08	Medium Risk Malware
Rising	21.46.14.00	2009.09.08	-
Sophos	4.45.0	2009.09.08	-
Sunbelt	3.2.1858.2	2009.09.07	Trojan.Win32.Generic!BT
Symantec	1.4.4.12	2009.09.08	-
TheHacker	6.3.4.3.397	2009.09.07	-
TrendMicro	8.950.0.1094	2009.09.08	-
VBA32	3.12.10.10	2009.09.08	-
ViRobot	2009.9.8.1923	2009.09.08	-
VirusBuster	4.6.5.0	2009.09.08	-
weitere Informationen
File size: 3583184 bytes
MD5...: 5a3449e5f18d66e2ce789cbabd2b23c8
SHA1..: 5f900c2d8766dd33cdd6d38325132529b45b31d7
SHA256: 55b6b133aadd6351b024c10aa94e63f783502e6b2ce70908f8c701dc9c0b5c9c
ssdeep: 98304:K9sPryq3mbY+lL+jgw7hcOPSLwK8LS2BllN9x:KW3mE+lL+Fvjzj
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x323c
timedatestamp.....: 0x49a05a1a (Sat Feb 21 19:46:34 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5a56 0x5c00 6.42 7e9e633fd2aedade49bf819fab33d557
.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75
.data 0x9000 0x1af98 0x400 4.71 a59d6ff4f72ca84cc2dea3b332090bfb
.ndata 0x24000 0x19000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x3d000 0x4de0 0x4e00 4.61 9e8aca9cffb68f12c1680118f2d05d03

( 8 imports ) 
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=9F2E2D34D0F86921AC2E365809A7C500DDD1979E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=9F2E2D34D0F86921AC2E365809A7C500DDD1979E</a>
packers (Kaspersky): ExePack
packers (F-Prot): NSIS, Unicode
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?
Geändert von john.doe (08.09.2009 um 16:58 Uhr)

Antwort
Seite 1 von 2 1 2

Themen zu TR/Dropper.Gen
agere systems, antivir, antivir guard, avg, avira, bho, defender, desktop, ebay, firefox, google, gservice, hijack, hijackthis, internet, internet explorer, internet security, mozilla, netstat, performance, problem, rundll, saver, security, security suite, senden, software, solution, system, uleadburninghelper, virus, vista, zone alarm


« TR/Vundo.Gen | Crypt.XPACK.Gen / Hilfe bei Entfernung beöntigt »


Ähnliche Themen: TR/Dropper.Gen


  1. (mehrere) Trojanermeldung(en) AVG (Win8.1) : "Trojaner: Dropper.Generic2.ANGG.dropper"
    Log-Analyse und Auswertung - 11.07.2014 (3)
  2. TR/Dropper.Gen
    Log-Analyse und Auswertung - 01.12.2011 (15)
  3. TR/Dropper.Gen
    Log-Analyse und Auswertung - 17.05.2011 (7)
  4. Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (9)
  5. TR/Dropper.gen
    Plagegeister aller Art und deren Bekämpfung - 12.01.2010 (11)
  6. TR/Dropper.gen
    Log-Analyse und Auswertung - 16.12.2009 (20)
  7. Dropper.Gen Log
    Log-Analyse und Auswertung - 12.12.2009 (1)
  8. TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.11.2009 (10)
  9. TR / Dropper :gen
    Log-Analyse und Auswertung - 12.11.2009 (1)
  10. TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (3)
  11. 2x TR/dropper.gen
    Plagegeister aller Art und deren Bekämpfung - 29.10.2009 (2)
  12. TR/Dropper.gen
    Plagegeister aller Art und deren Bekämpfung - 21.10.2009 (0)
  13. TR/dropper.gen
    Plagegeister aller Art und deren Bekämpfung - 05.08.2009 (1)
  14. Dropper.gen
    Log-Analyse und Auswertung - 16.04.2009 (7)
  15. TR\Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.04.2009 (57)
  16. Dropper.Gen
    Log-Analyse und Auswertung - 06.04.2009 (0)
  17. tr/dropper gen
    Mülltonne - 23.09.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Dropper.Gen - Hallo alle zusammen, Ich habe ein problem mit folgendem Virus TR/Dropper.Gen Dieser wurde in vielen Datein im Ordner C:/Windows/Temp gefunden. Meistens mit Dateinamen wie etwa diesem kbwikmejsikssanf.tmp. Zum einen habe - TR/Dropper.Gen...
Archiv
Du betrachtest: TR/Dropper.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131