|
Log-Analyse und Auswertung: TR/Dropper.GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.03.2010, 18:27 | #1 |
| TR/Dropper.Gen Hallo Leute, Ich habe gestern über msn eine Datei geschickt bekommen und sie leider angenommen. Daraufhin schlug mein Avira Antivir drei Mal alarm. Ich habe die trojanischen Pferde dann in Quarantäne verschoben und gelöscht. Heute morgen als ich den PC wieder angeschaltet habe, bekam ich wieder die gleichen Meldungen. Jedesmal wenn ich meinen PC anschalte, sind die Pferde wieder da. Mir ist aber auch aufgefallen, dass der Name immer anders ist. Zum Beispiel war gestern die hintere Nummer nicht 2889417.exe, sondern 9536.exe. Hat das etwas zu bedeuten ? C:\Users\****\AppData\Local\Temp\2889417.exe diese Meldung kommt immer 2x. C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BJ0S7KAV\proxy[1].exe Hier erst mal der log von HijackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:55:43, on 22.03.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18882) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\sttray.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\****\Downloads\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [IpSharkk] "C:\Program Files\IpSharkk\IpSharkk.exe" /auto O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe End of file - 4537 bytes Und hier ist die log von RSIT hxxp://www.file-upload.net/download-2369508/log.txt.htm und die info des RSIT hxxp://www.file-upload.net/download-2369512/info.txt.html Irgendwie schaff ich es nicht, die Adressen zu verlinken. Und ich habe noch Malwarebytes durchlaufen lassen: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3900 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18882 22.03.2010 18:04:55 mbam-log-2010-03-22 (18-04-55).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 227114 Laufzeit: 59 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\****\AppData\Roaming\ufxw.exe (IM.Worm) -> Delete on reboot. Ich hoffe, dass reicht aus. Hab hier nämlich bei den anderen geschaut, die das selbe Problem hatten und vorsichtshalber mal alles gemacht. Liebe Grüße Geändert von PlanB. (22.03.2010 um 18:33 Uhr) |
24.03.2010, 19:10 | #3 |
| TR/Dropper.Gen Hab ich bereits ;-)
__________________Die Logs sind auf file-uploade.net drauf. Aber irgendwie konnte ich das nich verlinken ^^" In meinem Post stehen die Seiten unter der HiJack Log. Also, ich hab das Problem jetzt selber irgendwie gelöst ^^" Hab Malwarebyte durchlaufen lassen und daraufhin wurde wie bereits gepostet ein Wurm gefunden, den ich gelöscht habe. Und seitdem kommt keine Avira Meldung über das Dropper.Gen mehr. Ist das okay so ? |
24.03.2010, 20:02 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Dropper.Gen Ups, hab ich übersehen Ich seh mir die Logs nochmal an. Hat Malwarebytes schonmal was gefunden oder war das der erste Durchlauf?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu TR/Dropper.Gen |
adobe, antivir, antivir guard, avg, avira, bho, content.ie5, defender, desktop, firefox, hijack, hijackthis, internet, internet explorer, local\temp, logfile, mozilla, plug-in, problem, proxy, rundll, senden, software, system, temp, tr/dropper.gen, vista, windows |