Hallo

Mein AntiVir hat die Malware TR/Dropper.Gen gefunden und in die Quarantäne verbannt.
Habe mal das Programm GMER nach Anleitung über meinen Rechner laufen lassen.
Könnt ihr mir sagen ob alles entfernt wurde oder noch unerwünschte Programme bei mir laufen?
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-01 16:08:44
Windows 5.1.2600 Service Pack 3
Running: 6mi8vjod.exe; Driver: C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\pwtyapod.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT F7A92E96 ZwCreateKey
SSDT F7A92E8C ZwCreateThread
SSDT F7A92E9B ZwDeleteKey
SSDT F7A92EA5 ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF74F2FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF74F3340]
SSDT F7A92EAA ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF74ED0B0]
SSDT F7A92E78 ZwOpenProcess
SSDT F7A92E7D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF74F3418]
SSDT sptd.sys ZwQueryValueKey [0xF74F3298]
SSDT F7A92EB4 ZwReplaceKey
SSDT F7A92EAF ZwRestoreKey
SSDT F7A92EA0 ZwSetValueKey
 
---- Kernel code sections - GMER 1.0.15 ----
 
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB94E2000, 0x1C5D38, 0xE8000020]
.text USBPORT.SYS!DllUnload B90A98AC 5 Bytes JMP 899131C8 
 
---- Kernel IAT/EAT - GMER 1.0.15 ----
 
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F750406C] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7504018] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F75269AE] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F750406C] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74EDAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74EDC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74EDB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74EE748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74EE61E] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F750329A] sptd.sys
 
---- Devices - GMER 1.0.15 ----
 
Device \FileSystem\Ntfs \Ntfs 89C0D1E8
Device \FileSystem\Fastfat \FatCdrom 89871790
Device \Driver\usbohci \Device\USBPDO-0 899121E8
Device \Driver\usbohci \Device\USBPDO-1 899121E8
Device \Driver\usbohci \Device\USBPDO-2 899121E8
Device \Driver\usbehci \Device\USBPDO-3 898F01E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89BA21E8
Device \Driver\Cdrom \Device\CdRom0 89A2B1E8
Device \Driver\Cdrom \Device\CdRom1 89A2B1E8
Device \Driver\atapi \Device\Ide\IdePort0 [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 893F8790
Device \Driver\NetBT \Device\NetbiosSmb 893F8790
Device \Driver\usbohci \Device\USBFDO-0 899121E8
Device \Driver\usbohci \Device\USBFDO-1 899121E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89A775F8
Device \Driver\usbohci \Device\USBFDO-2 899121E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89A775F8
Device \Driver\usbehci \Device\USBFDO-3 898F01E8
Device \Driver\Ftdisk \Device\FtControl 89BA21E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{05B64ECB-3499-4B37-A1C5-AC8F367341C3} 893F8790
Device \FileSystem\Fastfat \Fat 89871790
 
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 
Device \FileSystem\Cdfs \Cdfs 8996D790
 
---- Registry - GMER 1.0.15 ----
 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x44 0xE1 0x62 0x1F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) 
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x44 0xE1 0x62 0x1F ...
 
---- EOF - GMER 1.0.15 ----
         

--- --- ---

Gruß
Poodle

poste die avira fund meldung, zu findenunter ereignisse, falls guard fund, oder unter berichte, falls beim scannen.

Die Datei 'C:\Dokumente und Einstellungen\Stefan Purucker\Eigene Dateien\Setup's\WinRAR 3.80\setup.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e236ef8.qua' verschoben!

rechtsklick avira schirm, guard deaktivieren.
dann öffne avira, verwaltung, quarantäne.
dort suche:

Die Datei 'C:\Dokumente und Einstellungen\Stefan Purucker\Eigene Dateien\Setup's\WinRAR 3.80\setup.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e236ef8.qua' verschoben!

wähle wiederherstellen in, desktop.
Submit your sample
hier die datei mit verdacht auf fehlalarm hochladen und das analyse ergebniss posten. datei löschen, papierkorb leeren.
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Hallo hab noch ne Datei in der Quarantäne entdeckt.
Bin nach der Anleitung vorgegangen.
Analyse Ergebnis:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25303582 nc.exe 60 KB RISK

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
nc.exe RISK

Die Datei 'nc.exe' wurde als 'RISK' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen SPR/NetCat.A gegeben. Bei der Bezeichnung "SPR/" ("Security or Privacy Risk") handelt es sich um ein Programm, das möglicherweise in der Lage ist, die Sicherheit Ihres Systems zu beeinträchtigen, von Ihnen nicht gewünschte Programmaktivitäten auszulösen oder Ihre Privatsphäre zu verletzen.Ein Erkennungsmuster ist mit Version 6.39.00.240 der Virendefinitionsdatei (VDF) hinzugefügt.

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25903199 A0045414.exe 1.69 MB MALWARE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
A0045414.exe MALWARE

Die Datei 'A0045414.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Dropper.Gen gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Diese Datei wird mit einer Spezial-Erkennungsroutine des Enginemoduls erkannt.

Gruß
Poodle

Hallo

Nach dem Verschieben der beiden Dateien vom Desktop in den Abfalleimer und Neustart des PC hat eine erneute Analyse mit dem neuen Parametern für den Avira Scanner keine Funde ergeben.
Hoffe ich habe alles los bekommen.
Besten Dank für eure Hilfe.
Gruß
Poodle

schön aber die
C:\Dokumente und Einstellungen\Stefan Purucker\Eigene Dateien\Setup's\WinRAR 3.80\setup.exe
war nicht dabei