| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Dropper.gen befallWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.10.2010, 20:25
| #1 |
| |  Dropper.gen befall Hallo, seit Sonntag plagt mich ein Problem namens dropper.gen. Ich habe die Vermutung dass ich mir diesen Trojaner auf einer Internetseite eingefangen habe, wo ein Popup aufging. Dies war ein Popup mit:"Ihr System ist möglicherweise gefährdet..." und mein Browser wollte mir eine Datei runterladen. Ich habe den Browser per strg+alt+entf geschlossen, da sich der Tab bzw. der Browser nicht anders schließen ließ und jedes mal eine angebliche Fehlermeldung in einem Popup geöffnet hat. Danach habe ich einen Scan von Antivir machen lassen und er hat im Ordner C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp den Trojaner dropper.gen gefunden, welchen ich sofort löschen ließ. Heute habe ich einen Systemscan mit Antivir, Malwarebytes' Anti-Malware und meiner Outpost Firewallmachen lassen und er hat nichts gefunden. Jedoch im Ordner C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp habe ich eine Datei gefunden die mir seltsam erschien. Die Datei soll angeblich von HijackThis kommen und heißt wAFllCjT.exe.part. Aber weder Antivir noch MAM schlagen bei der Datei an. Mein System: Win XP SP3 Antivir Personal Agnitum Outpost Firewall Pro Malwarebytes' Anti-Malware Hijackthis Firefox Thunderbird Hier mein HijackThis Log: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 21:14:43, on 04.10.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\xRaidSetup.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe C:\Programme\Razer\Copperhead\razerhid.exe C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\plugin-container.exe F:\Hark\Downloads\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://192.168.0.2/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8B9B1309-0076-474C-9874-5A83C8732DB9}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe -- End of file - 5420 bytes Ich habe nochmal einen Scan nach Anleitung machen lassen per eScan und Silent Runners. Es befindet sich auch wieder eine neue seltsame Datei in C:\Dokument und Einstellungen\***\Lokale Einstellungen\Temp. Die heißt: ZYgvYUgg.htm.part. Logfile eScan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 11.0.86 Sprache: German C:\DOKUME~1\bucquit\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows\GameExplorer\{316C4F0C-5E5C-48BE-BBA0-8656947C2E39}\SupportTasks\0\Home Page.lnk Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows\GameExplorer\{5B9FEE10-52AA-46FB-910F-EC91D41C62AC}\SupportTasks\0\Home Page.lnk Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows\GameExplorer\{767269D6-B4F7-4BF3-9BE9-3614AD6E4625}\SupportTasks\0\Home Page.lnk Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows\GameExplorer\{89ED3DC0-BDF4-476B-879D-67CFAA76C3F5}\SupportTasks\0\Home Page.lnk Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows\GameExplorer\{8EBB721E-8201-4DB1-AB83-79DCBC1A1BFD}\SupportTasks\0\Home Page.lnk Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows\GameExplorer\{9A87E788-83A5-4C66-97EB-EC1911D545DB}\SupportTasks\0\Home Page.lnk Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows\GameExplorer\{ADB2EA94-610B-41BE-8499-CCF5DBAD0717}\SupportTasks\0\Home Page.lnk Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows\GameExplorer\{B7C49D71-6D97-45DE-8A99-B7AD44494FD0}\SupportTasks\0\Home Page.lnk Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{AD1633B8-8F63-40E6-8A96-9AF47AC850E1}\OFFLINE\86D01CB6\597810BF\Activate.exe ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ eScan-Antiviren- und Antispyware-Werkzeugsatz. Antiviren- und Antispywaredatenbanken werden heruntergeladen... Indexed Spyware Databases Successfully Created... eScan-Antiviren- und Antispyware-Werkzeugsatz. Scannen Spyware: Aktiviert Invalid/Infected Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost/netsvcs (UxTuneUp) ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** Indexed Spyware Databases Successfully Created... Objekt "GoHip Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "GoHip Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with Toolbar888 Browser Hijacker (Activate.exe)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/Alcmtr)! Action taken: Keine Maßnahme ergriffen. eScan-Antiviren- und Antispyware-Werkzeugsatz. eScan-Antiviren- und Antispyware-Werkzeugsatz. Scannen Spyware: Deaktiviert Invalid/Infected Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost/netsvcs (UxTuneUp) ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\bucquit\Eigene Dateien\Eigene Bilder\Autos Offending Folder found: C:\Dokumente und Einstellungen\bucquit\Eigene Dateien\Eigene Bilder\Autos ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28e88ee6-35db-11df-8d0f-001d7da75118} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a9ecbe4-a260-11df-8da9-001d7da75118} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe - C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup svchost.exe - svchost.exe - spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe acs.exe - nvsvc32.exe - C:\WINDOWS\system32\nvsvc32.exe explorer.exe - C:\WINDOWS\Explorer.EXE RTHDCPL.exe - "C:\WINDOWS\RTHDCPL.EXE" xRaidSetup.exe - "C:\WINDOWS\system32\xRaidSetup.exe" boot rundll32.exe - "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit LCDMon.exe - "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" LGDCore.exe - "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE razerhid.exe - "C:\Programme\Razer\Copperhead\razerhid.exe" op_mon.exe - razertra.exe - "C:\Programme\Razer\Copperhead\razertra.exe" LCDClock.exe - "C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe" LCDMedia.exe - "C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe" razerofa.exe - "C:\Programme\Razer\Copperhead\razerofa.exe" wmiprvse.exe - AcroRd32.exe - "C:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe" "F:\Hark\Downloads\escan_router.pdf" cmd.exe - cmd /c ""F:\Hark\Downloads\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ OpenError (C:\WINDOWS\system32\Drivers\sptd.sys): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20) ERROR!!! Invalid Entry C:\WINDOWS\System32\uxtuneup.dll in HKLM\SYSTEM\CurrentControlSet\Services\UxTuneUp\Parameters. Action Taken: No Action Taken. ERROR!!! Invalid Entry System32\Drivers\sptd.sys in HKLM\SYSTEM\CurrentControlSet\Services\sptd. Action Taken: No Action Taken. ERROR!!! Invalid Entry C:\WINDOWS\System32\uxtuneup.dll in HKLM\SYSTEM\CurrentControlSet\Services\UxTuneUp\Parameters. Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zahl der gescannten Objekte: 69709 Zahl der kritischen Objekte: 11 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Objekte: 0 Zahl der gelöschten Objekte: 0 Zeit verstrichen: 00:02:04 Zahl der gescannten Objekte: 5323 Zahl der kritischen Objekte: 0 Zeit verstrichen: 00:00:11 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Überprüfung der Registrierungsdatenbank: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Option "Überprüfung der Laufwerke" deaktiviert Überprüfung der Ordner: Deaktiviert Batchstart: 18:59:46,59 Batchende: 18:59:50,98 |
| Themen zu Dropper.gen befall |
| 0 bytes, adobe, antivir, banke, banken, bho, browser, cdburnerxp, citadel, dateisystem, dropper.gen, eigene bilder, einstellungen, explorer, fehlermeldung, hijack, hijackthis, internet explorer, launch, maßnahme, monitor, mozilla, national, nvidia, plug-in, popup, problem, registrierungsdatenbank, rundll, scan, security, software, sptd.sys, system, temp, trojaner, trojaner dropper.gen, windows, windows xp |
Baum-Darstellung