|
TR/Dropper.Gen entdeckt - was tun? Hallo zusammen, und noch ein Hilferuf im Kampf gegen die Trojaner! ich habe neulich beim Systemcheck mit AntiVir den Trojaner TR/Dropper.Gen auf meinem Rechner entdeckt (2fach). Der Bericht von AntiVir lautet: Code: C:hiberfil.sysDaraufhin habe ich mir HiJackThis runtergeladen und ausgeführt. Hier ist die Logdatei: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:45:21, on 12.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Realtek\InstallShield\AzMixerSel.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\APPS\Powercinema\PCMService.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\apps\ABoard\ABoard.exe C:\Programme\Lexmark 2300 Series\lxcgmon.exe C:\apps\ABoard\AOSD.exe C:\Programme\Lexmark 2300 Series\ezprint.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\APPS\SMP\SmpSys.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Samsung\Digimax Viewer 2.1\STImgBrowser.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\lxcgcoms.exe C:\Programme\ArcorOnline\AOButler.exe c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ecmag.exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\install\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*p://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=6&key=SEARCH R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://www.gmx.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://www.gmx.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://www.gmx.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://www.gmx.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://www.gmx.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\APPS\BAE\BAE.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [DetectorApp] C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe O4 - HKLM\..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe" O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ecmag] "c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ecmag.exe" ecmag O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Digimax Viewer 2.1.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe -- End of file - 9181 bytes Ich hoffe daraus lässt sich was entziffern und bin für jede Hilfe dankbar. Vielen Dank und Gruß Mamfred |
Hallo und :hallo: Zitat:
Du hast zwei alte Adobe Reader Versionen sowie ein veraltetes Java auf deinem System, die sollten am Schluss deinstalliert bzw. durch aktuelle Versionen ersetzt werden. Dein System verträgt glaube ich auch ein Update.... Scanne dein System mit Malwarebytes aber bitte noch nix löschen. Scanne dein System ebenfalls mit Navilog Zitat:
MFG |
Hallo! Danke für die schnelle Antwort. Hier kommt erstmal Malware-Log: Code: Malwarebytes' Anti-Malware 1.24Danke und Gruß Mamfred |
Hallo Zitat:
Zitat:
Zitat:
Zitat:
MFG |
Da bin ch wieder, hallo! So, jetzt kommt Navilog: Code: Search Navipromo version 3.6.3 began on 14.08.2008 at 20:29:12,06Danke und Gruß Mamfred |
Hallo Zitat:
Deaktiviere bitte die Systemwiederherstellung, dann lass Navilog erneut laufen Zitat:
Führe ein Update deines Antivir durch und scanne dein komplettes System. Starte dein System dann neu und die Systemwiederherstellung kann wieder aktiviert werden, wenn gewünscht. Berichte bitte mal MFG |
Hi, ok, dann berichte ich mal. Navilog hat bereinigt, hier ist das Log: Code: Navipromo Removal version 3.6.3 started on 14.08.2008 at 22:14:41,32Code: Malwarebytes' Anti-Malware 1.24Bis denne, Mamfred |
So dann, der AntiVir hat auch nichts gefunden. Der Bericht lautet: Code: Ach ja, ich habe immer noch die zwei Dateien in AntiVir-Quarantäne. Soll ich sie löschen? Danke und Gruß Mamfred |
Moin das sieht doch sehr gut aus, Navilog kann jetzt deinstalliert werden und Malwarebytes kann als zusätzliches Scanprogramm bei gefallen drauf bleiben. Gibt es noch Probleme oder Meldungen? MFG |
Hallo, also bis jetzt habe ich keine Probleme feststellen können. Meldungen (wie z.B.vorhin "der Rechner ist von Spyware überflutet...") gab es auch nicht. Bin ich jetzt geheilt? (Ich wollte nur nachfragen befor ich das Online-Banking wieder benutze) Vielen lieben Dank und Gruß Mamfred |
Hallo Zitat:
MFG |
Hallo Nochdigger, ich wollte nur noch mal Danke sagen, hast mir super gut geholfen, das fand ich echt Klasse! :daumenhoc (Und gelernt hab ich auch noch dazu...) Danke und Gruß Mamfred |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board