Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dropper.gen - Bitte um Hilfe- (https://www.trojaner-board.de/56488-tr-dropper-gen-bitte-um-hilfe.html)

walden 22.07.2008 05:07
TR/Dropper.gen - Bitte um Hilfe-
 
Hallo,

habe anscheinend einen Backdoor Trojaner auf meinen Rechner.

Würde mich freuen, wenn mir jemand helfen kann, das Problem zu lösen. Was muß ich tun um den Trojaner loß zu werden?
Reichen folgende Infos zur Behebung des Problems aus?


Avira meldet:

In der Datei 'C:\System Volume Information\_restore{7DCDA70F-8ADA-4E32-865D-08FDE263104C}\RP44\A0005629.EXE'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Folgende Informationen ergeben sich aus HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:00:45, on 22.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Safari\Safari.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\XXXX\Desktop\This.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.XXXX.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AppleSyncNotifier] REM C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] REM C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.xxx
O15 - Trusted Zone: *.xxx
O15 - Trusted Zone: *.xxx
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216587627736
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1216587618861
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

--
End of file - 6248 bytes

Vielen Dank für die Hilfe im Voraus

Beste Grüße

nochdigger 22.07.2008 15:53
Hallo und :hallo:

deaktiviere die bitte Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

Führe ein Update deines Antivirenprogramms durch und lass dein System im abgesicherten Modus (beim start F8 drücken) komplett überprüfen.
Lass dein System ebenfalls hier
Free Virus Scan - Kaspersky Lab
oder hier
BitDefender Online Scanner - Free Online Virus Scan
überprüfen, poste anschließend die Berichte.

MFG

walden 22.07.2008 21:29
Hallo,

vielen Dank für die Unterstützung.

Habe die Hinweise befolgt.
Ergebnis: keinerlei Virusmeldungen sowohl von Avira als auch von Kaspersky.

Mir ist aber folgendes aufgefallen:

CC Cleaner meldet bei einem Registry Check:
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\System32\SX53INST.EXE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\system32\pxinsi64.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\system32\pxcpyi64.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Windows.Forms.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscoree.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.EnterpriseServices.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.JScript.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Drawing.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscoree.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscorlib.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Ungültige oder leere Datei Klasse Connection Manager Profile HKCR\Connection Manager Profile
ActiveX/COM Fehler FlashProp.FlashProp.1 - {1171A62F-05D2-11D1-83FC-00A0C9089C5A} HKCR\FlashProp.FlashProp.1
ActiveX/COM Fehler MailFileAtt - {00020D05-0000-0000-C000-000000000046} HKCR\MailFileAtt
ActiveX/COM Fehler mapifvbx.object - {41116C00-8B90-101B-96CD-00AA003B14FC} HKCR\mapifvbx.object
ActiveX/COM Fehler mapifvbx.object.1 - {41116C00-8B90-101B-96CD-00AA003B14FC} HKCR\mapifvbx.object.1
Ungültige oder leere Datei Klasse ppifile HKCR\ppifile
ActiveX/COM Fehler RTCIMSP.RTCIMService - {83D4679F-B6D7-11D2-BF36-00C04FB90A03} HKCR\RTCIMSP.RTCIMService
ActiveX/COM Fehler RTCIMSP.RTCIMService.1 - {83D4679F-B6D7-11D2-BF36-00C04FB90A03} HKCR\RTCIMSP.RTCIMService.1
ActiveX/COM Fehler SPhoneParser.FoundSkypeNumber - {E40A96CC-4A5B-47F4-9957-87CDED1DFF45} HKCR\SPhoneParser.FoundSkypeNumber
ActiveX/COM Fehler SPhoneParser.FoundSkypeNumber.1 - {E40A96CC-4A5B-47F4-9957-87CDED1DFF45} HKCR\SPhoneParser.FoundSkypeNumber.1
ActiveX/COM Fehler InProcServer32\C:\WINDOWS\System32\plugin.ocx HKCR\CLSID\{06DD38D3-D187-11CF-A80D-00C04FD74AD8}
Anwendungspfad Fehler HijackThis.exe - C:\Dokumente und Einstellungen\diti\Desktop\hijackthis.exe HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Hilfe-Datei Fehler C:\Programme\Microsoft Office\Office10\Samples\\nwind9.cnt HKLM\Software\Microsoft\Windows\Help
Hilfe-Datei Fehler C:\Programme\Microsoft Office\Office10\Samples\\nwind9.hlp HKLM\Software\Microsoft\Windows\Help
Hilfe-Datei Fehler C:\Programme\Microsoft Office\Office10\Samples\\nwindcs9.cnt HKLM\Software\Microsoft\Windows\Help
Hilfe-Datei Fehler C:\Programme\Microsoft Office\Office10\Samples\\nwindcs9.hlp HKLM\Software\Microsoft\Windows\Help
Uninstaller-Verweis Fehler "C:\Dokumente und Einstellungen\diti\Desktop\HijackThis.exe" /uninstall HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\HijackThis


Die Datei : C:\WINDOWS\System32\SX53INST.EXE wurde gestern von Avira als die Datei mit dem Virus gemeldet und in Qurantäne verschoben.
Hat das was eventuell zu bedeuten?

Beste Grüße & vielen Dank für die Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131