Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dropper.Gen ->neustart dauerschleife (https://www.trojaner-board.de/82764-tr-dropper-gen-neustart-dauerschleife.html)

flok 09.02.2010 18:59
TR/Dropper.Gen ->neustart dauerschleife
 
hallo,
heute hat mir antivir folgende meldung gebracht:
Zitat:
In der Datei 'D:\WINDOWS\Temp\~TM7B.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
ca 1min später hat mein rechner ohne vorwarnung neugestartet, bis zu dem punkt an dem der bildschirm beim windowsstart hellblau wird (willkommen) und die maus angezeigt wird. 3sek später sehr kurzer bluescreen und neustart. das ging immer so weiter als schleife...
im abgesicherten modus konnte ich arbeiten. ein manuelles löschen der datei hat nichts gebracht, der pc startete immer wieder neu.
im abgesicherten modus hat antivir 4 mal TR/Patched.Gen gefunden, die sind jetzt in quarantäne verschoben wurden. spybot hatte mir nichts angezeigt!

jetzt läuft mein system stabil, antivir zeigt soweit nichts mehr an. kann ich mir sicher sein, dass erstmal ruhe ist, oder muss ich mit weiteren problemen rechnen?

MalwareHero 09.02.2010 19:48
Zitat:
Zitat von flok (Beitrag 502663)
hallo, kann ich mir sicher sein, dass erstmal ruhe ist, oder muss ich mit weiteren problemen rechnen?
Ich tippe auf Rootkits.

lg.

flok 09.02.2010 21:34
du hast recht, kurz nachdem ich das geschrieben hatte kamen weitere meldungen und es ging nur über den abgesicherten modus was..
nach ewigem scannen:
Zitat:
Die Datei 'D:\WINDOWS\system32\eseninit.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.35328' [trojan].
außerdem
Zitat:
D:\WINDOWS\system32\drivers\jwcqk.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
habe soeben noch sophos anti-rootkit durchlaufen lassen, welches keine meldung brachte.

MalwareHero 10.02.2010 14:59
Zitat:
du hast recht,
Die Erstellung von verseuchten Tempdateien ist ein Hinweis auf Rootkit Installation.


Zitat:
habe soeben noch sophos anti-rootkit durchlaufen lassen, welches keine meldung brachte
Dieses Tool ist unbrauchbar!

Scanne mit mit "Catchme" von Gmer.


http://www2.gmer.net/catchme.exe

How to scan
#

Download catchme.exe ( 137KB ) to your desktop.
Download die catchme.exe auf dein Desktop
#

Double click the catchme.exe to run it
Doppelklick die catchme.exe
#

Click the "Scan" button to start scan
Klick auf "Scan"
#

Open catchme.log to see results
Öffne und poste den Text des "catchme.log"

Ausserdem:

http://www.trojaner-board.de/51187-a...i-malware.html
Log posten.

lg.

flok 10.02.2010 18:05
hab ich gemacht...
was mich wundert bzgl netuza: im ordner ...autostart befindet sich nichts! beim systemstart ist aber immer ein haken bei netuza32, auch wenn ich ihn wegnehme.

hier die catchme.log
Zitat:
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-10 17:53:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="D:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000001
"hdf12"=hex:c8,9d,17,1a,f1,a6,e4,8f,56,e7,a9,97,b5,e0,4c,c1,e9,31,8e,4c,dd,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,66,44,c3,72,69,7e,15,8e,9a,23,2d,48,f6,43,e7,7a,08,..
"hdf12"=hex:7a,32,b6,e3,23,de,6f,f9,48,99,b8,67,d9,37,97,4e,47,09,c5,d3,2f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:bf,ea,55,9c,05,30,a9,e0,b2,b8,29,12,43,7f,02,90,25,09,a3,30,a2,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1]
"hdf12"=hex:3a,7d,20,c3,2d,70,ee,7c,96,3b,60,9b,a1,f4,a0,c6,88,ba,55,18,8b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:d8,a1,79,95,b0,18,9a,6c,17,1c,78,ec,c4,eb,00,27,f8,81,6b,1b,0b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="D:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000001
"hdf12"=hex:c8,9d,17,1a,f1,a6,e4,8f,56,e7,a9,97,b5,e0,4c,c1,e9,31,8e,4c,dd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,66,44,c3,72,69,7e,15,8e,9a,23,2d,48,f6,43,e7,7a,08,..
"hdf12"=hex:7a,32,b6,e3,23,de,6f,f9,48,99,b8,67,d9,37,97,4e,47,09,c5,d3,2f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:bf,ea,55,9c,05,30,a9,e0,b2,b8,29,12,43,7f,02,90,25,09,a3,30,a2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1]
"hdf12"=hex:3a,7d,20,c3,2d,70,ee,7c,96,3b,60,9b,a1,f4,a0,c6,88,ba,55,18,8b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:d8,a1,79,95,b0,18,9a,6c,17,1c,78,ec,c4,eb,00,27,f8,81,6b,1b,0b,..

scanning hidden registry entries ...

scanning hidden files ...

D:\Dokumente und Einstellungen\Flo am Start\Startmenü\Programme\Autostart\netuza32.exe 30720 bytes executable
log von malewarebytes folgt sogleich, danke schonmal für die hilfe!!!:applaus::dankeschoen:

flok 10.02.2010 19:09
sry wegen doppelpost, konnte nicht mehr editieren

hier die 2.log, wirklich interessant was man hier alles so findet
in wie weit bin ich jetzt sicher bzgl onlinebanking usw...
Zitat:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3720
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

10.02.2010 19:08:29
mbam-log-2010-02-10 (19-08-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 303229
Laufzeit: 1 hour(s), 9 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Flo am Start\Eigene Dateien\pchtches_cracks_install\ms office 2007\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Flo am Start\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Flo am Start\Startmenü\Programme\Autostart\netuza32.exe (Trojan.Downloader) -> Delete on reboot.

Rattle07 10.02.2010 20:16
Zitat:
C:\Flo am Start\Eigene Dateien\pchtches_cracks_install\ms office 2007\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Was ist denn das? Keygens sind illegal, fast immer verseucht und werden hier auf dem Board, gerade von dem Helfer Team (zudem ich nicht gehöre, aber es dennoch unterstreiche!) nicht gerne gesehen. Also Finger weg davon!

flok 11.02.2010 10:13
jup, hab sowas schon lang nicht mehr angerührt, wird schon zimlich lang auf meinem rechner sein :/

MalwareHero 11.02.2010 15:41
Zitat:
Was ist denn das? Keygens sind illegal, fast immer verseucht und werden hier auf dem Board, gerade von dem Helfer Team (zudem ich nicht gehöre, aber es dennoch unterstreiche!) nicht gerne gesehen. Also Finger weg davon!
So ist es.

Zitat:
Zitat von flok (Beitrag 502981)
jup, hab sowas schon lang nicht mehr angerührt, wird schon zimlich lang auf meinem rechner sein :/
? :headbang:

Zitat:
scanning hidden files ...

D:\Dokumente und Einstellungen\Flo am Start\Startmenü\Programme\Autostart\netuza32.exe 30720 bytes executable
Da haben wir unseren Rootkit.

Support endet hier, meinerseits. Keygens verderben mir dir Lust zum Helfen.
Formatiere dein System und -
http://www.trojaner-board.de/51262-a...sicherung.html

lg.

flok 11.02.2010 16:46
trotzdem danke und daumen hoch fürs forum!:dankeschoen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131