Trojaner-Board - TR/Dropper.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Dropper.Gen (https://www.trojaner-board.de/91358-tr-dropper-gen.html)

Hallo

Mein AntiVir hat die Malware TR/Dropper.Gen gefunden und in die Quarantäne verbannt.
Habe mal das Programm GMER nach Anleitung über meinen Rechner laufen lassen.
Könnt ihr mir sagen ob alles entfernt wurde oder noch unerwünschte Programme bei mir laufen?
GMER Logfile:

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-10-01 16:08:44

Windows 5.1.2600 Service Pack 3

Running: 6mi8vjod.exe; Driver: C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\pwtyapod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT F7A92E96 ZwCreateKey

SSDT F7A92E8C ZwCreateThread

SSDT F7A92E9B ZwDeleteKey

SSDT F7A92EA5 ZwDeleteValueKey

SSDT sptd.sys ZwEnumerateKey [0xF74F2FB2]

SSDT sptd.sys ZwEnumerateValueKey [0xF74F3340]

SSDT F7A92EAA ZwLoadKey

SSDT sptd.sys ZwOpenKey [0xF74ED0B0]

SSDT F7A92E78 ZwOpenProcess

SSDT F7A92E7D ZwOpenThread

SSDT sptd.sys ZwQueryKey [0xF74F3418]

SSDT sptd.sys ZwQueryValueKey [0xF74F3298]

SSDT F7A92EB4 ZwReplaceKey

SSDT F7A92EAF ZwRestoreKey

SSDT F7A92EA0 ZwSetValueKey

 

---- Kernel code sections - GMER 1.0.15 ----

 

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB94E2000, 0x1C5D38, 0xE8000020]

.text USBPORT.SYS!DllUnload B90A98AC 5 Bytes JMP 899131C8 

 

---- Kernel IAT/EAT - GMER 1.0.15 ----

 

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F750406C] sptd.sys

IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7504018] sptd.sys

IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F75269AE] sptd.sys

IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F750406C] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74EDAD4] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74EDC1A] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74EDB9C] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74EE748] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74EE61E] sptd.sys

IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F750329A] sptd.sys

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 89C0D1E8

Device \FileSystem\Fastfat \FatCdrom 89871790

Device \Driver\usbohci \Device\USBPDO-0 899121E8

Device \Driver\usbohci \Device\USBPDO-1 899121E8

Device \Driver\usbohci \Device\USBPDO-2 899121E8

Device \Driver\usbehci \Device\USBPDO-3 898F01E8

Device \Driver\Ftdisk \Device\HarddiskVolume1 89BA21E8

Device \Driver\Cdrom \Device\CdRom0 89A2B1E8

Device \Driver\Cdrom \Device\CdRom1 89A2B1E8

Device \Driver\atapi \Device\Ide\IdePort0 [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

Device \Driver\atapi \Device\Ide\IdePort1 [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

Device \Driver\NetBT \Device\NetBt_Wins_Export 893F8790

Device \Driver\NetBT \Device\NetbiosSmb 893F8790

Device \Driver\usbohci \Device\USBFDO-0 899121E8

Device \Driver\usbohci \Device\USBFDO-1 899121E8

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89A775F8

Device \Driver\usbohci \Device\USBFDO-2 899121E8

Device \FileSystem\MRxSmb \Device\LanmanRedirector 89A775F8

Device \Driver\usbehci \Device\USBFDO-3 898F01E8

Device \Driver\Ftdisk \Device\FtControl 89BA21E8

Device \Driver\NetBT \Device\NetBT_Tcpip_{05B64ECB-3499-4B37-A1C5-AC8F367341C3} 893F8790

Device \FileSystem\Fastfat \Fat 89871790

 

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

Device \FileSystem\Cdfs \Cdfs 8996D790

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x44 0xE1 0x62 0x1F ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) 

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x44 0xE1 0x62 0x1F ...

 

---- EOF - GMER 1.0.15 ----

--- --- ---

Gruß
Poodle

poste die avira fund meldung, zu findenunter ereignisse, falls guard fund, oder unter berichte, falls beim scannen.

Die Datei 'C:\Dokumente und Einstellungen\Stefan Purucker\Eigene Dateien\Setup's\WinRAR 3.80\setup.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e236ef8.qua' verschoben!

rechtsklick avira schirm, guard deaktivieren.
dann öffne avira, verwaltung, quarantäne.
dort suche:

Die Datei 'C:\Dokumente und Einstellungen\Stefan Purucker\Eigene Dateien\Setup's\WinRAR 3.80\setup.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e236ef8.qua' verschoben!

wähle wiederherstellen in, desktop.
Submit your sample
hier die datei mit verdacht auf fehlalarm hochladen und das analyse ergebniss posten. datei löschen, papierkorb leeren.
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Hallo hab noch ne Datei in der Quarantäne entdeckt.
Bin nach der Anleitung vorgegangen.
Analyse Ergebnis:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25303582 nc.exe 60 KB RISK

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
nc.exe RISK

Die Datei 'nc.exe' wurde als 'RISK' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen SPR/NetCat.A gegeben. Bei der Bezeichnung "SPR/" ("Security or Privacy Risk") handelt es sich um ein Programm, das möglicherweise in der Lage ist, die Sicherheit Ihres Systems zu beeinträchtigen, von Ihnen nicht gewünschte Programmaktivitäten auszulösen oder Ihre Privatsphäre zu verletzen.Ein Erkennungsmuster ist mit Version 6.39.00.240 der Virendefinitionsdatei (VDF) hinzugefügt.

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25903199 A0045414.exe 1.69 MB MALWARE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
A0045414.exe MALWARE

Die Datei 'A0045414.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Dropper.Gen gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Diese Datei wird mit einer Spezial-Erkennungsroutine des Enginemoduls erkannt.

Gruß
Poodle

Hallo

Nach dem Verschieben der beiden Dateien vom Desktop in den Abfalleimer und Neustart des PC hat eine erneute Analyse mit dem neuen Parametern für den Avira Scanner keine Funde ergeben.
Hoffe ich habe alles los bekommen.
Besten Dank für eure Hilfe.
Gruß
Poodle

schön aber die
C:\Dokumente und Einstellungen\Stefan Purucker\Eigene Dateien\Setup's\WinRAR 3.80\setup.exe
war nicht dabei