|
TR/Dropper.Gen von Antivir gemeldet Hallo! Mein Vater hat einen Anhang einer Spammail geöffnet und damit anscheinend auf seinem Rechner den Trojaner TR/Dropper.Gen und anderen Kram installiert. Ich habe mit Antivir das Gröbste anscheinend runterbekommen, aber eine Warnung blieb, wie im Anhang im ersten Antivir-Log zu sehen. Ich bin daraufhin dieser h**p://www.trojaner-board.de/89918-load-exe-larusso.html Anleitung gefolgt und habe im Anhang die Log-Dateien von GMER, Anti-Malware, Defogger und OTL beigefügt. Zusätzlich sind dort noch ein Hijackthis-Log (auch nach Anleitung erstellt) sowie ein Antivir-Log bevor ich die load.exe verwendet habe und danach (beide entsprechend gekennzeichnet). Meine Bitte ist nun, dass sich jemand mal die Logs ansieht und mir sagt, dass der Rechner meines Vaters wieder sicher ist bzw. was dafür noch zu tun ist. Ich habe ihm bereits aufgetragen, seine Passwörter zu ändern, da Anti-Malware was von Pw-Stealer angezeigt hat. Freundliche Grüße Fabian :dankeschoen: |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 5523 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 15.01.2011 12:52:33 mbam-log-2011-01-15 (12-52-33).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 158878 Laufzeit: 31 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes Datenbank Version: 5523 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 15.01.2011 12:52:33 mbam-log-2011-01-15 (12-52-33).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 158878 Laufzeit: 31 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Es gibt nur noch den vom Quickscan: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5481 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 08.01.2011 16:45:35 mbam-log-2011-01-08 (16-45-35).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 125738 Laufzeit: 4 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\win32Runtime (Password.Stealer) -> Value: win32Runtime -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Dieser Passwort-Stealer ist im Moment in Quarantäne. Soll der gelöscht werden? antivir meldete ja direkt nach der infizierung folgendes: Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '49' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026380.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026382.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026383.exe [FUND] Ist das Trojanische Pferd TR/Spyeye.G Beginne mit der Suche in 'D:\' <Daten> Beginne mit der Desinfektion: C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026380.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5880a6.qua' verschoben! C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026382.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c2fc5af.qua' verschoben! C:\System Volume Information\_restore{222535DD-750B-4A66-A7A3-32B146F067F2}\RP646\A0026383.exe [FUND] Ist das Trojanische Pferd TR/Spyeye.G [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c3ffd3f.qua' verschoben! Ende des Suchlaufs: Samstag, 8. Januar 2011 16:19 Benötigte Zeit: 25:07 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 3975 Verzeichnisse wurden überprüft 195742 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 195738 Dateien ohne Befall 1241 Archive wurden durchsucht 1 Warnungen 4 Hinweise 49997 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Combofix Logfile: Code: ComboFix 11-01-22.03 - User 23.01.2011 14:06:46.1.1 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
GMER: GMER Logfile: Code: GMER 1.0.15.15530 - h*p://www.gmer.netOSAM: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit h*tp://forum.online-solutions.ru MBR: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 2 (build 2600) Logical Drives Mask: 0x0000001d Kernel Drivers (total 117): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF8A42000 \WINDOWS\system32\KDCOM.DLL 0xF8952000 \WINDOWS\system32\BOOTVID.dll 0xF84F2000 ACPI.sys 0xF8A44000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF84E1000 pci.sys 0xF8542000 isapnp.sys 0xF8B0A000 pciide.sys 0xF87C2000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8A46000 intelide.sys 0xF8552000 MountMgr.sys 0xF84C2000 ftdisk.sys 0xF8A48000 dmload.sys 0xF849C000 dmio.sys 0xF87CA000 PartMgr.sys 0xF8562000 VolSnap.sys 0xF8484000 atapi.sys 0xF8572000 disk.sys 0xF8582000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF8464000 fltMgr.sys 0xF8452000 sr.sys 0xF843B000 KSecDD.sys 0xF83AE000 Ntfs.sys 0xF8381000 NDIS.sys 0xF8366000 Mup.sys 0xF8592000 agp440.sys 0xF86A2000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF8258000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF8244000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF821B000 \SystemRoot\system32\DRIVERS\e1000325.sys 0xF8852000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF81F8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF885A000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF86B2000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF8862000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF886A000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF8872000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF81E4000 \SystemRoot\system32\DRIVERS\parport.sys 0xF81D3000 \SystemRoot\system32\DRIVERS\serial.sys 0xF89EA000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF86C2000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF86D2000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF81B0000 \SystemRoot\system32\DRIVERS\ks.sys 0xF8122000 \SystemRoot\system32\drivers\smwdm.sys 0xF8100000 \SystemRoot\system32\drivers\portcls.sys 0xF86E2000 \SystemRoot\system32\drivers\drmk.sys 0xF8A5C000 \SystemRoot\system32\drivers\aeaudio.sys 0xF8C38000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF86F2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF89F2000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF80E9000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF8702000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF8712000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF887A000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF80D8000 \SystemRoot\system32\DRIVERS\psched.sys 0xF8722000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF8882000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF888A000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF80A7000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF8732000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF8A5E000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF804E000 \SystemRoot\system32\DRIVERS\update.sys 0xF8A0E000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF8752000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF8772000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8A60000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF8892000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF8A62000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8B6F000 \SystemRoot\System32\Drivers\Null.SYS 0xF8A64000 \SystemRoot\System32\Drivers\Beep.SYS 0xF88A2000 \SystemRoot\System32\drivers\vga.sys 0xF8A66000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8A68000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF88AA000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF88B2000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF832D000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xEFE72000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xEFE1A000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xEFDF2000 \SystemRoot\system32\DRIVERS\netbt.sys 0xEFDD0000 \SystemRoot\System32\drivers\afd.sys 0xF8792000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF88BA000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xEFDA5000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xEFD36000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF87B2000 \SystemRoot\System32\Drivers\Fips.SYS 0xEFD15000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF85B2000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF88C2000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xF89CE000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xEFCD1000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8A6C000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF88EA000 \SystemRoot\System32\Drivers\IwUSB.sys 0xF8652000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xEFCB9000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8A72000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF8032000 \SystemRoot\System32\drivers\Dxapi.sys 0xF88F2000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8B33000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF020000 \SystemRoot\System32\ialmdnt5.dll 0xBF012000 \SystemRoot\System32\ialmrnt5.dll 0xBF03E000 \SystemRoot\System32\ialmdev5.DLL 0xBF064000 \SystemRoot\System32\ialmdd5.DLL 0xEFB8D000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xEFBA1000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xEF8C2000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xEF7F6000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xEF7B9000 \SystemRoot\system32\drivers\wdmaud.sys 0xEF98D000 \SystemRoot\system32\drivers\sysaudio.sys 0xF8AAE000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xEF464000 \SystemRoot\system32\DRIVERS\srv.sys 0xEF153000 \SystemRoot\System32\Drivers\HTTP.sys 0xEEA95000 \??\C:\DOKUME~1\User\LOKALE~1\Temp\pxldapog.sys 0xEEA6A000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 32): 0 System Idle Process 4 System 576 C:\WINDOWS\system32\smss.exe 640 csrss.exe 664 C:\WINDOWS\system32\winlogon.exe 708 C:\WINDOWS\system32\services.exe 720 C:\WINDOWS\system32\lsass.exe 892 C:\WINDOWS\system32\svchost.exe 972 svchost.exe 1068 C:\WINDOWS\system32\svchost.exe 1132 svchost.exe 1292 svchost.exe 1500 C:\WINDOWS\explorer.exe 1640 C:\WINDOWS\system32\spoolsv.exe 1688 C:\Programme\Avira\AntiVir Desktop\sched.exe 1760 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 1768 C:\WINDOWS\system32\igfxtray.exe 1776 C:\WINDOWS\system32\hkcmd.exe 1804 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 1816 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 1840 C:\WINDOWS\system32\ctfmon.exe 1860 svchost.exe 1968 C:\Programme\OpenOffice.org 2.3\program\soffice.exe 1988 C:\Programme\OpenOffice.org 2.3\program\soffice.bin 416 C:\Programme\Avira\AntiVir Desktop\avguard.exe 480 C:\Programme\Java\jre6\bin\jqs.exe 604 C:\WINDOWS\system32\svchost.exe 1468 C:\Programme\Internet Explorer\iexplore.exe 2320 alg.exe 2824 C:\Programme\Internet Explorer\iexplore.exe 3512 C:\WINDOWS\system32\wuauclt.exe 1496 C:\Dokumente und Einstellungen\User\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`09658c00 (NTFS) PhysicalDrive0 Model Number: WDCWD400LB-07DNA2, Rev: 79.07B79 Size Device Name MBR Status -------------------------------------------- 37 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo! Komme in nächster Zeit nicht mehr zu meinem Vater, aber das Problem scheint ja gelöst zu sein. Habe vielen Dank für deine Hilfe! Liebe Grüße Fabian |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board