| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangenWindows 7 Hier gehören alle Fragen zum Thema Trojaner, Viren, Würmer, Dialer, Spyware und andere Plagegeister hinein. |
 |
09.03.2009, 22:13
| #11 |
| |  AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen Ich habe genau das gleiche Problem aber Antivir finder den TR/Dropper.Gen immer wieder, und kann ihn auch löschen. Das nervige weiterleiten auf andere Seiten und öffnen von Werbefenstern habe ich weg bekommen.Mit Combofix und zwar nur damit,habe alles andere Versucht, tagelang alerdings hat mein Rechner trotzdem ein bissl ein eigenleben seit dort. |
|
15.03.2009, 17:51
| #12 | |
| | AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen Hallo, habe mir auch diesen Virus eingefangen, die Meldung erscheint wenn ich in der Uni sitze dauernt, hier zuhause ist sie allerdings noch nie aufgetretten. Die ip6fw.sys Datei ist auch in meinem Systemordner zu finden. Was soll ich tun? Hier mein Escan Log: Zitat:
|
|
22.03.2009, 18:12
| #13 |
| | AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen Hmmm. Ich finde, dass auch eScan nichts bringt, zumindest wenn man es nicht gekauft hat. HijackThis habe ich auch schon versucht, genauso wie AntiVir, der allerdings nur Viren in der Systemwiederherstellung gefunden hat (A0023003.exe & A0022411.exe). Nun habe ich mit der Notfall-CD aus der c't "gdata Antivirus" ausgeführt, welcher zunächst 7 Viren gefunden hat, die alle mit dem Trojaner zu tun hatten. Der 8. Virus war Suela-1042 (Engine B) und befand sich direkt in C:\pagefile.sys. Nun ist das ja die Auslagerungsdatei von Windows und ich musste den Virus erstmal in Quarantäne verschieben. Aber da ich das jetzt nicht löschen kann, weiß ich nicht, wie ich weiter vorgehen soll. Hat jemand eine Idee? |
|
28.03.2009, 20:08
| #14 |
| | AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen Hallo zusammen Mir hat mein Antivir vor einpaar Tagen TR/Dropper.Gen angezeigt. Ich habe die Informationen von anderen durchgelesen. Somit habe ich schon einmal einen eScan durchgeführt. Ich habe von Virus und Trojaner keine Ahnung darum hoffe ich das Ihr mir da weiter helfen könnt. Ich danke schon mal im voraus auf eine Antwort. Lieber Gruss SaasAngel Ps: Bringe nicht alles in eine Nachricht Mein eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 11.0.37 Sprache: German C:\DOKUME~1\user\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\b4fm.dll ist durch den Virus "Trojan.Generic.1109860 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\Downloaded Program Files\gsda.dll ist durch den Virus "Application.Downloader.Spygame.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\b4fm.dll ist durch den Virus "Trojan.Generic.1109860 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\b4fm.dll ist durch den Virus "Trojan.Generic.1109860 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\NI.UGESU_0001_N122M3010\setup.exe ist durch den Virus "Trojan.Generic.76080 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Dokumente und Einstellungen\user\Anwendungsdaten\setup_de[1].exe ist durch den Virus "Trojan.Generic.549879 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Dokumente und Einstellungen\user\Eigene Dateien\Downloads\http://www.bitreactor.to_MAGIX.Music...S\mm2k8ger.rar ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme\Roller Coaster\Roller.Toaster.Tycoon.3\Crack\key\rld-rct3kg.exe ist durch den Virus "Trojan.Packed.13231 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme\Roller Coaster\Roller.Toaster.Tycoon.3\pdrct3st.rar ist durch den Virus "Trojan.Generic.1092607 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\NI.UGESU_0001_N122M3010\setup.exe ist durch den Virus "Trojan.Generic.76080 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\DNA\btdna.exe ist durch den Virus "Trojan.Generic.1442455 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\Morpheus\morpheustoolbar.exe ist durch den Virus "Adware.Mywebsearch.BL (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\MP3-DJ\TerminPlayNeu.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\SWSETUP\InetSec06\GR\NAV\External\NORTON\NAVAPW32.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\Downloaded Program Files\gsda.dll ist durch den Virus "Application.Downloader.Spygame.A (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\b4fm.dll ist durch den Virus "Trojan.Generic.1109860 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei D:\AUTORUN.INF ist durch den Virus "Fujack" infiziert! Maßnahme ergriffen: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\GPInstall.exe Offending file found: C:\Dokumente und Einstellungen\user\Eigene Dateien\Bridge Building Game\bridge.exe Offending file found: C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\HP\Digital Imaging\cache\3.dat Offending file found: C:\WINDOWS\Downloaded Program Files\setup.inf Offending file found: C:\DOKUME~1\user\LOKALE~1\Temp\6.tmp Offending file found: C:\DOKUME~1\user\LOKALE~1\Temp\7.tmp Offending file found: C:\DOKUME~1\user\LOKALE~1\Temp\8.tmp ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ eScan-Antiviren- und Antispyware-Werkzeugsatz. Antiviren- und Antispywaredatenbanken werden heruntergeladen... Antiviren- und Antispywaredatenbanken werden heruntergeladen... eScan-Antiviren- und Antispyware-Werkzeugsatz. Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** Indexed Spyware Databases Successfully Created... System found infected with funwebproducts Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{147A976F-EEE1-4377-8EA7-4716E4CDD239})! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179})! Action taken: Keine Maßnahme ergriffen. System found infected with MaxSearch Adware ({C4069E3A-68F1-403E-B40E-20066696354B})! Action taken: Keine Maßnahme ergriffen. System found infected with video activex access Trojan (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045})! Action taken: Keine Maßnahme ergriffen. System found infected with Conducent FlexPak Spyware/Adware (GPInstall.exe)! Action taken: Keine Maßnahme ergriffen. System found infected with Bridge Spyware/Adware (bridge.exe)! Action taken: Keine Maßnahme ergriffen. Objekt "AutoStartup Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. System found infected with WareOut Adware (3.dat)! Action taken: Keine Maßnahme ergriffen. System found infected with PcRaiser Spoofer (HKLM\SOFTWARE\Purchased Products)! Action taken: Keine Maßnahme ergriffen. System found infected with SafePCTool Corrupted Adware/Spyware (HKLM\SOFTWARE\Purchased Products\System Error Repair)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (C:\WINDOWS\Downloaded Program Files\setup.inf)! Action taken: Keine Maßnahme ergriffen. System found infected with MW.Susp_hb.virus Virus (C:\DOKUME~1\user\LOKALE~1\Temp\6.tmp)! Action taken: Keine Maßnahme ergriffen. System found infected with MW.Susp_hb.virus Virus (C:\DOKUME~1\user\LOKALE~1\Temp\7.tmp)! Action taken: Keine Maßnahme ergriffen. System found infected with MW.Susp_hb.virus Virus (C:\DOKUME~1\user\LOKALE~1\Temp\8.tmp)! Action taken: Keine Maßnahme ergriffen. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7VFCETEC\de.euro2008.uefa.com\imgml\applet\mc Offending Folder found: C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7VFCETEC\en.euro2008.uefa.com\imgml\applet\mc Offending Folder found: C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7VFCETEC\v.netlogstatic.com\v3.00\1024 Offending Folder found: C:\Dokumente und Einstellungen\user\Eigene Dateien\DoomsdayArmageddon\gfx\SKINS\ast ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4d046bb9-eea0-11db-808b-806d6172696f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5f72c676-54f4-11dd-82c8-001302c82936} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{63fd603b-577c-11dd-82d0-001302c82936} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{63fd603d-577c-11dd-82d0-001302c82936} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{63fd603e-577c-11dd-82d0-001302c82936} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cdf50813-584f-11dd-82d1-001302c82936} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cdf50814-584f-11dd-82d1-001302c82936} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe - C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup Smc.exe - C:\Programme\Sygate\SPF\smc.exe svchost.exe - svchost.exe - spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe avguard.exe - "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" explorer.exe - C:\WINDOWS\Explorer.EXE HP Wireless Assistant.exe - "C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" SynTPEnh.exe - "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" QPService.exe - "C:\Programme\HP\QuickPlay\QPService.exe" QLBCTRL.exe - "C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" /Start igfxtray.exe - "C:\WINDOWS\system32\igfxtray.exe" hkcmd.exe - "C:\WINDOWS\system32\hkcmd.exe" igfxpers.exe - "C:\WINDOWS\system32\igfxpers.exe" avgnt.exe - "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min apdproxy.exe - "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" mmrtkrnl.exe - "C:\WINDOWS\system32\mmrtkrnl.exe" /i iTunesHelper.exe - "C:\Programme\iTunes\iTunesHelper.exe" hpwuSchd2.exe - "C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" jusched.exe - "C:\Programme\Java\jre6\bin\jusched.exe" pp04.exe - "C:\windows\pp04.exe" ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe" sched.exe - "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" AppleMobileDeviceService.exe - "C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe" jqs.exe - "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" LSSrvc.exe - "C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe" hpqwmiex.exe - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe hpqimzone.exe - "C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe" -s wmiprvse.exe - svchost.exe - C:\WINDOWS\system32\svchost.exe -k imgsvc iPodService.exe - C:\Programme\iPod\bin\iPodService.exe alg.exe - wmiapsrv.exe - C:\WINDOWS\system32\wbem\wmiapsrv.exe svchost.exe - C:\WINDOWS\System32\svchost.exe -k HTTPFilter HPQTOA~1.EXE - C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE -Embedding usnsvc.exe - "C:\Programme\MSN Messenger\usnsvc.exe" mexe.com - "C:\DOKUME~1\user\LOKALE~1\Temp\mexe.com" igfxsrvc.exe - C:\WINDOWS\system32\igfxsrvc.exe -Embedding mwav.exe - "C:\Dokumente und Einstellungen\user\Desktop\Trjoaner\mwav.exe" cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\user\Desktop\Trjoaner\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! Invalid Entry LogMeIn GUI = "C:\Programme\LogMeIn\x86\LogMeInSystray.exe" (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. ERROR!!! Invalid Entry updateMgr = C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. ERROR!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll in HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters. Action Taken: No Action Taken. ERROR!!! Invalid Entry %SystemRoot%\System32\hidserv.dll in HKLM\SYSTEM\CurrentControlSet\Services\HidServ\Parameters. Action Taken: No Action Taken. ERROR!!! Invalid Entry system32\DRIVERS\ewusbmdm.sys in HKLM\SYSTEM\CurrentControlSet\Services\hwdatacard. Action Taken: No Action Taken. ERROR!!! Invalid Entry \??\C:\Programme\LogMeIn\x86\RaInfo.sys in HKLM\SYSTEM\CurrentControlSet\Services\LMIInfo. Action Taken: No Action Taken. ERROR!!! Invalid Entry \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\idsdefs\20050901.036\symidsco.sys in HKLM\SYSTEM\CurrentControlSet\Services\SYMIDSCO. Action Taken: No Action Taken. Offending Registry Entry found: HKLM\SOFTWARE\Purchased Products\System Error Repair System found infected with SafePCTool Corrupted Adware/Spyware (HKLM\SOFTWARE\Purchased Products\System Error Repair)! Action taken: Keine Maßnahme ergriffen. ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Baschi\WENN DAS GOTT WU¨SST NRJ.mp3 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Festplatte\Bligg\Bligg\Nadisnah\Bligg'n'Lexx - 03 wN~nn.mp3 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Festplatte\Bligg\Bligg\Nadisnah\Bligg'n'Lexx - 04 bis zum letschtN~ hN~rzschlag feat. nox.mp3 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Festplatte\Bligg\Bligg\Nadisnah\Bligg'n'Lexx - 05 issN~chA°el.mp3 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Festplatte\Bligg\Bligg\Nadisnah\Bligg'n'Lexx - 07 zwA°schezit.mp3 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Festplatte\Bligg\Bligg\Nadisnah\Bligg'n'Lexx - 14 fA°rs lN~be feat. pete penicka.mp3 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Festplatte\Bligg\Bligg\Nadisnah\Bligg'n'Lexx - 16 dN~ da nahdisnah.mp3 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Eigene Dateien\Alter Computer\pinar.jpg ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\chrihae lg@msn.com\DFSR\Staging\CS{3E076E5A-7AD2-EB01-6946-63EF622414B3}\01\14-{3E076E5A-7AD2-EB01-6946-63EF622414B3}-v1-{860 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\chrihae lg@msn.com\DFSR\Staging\CS{3E076E5A-7AD2-EB01-6946-63EF622414B3}\15\15-{86046AD6-7E30-4DFD-869A-ACC87D9D6E48}-v15-{86 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\chrihae lg@msn.com\DFSR\Staging\CS{3E076E5A-7AD2-EB01-6946-63EF622414B3}\17\17-{86046AD6-7E30-4DFD-869A-ACC87D9D6E48}-v17-{86 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\chrihae lg@msn.com\DFSR\Staging\CS{3E076E5A-7AD2-EB01-6946-63EF622414B3}\18\18-{86046AD6-7E30-4DFD-869A-ACC87D9D6E48}-v18-{86 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\christe lfux91@hotmail.com\DFSR\Staging\CS{DDED7E78-A912-5545-DD65-AA8CDD165764}\01\10-{DDED7E78-A912-5545-DD65-AA8CDD165764} ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\christe lfux91@hotmail.com\DFSR\Staging\CS{DDED7E78-A912-5545-DD65-AA8CDD165764}\15\19-{DEC088A0-99C9-4675-8FD0-2C5FB8384AE0} ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\moni_zu r@hotmail.com\DFSR\Staging\CS{BDA7825C-93A6-30C8-2ADF-AACEE8B67EBE}\01\11-{BDA7825C-93A6-30C8-2ADF-AACEE8B67EBE}-v1-{ ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\tobi_zu r@hotmail.com\DFSR\Staging\CS{D7736DBF-1A00-6DC3-D880-C64AC48971DC}\01\12-{D7736DBF-1A00-6DC3-D880-C64AC48971DC}-v1-{ ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\Working \database_A47C_AE82_7CAE_4F3C\dfsr.db ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\Working \database_A47C_AE82_7CAE_4F3C\fsr.log ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\Working \database_A47C_AE82_7CAE_4F3C\fsrtmp.log ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\beat_imseng_14@hotmail.com\SharingMetadata\Working \database_A47C_AE82_7CAE_4F3C\tmp.edb ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\karin_imseng@hotmail.com\SharingMetadata\bumsi_nr1 @hotmail.com\DFSR\Staging\CS{4CA8FB13-A995-44B3-62B7-165C3D84FBBA}\01\11-{4CA8FB13-A995-44B3-62B7-165C3D84FBBA}-v1-{8 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\karin_imseng@hotmail.com\SharingMetadata\christelf ux91@hotmail.com\DFSR\Staging\CS{91DE8FC3-250B-9717-317C-FE914F8BB2BF}\01\10-{91DE8FC3-250B-9717-317C-FE914F8BB2BF}-v ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\karin_imseng@hotmail.com\SharingMetadata\robin_gra f11@hotmail.com\DFSR\Staging\CS{74CC4521-8E73-0A03-4809-C9DFEC2C8949}\01\12-{74CC4521-8E73-0A03-4809-C9DFEC2C8949}-v1 ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\etilqs_X88iLJZsXEd06zHeJEvt ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\fla2C.tmp ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\JETA2B7.tmp ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\user\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\hiberfil.sys ERROR(3)!!! ScanFile fails for C:\pagefile.sys ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\edb.log ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\tmp.edb ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG ~~~~~~~~~~~~~~~~~~~~~~ |
|
28.03.2009, 20:11
| #15 |
| | AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen Teil 2: Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Desktop\DivXInstaller(2).exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Desktop\DivXInstaller.exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Desktop\OpenOffice.org 2.2 Installation Files\openofficeorg1.cab!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Desktop\OpenOffice.org 2.2 Installation Files\openofficeorg2.cab!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Desktop\OpenOffice.org 2.2 Installation Files\openofficeorg3.cab!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Desktop\Trjoaner\mwav.exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\F.exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.7.1.11\iTunes.msi!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Download\G02.cab!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Download\G03f.cab!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Download\G03g.cab!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Download\G05.cab!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Download\NHL_08.part01.rar!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme\OOo_2.2.1_Win32Intel_install_de.exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme\Roller Coaster\Roller.Toaster.Tycoon.3.part1.rar!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme\Second Life 1-18-2-0 Setup.exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme\UltraMixer-2.3.1-win.exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme\WebDesigner.exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Eigene Dateien\RollerCoasterTycoon2.exe!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Adobe\Updater5\Install\reader8rdr-de_DE\AdbeRdr813_de_DE.msi!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\Adobe Reader 8\Data1.cab!!! Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\DWPUpgradeInstaller.exe!!! Zeit überschritten beim Scannen von C:\I386\DRIVER.CAB!!! Zeit überschritten beim Scannen von C:\Programme\Adobe\Reader 8.0\Setup Files\{AC76BA86-7AD7-1031-7B44-A81200000003}\AdbeRdr812_de_DE.msi!!! Zeit überschritten beim Scannen von C:\Programme\GameSpy Arcade\ArcadeInstallFull205-google.exe!!! Zeit überschritten beim Scannen von C:\Programme\Java\jre1.6.0_07\lib\rt.jar!!! Zeit überschritten beim Scannen von C:\Programme\Java\jre6\lib\rt.jar!!! Zeit überschritten beim Scannen von C:\Programme\Microsoft Works\WKSv7std.sbs!!! Zeit überschritten beim Scannen von C:\Programme\Microsoft Works\WKSv7std.sbt!!! Zeit überschritten beim Scannen von C:\SWSETUP\BTOOTH\Data1.cab!!! Zeit überschritten beim Scannen von C:\SWSETUP\HPPhoto\setup\bufferchm\BufferChm.cab!!! Zeit überschritten beim Scannen von C:\SWSETUP\HPPhoto\setup\destinations\Destinations.cab!!! Zeit überschritten beim Scannen von C:\SWSETUP\HPPhoto\setup\photogallery\PhotoGallery.cab!!! Zeit überschritten beim Scannen von C:\SWSETUP\HPPhoto\setup\unloadintent\Data1.cab!!! Zeit überschritten beim Scannen von C:\SWSETUP\HPQPDP\data2.cab!!! Zeit überschritten beim Scannen von C:\SWSETUP\MSWorks\FR\PFiles\MSWorks\WKSv7std.sbs!!! Zeit überschritten beim Scannen von C:\SWSETUP\MSWorks\GR\PFiles\MSWorks\WKSv7std.sbs!!! Zeit überschritten beim Scannen von C:\SWSETUP\MSWorks\IT\PFILES\MSWORKS\WKSV7STD.SBS!!! Zeit überschritten beim Scannen von C:\SWSETUP\QPW\data2.cab!!! Zeit überschritten beim Scannen von C:\SWSETUP\SonicDMP\MYDVD_62\MyDVD.MSI!!! Zeit überschritten beim Scannen von C:\SWSETUP\SonicDMP\SC_AUDIO_204\AUDIO.msi!!! Zeit überschritten beim Scannen von C:\SWSETUP\SonicDMP\SC_COPY_204\COPY.msi!!! Zeit überschritten beim Scannen von C:\SWSETUP\SonicDMP\SC_DATA_204\BMPLE.msi!!! Zeit überschritten beim Scannen von C:\System Volume Information\_restore{0095B874-A19B-48F8-9AD9-BD14DC0C34E0}\RP247\A0039348.msi!!! Zeit überschritten beim Scannen von C:\WINDOWS\Downloaded Installations\{66D8C376-87FE-4A10-A39A-2D775C361BDC}\Sony Ericsson PC Suite.msi!!! Zeit überschritten beim Scannen von C:\WINDOWS\Driver Cache\i386\driver.cab!!! Zeit überschritten beim Scannen von C:\WINDOWS\Installer\20c62d.msi!!! Zahl der gescannten Objekte: 258816 Zahl der kritischen Objekte: 33 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Objekte: 0 Zahl der gelöschten Objekte: 0 Zeit verstrichen: 02:05:52 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Überprüfung der Registrierungsdatenbank: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Laufwerke: Deaktiviert Überprüfung aller Laufwerke:Aktiviert Überprüfung der Ordner: Deaktiviert Batchstart: 6:14:01.75 Batchende: 6:14:16.43 |
|
15.04.2009, 19:54
| #16 |
| |  AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen hi, ich hab seit neustem auch das problem-.- "C:\Program Files (x86)\GIGABYTE\EnergySaver\GSvr.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5c12d0.qua' verschoben!" zuerst: mein Hijacklog Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:06:56, on 15.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files (x86)\EXPERTool\TBPANEL.exe C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files (x86)\iTunes\iTunesHelper.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.178.7:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [TQ566808] "D:\Setup.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [GAINWARD] C:\Program Files (x86)\EXPERTool\TBPanel.exe /A O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{C56337D4-4CDF-49BE-B643-D30652328418}: NameServer = 192.168.178.5 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\Comodo\Firewall\cmdagent.exe O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files (x86)\GIGABYTE\EnergySaver\GSvr.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files (x86)\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 7836 bytes eScan und Silentrunners Logfile folgen bald. frage an die anderen: ist irgendeine lösung schon gefunden? was lässt sich aus meinem Hijacklog ablesen? mfg, hopfi  |
|
15.04.2009, 20:21
| #17 |
| /// Helfer-Team   | AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen Hallo an alle mitschreibenden und lesenden, Ich möchte nur sagen, dass jeder seinen eigenen Thread erstellen soll, somit ist sicher, das jedem individuell geholfen wird! 
__________________ KEINE Hilfe per PN, für was wäre sonst das Forum da? Trojaner Board unterstützen! | Mei Bier is ned deppad, du bist deppad! | [Invisible Fighters] Clan |
|
18.04.2009, 15:00
| #18 |
| | AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen ich habe ds gleiche problem. ich kreige es nich weg. was ist den SOD-Methode? auf den Link kann ich nicht zugreifen....... LG |
|
18.04.2009, 15:12
| #19 |
| Administrator > Competence Manager  | AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen @Künstler Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema. Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann. Danke.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
19.04.2009, 16:06
| #20 | |
| | AW: Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen Zitat:
ich habe vor kurzem auch diesen Trojoaner TR/Dropper.Gen von meinem AntiVir angezeigt bekommen. Hier mein Silent Runners Log: "Silent Runners.vbs", revision 59, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "Steam" = ""c:\programme\steam\steam.exe" -silent" ["Valve Corporation"] "eiasy" = ""c:\dokumente und einstellungen\manuel\lokale einstellungen\anwendungsdaten\eiasy.exe" eiasy" [file not found] "ICQ" = ""C:\PROGRA~1\ICQ6.5\ICQ.exe" silent" ["ICQ, LLC."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun" ["Advanced Micro Devices, Inc."] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."] "Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."] "Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS] "QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."] HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub" \StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub" -> {HKLM...CLSID} = "Adobe PDF Link Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"] {DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided) -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper" \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."] {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl" -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class" \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE Microsoft AutoComplete" -> {HKLM...CLSID} = "IE Microsoft AutoComplete" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band" -> {HKLM...CLSID} = "History Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS] "{97090E2F-3062-4459-855B-014F0D3CDBB1}" = "Windows Search Deskbar" -> {HKCU...CLSID} = "Windows Search-Deskbar" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS] -> {HKLM...CLSID} = "Windows Search Deskbar" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS] "{13E7F612-F261-4391-BEA2-39DF4F3FA311}" = "Windows Desktop Search" -> {HKLM...CLSID} = "Windows Desktop Search" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\msnlExt.dll" [MS] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {HKLM...CLSID} = "SimpleShlExt Class" \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" ["Advanced Micro Devices, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{56F9679E-7826-4C84-81F3-532071A8BCC5}" = (no title provided) -> {HKLM...CLSID} = "Windows Desktop Search Namespace Manager" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [MS] <<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = "Microsoft AntiMalware ShellExecuteHook" -> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook" \InProcServer32\(Default) = "C:\PROGRA~1\WIFD1F~1\MpShHook.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "HonorAutoRunSetting" = (REG_DWORD) dword:0x00000001 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Manuel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ MPCPlayCDAudioOnArrival\ "Provider" = "Media Player Classic" "InvokeProgID" = "MediaPlayerClassic.Autorun" "InvokeVerb" = "PlayCDAudio" HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayCDAudio\command\(Default) = ""C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1 /cd" ["mpc-hc@Sourceforge"] MPCPlayDVDMovieOnArrival\ "Provider" = "Media Player Classic" "InvokeProgID" = "MediaPlayerClassic.Autorun" "InvokeVerb" = "PlayDVDMovie" HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayDVDMovie\command\(Default) = ""C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1 /dvd" ["mpc-hc@Sourceforge"] MPCPlayMusicFilesOnArrival\ "Provider" = "Media Player Classic" "InvokeProgID" = "MediaPlayerClassic.Autorun" "InvokeVerb" = "PlayMusicFiles" HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayMusicFiles\command\(Default) = ""C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1" ["mpc-hc@Sourceforge"] MPCPlayVideoFilesOnArrival\ "Provider" = "Media Player Classic" "InvokeProgID" = "MediaPlayerClassic.Autorun" "InvokeVerb" = "PlayVideoFiles" HKLM\SOFTWARE\Classes\MediaPlayerClassic.Autorun\shell\PlayVideoFiles\command\(Default) = ""C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1" ["mpc-hc@Sourceforge"] MSWPDShellNamespaceHandler\ "Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501" "CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}" "InitCmdLine" = " " -> {HKLM...CLSID} = "WPDShextAutoplay" \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS] Startup items in "Manuel" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\Manuel\Startmenü\Programme\Autostart "Xfire" -> shortcut to: "C:\Programme\Xfire\xfire.exe" ["Xfire Inc."] C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart "Windows Search" -> shortcut to: "C:\Programme\Windows Desktop Search\WindowsSearch.exe /startup" [MS] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] "MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS] "Norton Security Scan for Manuel" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQToolBar" -> {HKLM...CLSID} = "ICQToolBar" \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ {855F3B16-6D32-4FE6-8A56-BBB695989046}\(Default) = (no title provided) -> {HKLM...CLSID} = "ICQToolBar" \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "C:\Programme\ICQ6.5\ICQ.exe" ["ICQ, LLC."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQToolBar" \InProcServer32\(Default) = "C:\Programme\ICQ6Toolbar\ICQToolBar.dll" ["ICQ"] HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\ <<H>> "Tabs" = "C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ICQ\ICQNewTab\newTab.html" [null data] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] ICQ Service, ICQ Service, "C:\Programme\ICQ6Toolbar\ICQ Service.exe" [empty string] Java Quick Starter, JavaQuickStarterService, ""C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."] Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS] Windows Search, WSearch, "C:\WINDOWS\system32\SearchIndexer.exe /Embedding" [MS] ---------- (launch time: 2009-04-19 16:02:16) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 131 seconds. ---------- (total run time: 164 seconds) ich hoffe man kann meinem pc helfen :x |
|
| Stichworte zu Bitte um Hilfe habe mir den Trojaner TR/Dropper.Gen eingefangen |
| adobe, antivir, avira, bho, bitte um hilfe, desktop, dsl, einstellungen, f-secure, firefox, google, hijack, hijackthis, hilfe, internet, internet explorer, logfile, mozilla, mozilla firefox, rundll, server, software, system, tr/dropper.gen, trojaner, urlsearchhook, usb, windows, windows xp |
