Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 12.12.2008, 12:12   #1
mr87
 
Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted - Unglücklich

Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted



Hallo zusammen,


ich habe zwar paar Beiträge zwar zu diesem Thema gelesen jedoch nirgendwo eine endgültige Lösung dazu gefunden.
Deshalb wollte ich ein neuen Beitrag dazu öffnen.

Folgende Störung tritt auf:

User bekommen von Avira folgende meldung:
Auf Ihren Computer wurde ein Virus oder unerwünschtes Programm gefunden!
C: Dokumente und Einstellungen\.. ucxzge[1] .jpg
Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert
HIDDENEXT\Crypted.

Diese wird zwar laut Avira in Quarantäne verschoben jedoch bekommt der User diese Meldung mehrfach von ca. 7 verschieben *.jpg Dateien. Diese befinden sich entweder beim lokalen Usern in den Temporären Internet Dateien aber auch bei User Network Service.
Den gesamten Inhalt habe ich gelöscht jedoch kam die Meldung nach spätestens einer halben Stunde wieder.
Desweiteren bekommen seitdem einige User folgende Meldung:

Generic Host Process Im Win32 Seivices hat ein Problem festgestellt und muss beendet werden.

Nach einem Klick auf "Nicht Senden" friert der PC ein und es muss ein cold resert gemacht werden. Diese Störung tritt dann mehrfach am Fag auf und ist höchst lästig.

Vorgestern meldete Avira dann folgendes:

Avira AntiVir Professional erkannte in der Datei
C:\WINDOWS\system32\x
verdächtigen Code mit der Bezeichnung TR/Dropper.Gen


Ich habe exemplarisch bei einem User Hijack ausgeführt und das Log beigefügt. Wenn jemand dazu einen Lösungsvorschlag hat wäre ich sehr dankbar da ich mit meinem Latein am ende bin und dies höchst nervend ist.

vielen danke im vorraus

ps: mir ist aufgefallen, dass bei Usern die Vista nutzen dieser Virus nicht kommt.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:38:36, on 12.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Workstation\sched.exe
C:\Programme\Avira\Avira Security Management Center Agent\agent.exe
C:\Programme\Avira\AntiVir Workstation\avguard.exe
C:\Programme\Avira\AntiVir Workstation\avesvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Programme\Avira\AntiVir Workstation\avmailc.exe
C:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\bgsmsnd.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir Workstation\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Trilogy\lib\UpdateAgent.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\Snapware\Snapware.exe
C:\Programme\lotus\notes\ntaskldr.EXE
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Business Solutions-Navision\Client\fin.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.16.0.15:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = rzweb.bechtle.de;www-intern.bechtle.de;adressinfo.bechtle.de;sapfiweb.bechtle.de;10.*.*.*;www-*.bechtle.de;e*.bechtle.de;b*.bechtle.de;i*.bechtle.de;s*.bechtle.de;its*;as*;info.bechtle.de;blog.bechtle.de;<local>
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\bgstb.dll
O3 - Toolbar: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\bgstb.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\system32\bgsmsnd.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Update Agent.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_17\bin\npjpi142_17.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_17\bin\npjpi142_17.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213012431923
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - hxxps://fujitsu-siemens.webex.com/client/T26L/webex/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = BEBN.local
O17 - HKLM\Software\..\Telephony: DomainName = BEBN.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = BEBN.local
O20 - AppInit_DLLs: msjt3032Patch.dll
O23 - Service: Avira Security Management Center Agent (AntiVir Security Management Center Agent) - Avira GmbH - C:\Programme\Avira\Avira Security Management Center Agent\agent.exe
O23 - Service: Avira AntiVir Professional MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avmailc.exe
O23 - Service: Avira AntiVir Professional Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\sched.exe
O23 - Service: Avira AntiVir Professional Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avguard.exe
O23 - Service: Avira AntiVir Professional WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Professional MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avesvc.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe

--
End of file - 7104 bytes
         

Alt 12.12.2008, 12:17   #2
Franz1968
/// Helfer-Team
 
Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted - Standard

Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted




User, bei einem User, User mit Vista?
Um wessen System geht's denn nun? Bist du Admin?
__________________

__________________

Alt 12.12.2008, 12:27   #3
mr87
 
Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted - Standard

Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted



Zitat:
Zitat von Franz1968 Beitrag anzeigen

User, bei einem User, User mit Vista?
Um wessen System geht's denn nun? Bist du Admin?


Das Problem tritt bei XP Usern(ca 30 Personen) auf. Deshalb habe ich auch ein Hijacker Log von einem XP Rechner gemacht. Vista User sind davon nicht betroffen.
__________________

Alt 28.07.2009, 09:58   #4
Kampy
 
Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted - Standard

Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted



geht mir genauso. hab ihn bis jetzt nicht weggekriegt. ich lösch immer den ordner in den temporären Dateien dann hab ich bis zum nächsten Reboot Ruhe. Ab und zu hab ich gedacht ihn wegbekommen zu haben, aber er kommt dann doch immer wieder. Hier hat mir auch keiner dazu geholfen auf dem Board

Antwort

Themen zu Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted
adobe, antivir, avira, bho, computer, crypted, einstellungen, explorer, hiddenext, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, object, problem, programm, programme, security, senden, software, system, tr/dropper.gen, virus, vista, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted


  1. hiddenext/worm.gen - was tut das genau und bin ich es losgeworden?
    Plagegeister aller Art und deren Bekämpfung - 19.04.2014 (12)
  2. RANSOMWARE Virus im Umlauf
    Log-Analyse und Auswertung - 25.11.2012 (4)
  3. Immer wieder Trojaner gefunden, u.a. hiddenext/crypted
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (9)
  4. Imgnute0011.exe (hiddenext worm.gen)
    Plagegeister aller Art und deren Bekämpfung - 22.02.2011 (3)
  5. TR/Dropper.Gen,crypted.exe - Logfiles auswerten
    Log-Analyse und Auswertung - 14.01.2011 (7)
  6. Avira Guard meldet HTML/Crypted.Gen' [virus]
    Plagegeister aller Art und deren Bekämpfung - 11.11.2010 (10)
  7. HTML/Crypted.Gen' [virus]
    Log-Analyse und Auswertung - 06.05.2010 (7)
  8. Virus 'HIDDENEXT/Crypted' und mehrere Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (3)
  9. 'HTML/Crypted.Gen' [virus] - Aktion Zugriff verweigert
    Plagegeister aller Art und deren Bekämpfung - 07.04.2010 (9)
  10. Bitte um Hilfe zur Auswertung Hijackauszug, Malewarebytes, Virus HTML/Crypted.Gen
    Log-Analyse und Auswertung - 25.06.2009 (0)
  11. TR/Crypt.XPACK.Gen und HIDDENEXT/Crypted
    Log-Analyse und Auswertung - 07.03.2009 (5)
  12. Hilfe! - TR dldr.Agent.agfw und Hiddenext/Crypted
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (0)
  13. HEUR-DBLEXT/Crypted und HTML/Crypted.Gen
    Plagegeister aller Art und deren Bekämpfung - 27.09.2007 (5)
  14. HEUR/Crypted entdeckt Bug? Fehlermeldung?Virus Brauch dringend Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 28.03.2007 (9)
  15. HEUR-DBLEXT/Crypted...Virus? Brauche Hilfe
    Log-Analyse und Auswertung - 07.09.2006 (3)
  16. Neuer Polymorpher Virus Win32.Polipos im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 20.04.2006 (1)
  17. Neuer Virus / Wurm im Umlauf ???
    Plagegeister aller Art und deren Bekämpfung - 12.08.2005 (5)

Zum Thema Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted - Hallo zusammen, ich habe zwar paar Beiträge zwar zu diesem Thema gelesen jedoch nirgendwo eine endgültige Lösung dazu gefunden. Deshalb wollte ich ein neuen Beitrag dazu öffnen. Folgende Störung tritt - Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted...
Archiv
Du betrachtest: Virus im Umlauf TR/Dropper.Gen + HIDDENEXT\Crypted auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.