Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Dropper und Zeugs

Dropper und Zeugs


Plagegeister aller Art und deren Bekämpfung: Dropper und Zeugs

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.04.2009, 21:57   #1
Zor4k
 
Dropper und Zeugs - Standard

Dropper und Zeugs


Hallo zusammen!

Ich lese das Forum seit geraumer Zeit und konnte bislang den Plagegeistern selbst zur Leibe rücken, doch jetzt hab ich ein dickes Problem, dem ich nicht so ganz Herr werde. Mein Rechner hat ziemliche Faxen gemacht und hab auch schnell Viren gefunden TR/Dropper.Gen, Rootkit (durch format c: verschwunden) und noch etwas, dass ich nicht ganz bestimmen kann: INF/AutoRun.2346.

Da der Dropper so ziemlich allem, was ich aufgeboten habe, Stand hielt, habe ich formatiert. Nach format c: war er aber noch da und sitzt in den Datenplatten (Musik ect.), die ich keinesfalls formatieren möchte. Desweiteren kann ich eine Platte nicht öffnen. Die Fehlermeldung "vs.host.exe konnte nicht gefunden werden" erscheint dann.

Bitte helft mir. Möchte ungern formatieren, da dort auch persönliche Daten draufliegen. Ich hab mal einen Malwarebytescan geuppt. Hab Hijack bisher nicht so oft benutzt und hab da nur einen Systemscan gefunden, also ohne die anderen Platten.

Edit: Sehe gerade, dass im Scanreport nichts nennenswertes steht. Warum das so ist, weiss ich nicht, Antivir schlägt jedenfalls an.

Alt 11.04.2009, 22:10   #2
john.doe
 
Dropper und Zeugs - Standard

Dropper und Zeugs


Hallo und

ZHPDiag von Nicolas Coolman


  1. Klicke auf Téléchargement de ZHPDiag
  2. Klicke auf der Seite auf FTP Zebulon.fr N°1.
  3. Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
  4. Klicke auf All
  5. Klicke auf General Analysis
  6. Klicke auf Paste Clipboard
  7. Wechsel zum Forum, klicke auf Antworten, klicke in den großen weißen Kasten
  8. Drücke [Strg]v, [Strg]a
  9. Klicke auf #

ciao, andreas
__________________

__________________
Alt 11.04.2009, 22:19   #3
Zor4k
 
Dropper und Zeugs - Standard

Dropper und Zeugs


here we go

Code:
ATTFilter
Rapport de ZHPDiag v1.17 par Nicolas Coolman
Enregistré le 11.04.2009 23:18:07
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
MSIE: Internet Explorer v6.0.2900.2180

---\\ Running Processes
H:\WINDOWS\inf\UpdateUSB.exe
D:\Avira\AntiVir Desktop\sched.exe
D:\Avira\AntiVir Desktop\avguard.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\spoolsv.exe

---\\ Changed inifile Value, Mapped to Registry (F2)
F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,

---\\ Internet Explorer Start Page (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

---\\ Internet Explorer Search Page (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

---\\ Auto loading programs from Registry (O4)
O4 - HKLM\..\Run: [UpdateUSB] H:\WINDOWS\inf\UpdateUSB.exe
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe

---\\ Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu (O9)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe,302
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe,302

---\\ 'Reset Web Settings' hijack (O14)
O14 - IERESET.INF: SAFESITE_VALUE=SAFESITE_VALUE="ie.search.msn.com"

---\\ SharedTaskScheduler (O22)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1}
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030}

---\\ non Microsoft non disabled Windows XP/NT/2000 Services (O23)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - D:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - D:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Druckwarteschlange (Spooler) - H:\WINDOWS\system32\spoolsv.exe

---\\ Windows Active Desktop Components (O24)
O24 - Desktop Component 0: Die derzeitige Homepage - file:About:Home

---\\ ActiveSetup Installed Components (040)
O40 - ASIC: Microsoft Windows Media Player - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - H:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - H:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE
O40 - ASIC: Browseranpassungen - {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O40 - ASIC: Outlook Express - {881dd1c5-3dcf-431b-b061-f3f88e8be88a} - H:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE
O40 - ASIC: Vektorgrafik-Rendering (VML) - {10072CEC-8CC1-11D1-986E-00A0C955B42F} - (not file)
O40 - ASIC: Microsoft NetShow Player - {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - H:\WINDOWS\system32\wmpdxm.dll
O40 - ASIC: Microsoft Windows Media Player 6.4 - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - H:\WINDOWS\system32\wmpdxm.dll
O40 - ASIC: DirectAnimation - {283807B5-2C60-11D0-A31D-00AA00B92C03} - H:\WINDOWS\system32\danim.dll
O40 - ASIC: Themes Setup - {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - H:\WINDOWS\system32\regsvr32.exe /s /n /i:/UserInstall H:\WINDOWS\system32\themeui.dll
O40 - ASIC: Dynamic HTML-Datenbindung für Java - {36f8ec70-c29a-11d1-b5c7-0000f8051515} - (not file)
O40 - ASIC: Offlinebrowsingpaket - {3af36230-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Uniscribe - {3bf42070-b3b1-11d1-b5c5-0000f8051515} - (not file)
O40 - ASIC: Erweitertes Authoring - {4278c270-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Microsoft Outlook Express 6 - {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection H:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
O40 - ASIC: DirectShow - {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - (not file)
O40 - ASIC: DirectDrawEx - {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - (not file)
O40 - ASIC: Internet Explorer-Hilfe - {45ea75a0-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: DirectAnimation Java Classes - {4f216970-c90c-11d1-b5c7-0000f8051515} - (not file)
O40 - ASIC: Microsoft Windows Script 5.6 - {4f645220-306d-11d2-995d-00c04f98bbc9} - (not file)
O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection H:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
O40 - ASIC: (no name) - {5A8D6EE0-3E18-11D0-821E-444553540000} - (not file)
O40 - ASIC: Internet Explorer Setup Tools - {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Browsererweiterungen - {630b1da0-b465-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} - rundll32.exe advpack.dll,LaunchINFSection H:\WINDOWS\INF\wmp.inf,PerUserStub
O40 - ASIC: Zugang zu MSN Site - {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - (not file)
O40 - ASIC: Adressbuch 6 - {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
O40 - ASIC: Windows Desktop-Update - {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
O40 - ASIC: Internet Explorer 6 - {89820200-ECBD-11cf-8B85-00AA005B4383} - H:\WINDOWS\system32\ie4uinit.exe
O40 - ASIC: Dynamic HTML-Datenbindung - {9381D8F2-0288-11D0-9501-00AA00B911A5} - (not file)
O40 - ASIC: (no name) - {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - (not file)
O40 - ASIC: Internet Explorer-Hauptschriftarten - {C9E9A340-D1F1-11D0-821E-444553540600} - (not file)
O40 - ASIC: Taskplaner - {CC2A9BA0-3BDD-11D0-821E-444553540000} - (not file)
O40 - ASIC: (no name) - {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - (not file)
O40 - ASIC: Macromedia Shockwave Flash - {D27CDB6E-AE6D-11cf-96B8-444553540000} - H:\WINDOWS\system32\macromed\flash\flash.ocx
O40 - ASIC: HTML-Hilfe - {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Active Directory Service Interface - {E92B03AB-B707-11d2-9CBD-0000F87A369E} - (not file)

---\\ Drivers launched at startup (O41)
O41 - Driver: 1394-ARP-Clientprotokoll (Arp1394) - C:\WINDOWS\system32\DRIVERS\arp1394.sys
O41 - Driver: Asynchroner RAS -Medientreiber (AsyncMac) - C:\WINDOWS\system32\DRIVERS\asyncmac.sys
O41 - Driver: Protokoll für ATM ARP-Client (Atmarpc) - C:\WINDOWS\system32\DRIVERS\atmarpc.sys
O41 - Driver: Audiostubtreiber (audstub) - C:\WINDOWS\system32\DRIVERS\audstub.sys
O41 - Driver: avgio (avgio) - D:\Avira\AntiVir Desktop\avgio.sys
O41 - Driver: avgntflt (avgntflt) - C:\WINDOWS\system32\DRIVERS\avgntflt.sys
O41 - Driver: avipbb (avipbb) - C:\WINDOWS\system32\DRIVERS\avipbb.sys
O41 - Driver: (no object) (dmboot) - C:\WINDOWS\System32\drivers\dmboot.sys
O41 - Driver: Treiber für die Verwaltung logischer Datenträger (dmio) - C:\WINDOWS\System32\drivers\dmio.sys
O41 - Driver: (no object) (dmload) - C:\WINDOWS\System32\drivers\dmload.sys
O41 - Driver: FltMgr (FltMgr) - C:\WINDOWS\system32\DRIVERS\fltMgr.sys
O41 - Driver: Standardpaketklassifizierung (Gpc) - C:\WINDOWS\system32\DRIVERS\msgpc.sys
O41 - Driver: Microsoft HID Class-Treiber (hidusb) - C:\WINDOWS\system32\DRIVERS\hidusb.sys
O41 - Driver: i8042-Tastatur- und PS/2-Mausanschluss-Treiber (i8042prt) - C:\WINDOWS\system32\DRIVERS\i8042prt.sys
O41 - Driver: Intel-Prozessortreiber (intelppm) - C:\WINDOWS\system32\DRIVERS\intelppm.sys
O41 - Driver: IPv6-Windows-Firewalltreiber (Ip6Fw) - C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
O41 - Driver: Filtertreiber für IP-Verkehr (IpFilterDriver) - C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
O41 - Driver: IP/IP-Tunneltreiber (IpInIp) - C:\WINDOWS\system32\DRIVERS\ipinip.sys
O41 - Driver: IPSEC-Treiber (IPSec) - C:\WINDOWS\system32\DRIVERS\ipsec.sys
O41 - Driver: IR-Enumeratordienst (IRENUM) - C:\WINDOWS\system32\DRIVERS\irenum.sys
O41 - Driver: Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller (L1e) - C:\WINDOWS\system32\DRIVERS\l1e51x86.sys
O41 - Driver: Maus-HID-Treiber (mouhid) - C:\WINDOWS\system32\DRIVERS\mouhid.sys
O41 - Driver: Redirector für WebDav-Client (MRxDAV) - C:\WINDOWS\system32\DRIVERS\mrxdav.sys
O41 - Driver: MRXSMB (MRxSmb) - C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
O41 - Driver: Microsoft-Systemverwaltungs-BIOS-Treiber (mssmbios) - C:\WINDOWS\system32\DRIVERS\mssmbios.sys
O41 - Driver: ATK0110 ACPI UTILITY (MTsensor) - C:\WINDOWS\system32\DRIVERS\ASACPI.sys
O41 - Driver: (no object) (mv61xx) - C:\WINDOWS\system32\DRIVERS\mv61xx.sys
O41 - Driver: RAS-NDIS-TAPI-Treiber (NdisTapi) - C:\WINDOWS\system32\DRIVERS\ndistapi.sys
O41 - Driver: NDIS-Benutzermodus-E/A-Protokoll (Ndisuio) - C:\WINDOWS\system32\DRIVERS\ndisuio.sys
O41 - Driver: RAS-NDIS-WAN-Treiber (NdisWan) - C:\WINDOWS\system32\DRIVERS\ndiswan.sys
O41 - Driver: NetBIOS-Schnittstelle (NetBIOS) - C:\WINDOWS\system32\DRIVERS\netbios.sys
O41 - Driver: NetBios über TCP/IP (NetBT) - C:\WINDOWS\system32\DRIVERS\netbt.sys
O41 - Driver: 1394-Netzwerktreiber (NIC1394) - C:\WINDOWS\system32\DRIVERS\nic1394.sys
O41 - Driver: Filtertreiber für IPX-Verkehr (NwlnkFlt) - C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
O41 - Driver: Treiber für IPX-Verkehrsweiterleitung (NwlnkFwd) - C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
O41 - Driver: OHCI-konformer IEEE 1394-Hostcontroller (ohci1394) - C:\WINDOWS\system32\DRIVERS\ohci1394.sys
O41 - Driver: WAN-Miniport (PPTP) (PptpMiniport) - C:\WINDOWS\system32\DRIVERS\raspptp.sys
O41 - Driver: QoS-Paketplaner (PSched) - C:\WINDOWS\system32\DRIVERS\psched.sys
O41 - Driver: Treiber für direkte Parallelverbindung (Ptilink) - C:\WINDOWS\system32\DRIVERS\ptilink.sys
O41 - Driver: Treiber für automatische RAS-Verbindung (RasAcd) - C:\WINDOWS\system32\DRIVERS\rasacd.sys
O41 - Driver: WAN-Miniport (L2TP) (Rasl2tp) - C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
O41 - Driver: Remotezugriff-PPPOE-Treiber (RasPppoe) - C:\WINDOWS\system32\DRIVERS\raspppoe.sys
O41 - Driver: Parallelanschluss (direkt) (Raspti) - C:\WINDOWS\system32\DRIVERS\raspti.sys
O41 - Driver: Rdbss (Rdbss) - C:\WINDOWS\system32\DRIVERS\rdbss.sys
O41 - Driver: Treiber für Terminalserver-Geräteumleitung (rdpdr) - C:\WINDOWS\system32\DRIVERS\rdpdr.sys
O41 - Driver: Filtertreiber für digitale CD-Audiowiedergabe (redbook) - C:\WINDOWS\system32\DRIVERS\redbook.sys
O41 - Driver: Secdrv (Secdrv) - C:\WINDOWS\system32\DRIVERS\secdrv.sys
O41 - Driver: Serenum-Filtertreiber (serenum) - C:\WINDOWS\system32\DRIVERS\serenum.sys
O41 - Driver: Filtertreiber für Systemwiederherstellung (sr) - H:\WINDOWS\system32\DRIVERS\sr.sys
O41 - Driver: Srv (Srv) - C:\WINDOWS\system32\DRIVERS\srv.sys
O41 - Driver: ssmdrv (ssmdrv) - C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
O41 - Driver: Software-Bus-Treiber (swenum) - C:\WINDOWS\system32\DRIVERS\swenum.sys
O41 - Driver: TCP/IP-Protokolltreiber (Tcpip) - C:\WINDOWS\system32\DRIVERS\tcpip.sys
O41 - Driver: Microcode Updatetreiber (Update) - C:\WINDOWS\system32\DRIVERS\update.sys
O41 - Driver: Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller (usbehci) - C:\WINDOWS\system32\DRIVERS\usbehci.sys
O41 - Driver: USB2-aktivierter Hub (usbhub) - C:\WINDOWS\system32\DRIVERS\usbhub.sys
O41 - Driver: Miniporttreiber für universellen Microsoft USB-Hostcontroller (usbuhci) - C:\WINDOWS\system32\DRIVERS\usbuhci.sys
O41 - Driver: RAS-IP-ARP-Treiber (Wanarp) - C:\WINDOWS\system32\DRIVERS\wanarp.sys
O41 - Driver: Filtertreiber für Systemwiederherstellung (sr) - C:\WINDOWS\system32\DRIVERS\sr.sys

---\\ Software installed (O42)
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus
O42 - Logiciel: CCleaner (remove only)
O42 - Logiciel: HijackThis 2.0.2
O42 - Logiciel: Malwarebytes' Anti-Malware
O42 - Logiciel: marvell 61xx
O42 - Logiciel: Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver
O42 - Logiciel: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

---\\ Last modified or created files under System32 (O44)
O44 - LFC:Last File Created - H:\WINDOWS\System32\$winnt$.inf -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\amcompat.tlb -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\cdplayer.exe.manifest -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\CONFIG.NT -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\emptyregdb.dat -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\FNTCACHE.DAT -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\h323log.txt -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\logonui.exe.manifest -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\ncpa.cpl.manifest -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\nscompat.tlb -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\nwc.cpl.manifest -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\perfc007.dat -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\perfc009.dat -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\perfh007.dat -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\perfh009.dat -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\PerfStringBackup.INI -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\sapi.cpl.manifest -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\WindowsLogon.manifest -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\wpa.dbl -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\wuaucpl.cpl.manifest -->11.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\drivers\avgntdd.sys -->13.02.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\drivers\avgntflt.sys -->13.02.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\drivers\avgntmgr.sys -->13.02.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\drivers\avipbb.sys -->13.02.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\drivers\mbam.sys -->06.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\drivers\mbamswissarmy.sys -->06.04.2009
O44 - LFC:Last File Created - H:\WINDOWS\System32\drivers\ssmdrv.sys -->13.02.2009
__________________
Alt 11.04.2009, 22:20   #4
Zor4k
 
Dropper und Zeugs - Standard

Dropper und Zeugs


2. TEIL

Code:
ATTFilter
---\\ Last files created in Windows Prefetcher (O45)
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\3L9CXDHO.EXE-2FA8F191.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ALG.EXE-275708CF.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ASACPIINS.EXE-056018CF.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ASSETUP.EXE-26058E6C.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ASUSSETUP.EXE-0189D2E3.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ASUSSETUP.EXE-06516BFA.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ASUSSETUP.EXE-33D331DD.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ASUSSETUP.EXE-362526CB.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\AVCENTER.EXE-1999968E.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\AVCONFIG.EXE-1DCCEE9B.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\AVGNT.EXE-0944B3BE.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\AVGUARD.EXE-05845C50.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\AVIRA_ANTIVIR_PERSONAL_DE.EXE-1FF945EB.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\AVNOTIFY.EXE-04EFE6C6.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\AVSCAN.EXE-13327F32.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\AVWSC.EXE-194F355F.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\CCLEANER.EXE-254C2462.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\CCSETUP218_SLIM.EXE-14EC3D12.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\CMD.EXE-034B0549.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\CSRSS.EXE-22452D1B.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\CTFMON.EXE-05E57A5E.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\DEVCON.EXE-30DB5FB2.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\DRIUPDATE32.EXE-15B1E63E.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\DRVSETUP.EXE-03E8E803.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\EXPLORER.EXE-02121B1A.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\FACT.EXE-27D3DA9C.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\FIND.EXE-0EEAD1A7.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\GRPCONV.EXE-375690AD.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\GUARDGUI.EXE-01EA515B.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\HIJACKTHIS.EXE-16268606.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\HJTINSTALL.EXE-1CF0B971.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ICWCONN1.EXE-0A37572E.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\IE4UINIT.EXE-046D13C9.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\IEXPLORE.EXE-360BBB5C.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\INSTALL.EXE-1F2E7A75.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\INSTALL.EXE-34458AFC.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\LOGONUI.EXE-312BE1BF.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\LSASS.EXE-306A65C3.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\MBAM-SETUP.EXE-100F229B.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\MBAM-SETUP.TMP-03212A1C.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\MBAM.EXE-03F3A302.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\MBAMGUI.EXE-08D4B906.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\MSIEXEC.EXE-330626DC.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\MSOOBE.EXE-1FBADF6C.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\NOTEPAD.EXE-2F2D61E1.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\PRESETUP.EXE-2E44783E.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-3D584F19.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-4D07947F.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-4FF9832D.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-550F1FF5.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-5A5223F2.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-5B804CB9.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-5BF458BB.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-611F454D.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-62BD0573.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-63828FEE.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-63EBBAD1.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-6E3FD9E1.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-6E8D4657.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-6EA49777.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNDLL32.EXE-6F8A2C6B.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\RUNONCE.EXE-01CA3A2F.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SCHED.EXE-27DEB866.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SELECT.EXE-2CEAFCF2.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SERVICES.EXE-3019B50A.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SET8.TMP-085B36E0.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SETUP.EXE-001A9510.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SETUP.EXE-0BC63F6A.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SETUP.EXE-2C295519.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SETUP50.EXE-0177D3B8.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SHMGRATE.EXE-2DD3E4D8.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SORT.EXE-19728AC5.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SPOOLSV.EXE-3A613CE3.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\SVCHOST.EXE-2D5FBD18.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\UNREGMP2.EXE-0CFB0619.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\UPDATE.EXE-050BCDCA.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\VCREDIST_X86.EXE-1458EB88.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\WMIADAP.EXE-32F99497.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\WMIPRVSE.EXE-0D449B4F.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\WSCNTFY.EXE-0B14C27D.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\WUAUCLT.EXE-1360D60A.pf -->11.04.2009
O45 - LFCP:Last File Created Prefetch - H:\WINDOWS\Prefetch\ZHPDIAG.EXE-27E9E9D7.pf -->11.04.2009

---\\ Operations and functions at Windows Explorer startup (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll

---\\ Export authorized application key (O47)
O47 - AAKE:Key Export - "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
O47 - AAKE:Key Export - "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

---\\ Local Security Authority-LSA Deny (O48)
O48 - LSA:Local Security Authority Authentication Packages - H:\WINDOWS\System32\msv1_0.dll
O48 - LSA:Local Security Authority Notification Packages - H:\WINDOWS\System32\scecli.dll

---\\ Safe Boot Control (O49)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\ip6fw.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\ipnat.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\rdpcdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\rdpdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\rdpwd.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\tdpipe.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\tdtcp.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\ip6fw.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\ipnat.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\rdpcdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\rdpdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\rdpwd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\tdpipe.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\tdtcp.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Minimal\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Minimal\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Minimal\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Minimal\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Minimal\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Minimal\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Minimal\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\ip6fw.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\ipnat.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\rdpcdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\rdpdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\rdpwd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\tdpipe.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\tdtcp.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CS2\Network\vgasave.sys

---\\ Image File Execution Options (IFEO) (O50)
O50 - IEFO:Image File Execution Options - Your Image File Name Here without a path - ntsd -d


End of the scan:

Alt 11.04.2009, 22:24   #5
john.doe
 
Dropper und Zeugs - Standard

Dropper und Zeugs


Poste bitte den Bericht von Antivir mit den Funden.

ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.04.2009, 22:47   #6
Zor4k
 
Dropper und Zeugs - Standard

Dropper und Zeugs


Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 11. April 2009  23:34

Es wird nach 1347111 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : FIREGLOW

Versionsinformationen:
BUILD.DAT      : 9.0.0.387     17962 Bytes  24.03.2009 11:03:00
AVSCAN.EXE     : 9.0.3.3      464641 Bytes  24.02.2009 10:13:22
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 10:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 08:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 10:30:36
ANTIVIR1.VDF   : 7.1.2.12    3336192 Bytes  11.02.2009 18:33:26
ANTIVIR2.VDF   : 7.1.3.0     1330176 Bytes  01.04.2009 19:47:49
ANTIVIR3.VDF   : 7.1.3.42     169984 Bytes  11.04.2009 19:47:49
Engineversion  : 8.2.0.138
AEVDF.DLL      : 8.1.1.0      106868 Bytes  27.01.2009 15:36:42
AESCRIPT.DLL   : 8.1.1.73     373114 Bytes  11.04.2009 19:47:50
AESCN.DLL      : 8.1.1.10     127348 Bytes  11.04.2009 19:47:50
AERDL.DLL      : 8.1.1.3      438645 Bytes  29.10.2008 16:24:41
AEPACK.DLL     : 8.1.3.12     397687 Bytes  11.04.2009 19:47:50
AEOFFICE.DLL   : 8.1.0.36     196987 Bytes  26.02.2009 18:01:56
AEHEUR.DLL     : 8.1.0.114   1700214 Bytes  11.04.2009 19:47:50
AEHELP.DLL     : 8.1.2.2      119158 Bytes  26.02.2009 18:01:56
AEGEN.DLL      : 8.1.1.33     340340 Bytes  11.04.2009 19:47:49
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 12:32:40
AECORE.DLL     : 8.1.6.7      176502 Bytes  11.04.2009 19:47:49
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 12:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 09:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 12:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL     : 9.0.0.1      292609 Bytes  09.02.2009 05:52:20
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.21    2438401 Bytes  09.02.2009 09:41:16
RCTEXT.DLL     : 9.0.35.0      87809 Bytes  11.03.2009 13:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: d:\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, H:, I:, J:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 11. April 2009  23:34

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '18240' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZHPDiag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBCopy2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '22' Prozesse mit '22' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Datenträger 1>
C:\RECYCLER\S-1-5-21-436374069-1972579041-725345543-1003\Df42.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP1\A0000015.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
C:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000021.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
Beginne mit der Suche in 'D:\' <Programme>
D:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP1\A0000016.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
D:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000022.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
D:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000027.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'E:\' <Datenträger 3>
E:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP1\A0000017.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
E:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000023.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
E:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000028.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'F:\' <Datenträger 2>
F:\autorun.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
F:\eDonkey-Downloads\Drowning_Pool-Full_Circle-(Promo)-2007-FNT.rar
    [WARNUNG]   Eine Exception wurde abgefangen!
    [WARNUNG]   Im Modul aecore.dll ist eine Exception aufgetreten.
Aufruf der Funktion AVEPROC_TestFile in file: \\?\F:\eDonkey-Downloads\Drowning_Pool-Full_Circle-(Promo)-2007-FNT.rar
Fehlerbeschreibung:ACCESS_VIOLATION
  EAX = 06127038  EBX = 0126CD88
  ECX = 06127014  EDX = 000001A8
  ESI = 05B417FC  EDI = 0126cd84 
  EIP = 013B1643  EBP = 062B007C
  ESP = 018DF274  Flg = 00010283
  CS = 00000023   SS = 0000001B
Beginne mit der Suche in 'H:\'
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.

Beginne mit der Desinfektion:
C:\RECYCLER\S-1-5-21-436374069-1972579041-725345543-1003\Df42.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a150fa9.qua' verschoben!
C:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP1\A0000015.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a110f73.qua' verschoben!
C:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000021.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b66ba74.qua' verschoben!
D:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP1\A0000016.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b69b3bc.qua' verschoben!
D:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000022.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b68cbe4.qua' verschoben!
D:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000027.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6ae304.qua' verschoben!
E:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP1\A0000017.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6dfb4c.qua' verschoben!
E:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000023.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6cf374.qua' verschoben!
E:\System Volume Information\_restore{A9E9AD85-8C0B-4C71-8328-13E2DA735C4E}\RP2\A0000028.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6e0cbc.qua' verschoben!
F:\autorun.inf
    [FUND]      Enthält Erkennungsmuster des INF-Virus INF/AutoRun.2346
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a550fb8.qua' verschoben!


Ende des Suchlaufs: Samstag, 11. April 2009  23:44
Benötigte Zeit: 08:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   3431 Verzeichnisse wurden überprüft
  30651 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
  30641 Dateien ohne Befall
    104 Archive wurden durchsucht
      1 Warnungen
     10 Hinweise
  18240 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Alt 11.04.2009, 23:05   #7
john.doe
 
Dropper und Zeugs - Standard

Dropper und Zeugs


Schau mal hier vorbei: http://www.trojaner-board.de/427703-post2.html

Kommt dir da etwas bekannt vor?
Zitat:
F:\eDonkey-Downloads\Drowning_Pool-Full_Circle-(Promo)-2007-FNT.rar
Wer dort etwas runterlädt, kann nahezu sicher sein, dass er danach Schädlinge hat.

Ansonsten:
Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, Kamera, Handy, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.04.2009, 23:38   #8
Zor4k
 
Dropper und Zeugs - Standard

Dropper und Zeugs


Sooo. Die Kombination aus CCleaner und Combifix hats gerissen. Scan findet nix mehr, Festplatte is auch wieder anwählbar. Danke Leute

Gruß

Zor4k

Alt 11.04.2009, 23:42   #9
Kaos
 
Dropper und Zeugs - Standard

Dropper und Zeugs


*Kurz reinspring*

Damit ist noch nicht alles getan. Bitte unbedingt die Logfile von Combofix reinstellen.

Alles weitere macht dann john.doe

*rausspring*

Alt 12.04.2009, 21:12   #10
Zor4k
 
Dropper und Zeugs - Standard

Dropper und Zeugs


Entschuldigt, das habe ich wohl verschwitzt. Naja, hauptsache der Lösungsweg ist bekannt. Kollege hat das Problem nun auch und der wirds dann wohl vollständig posten Aber nochmals Danke!

Alt 12.04.2009, 21:16   #11
john.doe
 
Dropper und Zeugs - Standard

Dropper und Zeugs


Das Log findest du unter c:\combofix.txt. Poste es bitte, es kann sein, das da noch mehr ist.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Dropper und Zeugs
anderen, antivir, dropper, escan, fehlermeldung, format, formatieren, forum, hallo zusammen, helft, hijack, musik, nicht gefunden, nichts, plagegeister, platte, problem, rechner, report, rootkit, schlägt, schnell, tr/dropper.gen, verschwunden, viren, warum


« Fund des Trojaners TR/Trash.Gen und TR/Drop.Softomat.AN | Trojaner in System32/sysamvdz.dll »


Ähnliche Themen: Dropper und Zeugs


  1. Windows Vista: Adware und anderes Zeugs
    Plagegeister aller Art und deren Bekämpfung - 12.12.2014 (37)
  2. (mehrere) Trojanermeldung(en) AVG (Win8.1) : "Trojaner: Dropper.Generic2.ANGG.dropper"
    Log-Analyse und Auswertung - 11.07.2014 (3)
  3. Exploit.Drop.UR.2 - Hartnäckig das Zeugs, muss bis Morgen Abend meine Hausarbeit schreiben...
    Log-Analyse und Auswertung - 03.10.2012 (1)
  4. Trojan.BHO und anderes lustiges Zeugs
    Log-Analyse und Auswertung - 15.12.2011 (13)
  5. Windows XP Recovery -Zeugs
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (33)
  6. Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (9)
  7. TR/Dropper.GEN
    Plagegeister aller Art und deren Bekämpfung - 22.03.2010 (11)
  8. TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 18.03.2010 (8)
  9. TR/Crypt.XPACK.Gen und anderes Zeugs - hab HJT-Log und brauche Hilfe
    Log-Analyse und Auswertung - 29.03.2009 (1)
  10. Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.02.2009 (9)
  11. TR/dropper.gen
    Plagegeister aller Art und deren Bekämpfung - 06.02.2009 (1)
  12. TR/Dropper.Gen u.a.
    Log-Analyse und Auswertung - 05.02.2009 (4)
  13. Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs
    Plagegeister aller Art und deren Bekämpfung - 13.07.2008 (13)
  14. TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.05.2008 (21)
  15. TR Dropper Gen.
    Log-Analyse und Auswertung - 14.05.2008 (1)
  16. TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2008 (3)
  17. ich binz ma wieder hier =( mit so nem Trojaner zeugs aufn pc =(
    Plagegeister aller Art und deren Bekämpfung - 02.06.2005 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Dropper und Zeugs - Hallo zusammen! Ich lese das Forum seit geraumer Zeit und konnte bislang den Plagegeistern selbst zur Leibe rücken, doch jetzt hab ich ein dickes Problem, dem ich nicht so ganz - Dropper und Zeugs...
Archiv
Du betrachtest: Dropper und Zeugs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129