Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.04.2012, 19:36   #1
hurse
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Hallo zusammen,

bei einem heutigen Virensuchlauf fand Antivir den Trojaner TR/Dropper.Gen7 in der Datei C:\skhfushjfls\config.bin und den Trojaner TR/EyeStye.C.cfg.160 in der Datei C:\Program Files\Electronic Arts\Die Sims 3\Game\Bin\Sims3Launcher.exe. Antivir hat diese Dateien beim Suchlauf automatisch gelöscht.
Natürlich bin ich jetzt etwas verunsichert und habe die Anweisungen vor dem Erstellen eines Themas befolgt.
Es würde mich sehr freuen, wenn sich jemand aus eurem Team mal meine Logfiles anschauen könnte.

DDS.txt:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 7.0.6002.18005
Run by Christian neu at 19:18:51 on 2012-04-05
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2046.1263 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Hotspot Shield\bin\openvpnas.exe
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
C:\Program Files\Hotspot Shield\bin\hsswd.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
BHO: Hotspot Shield Class: {f9e4a054-e9b1-4bc3-83a3-76a1ae736170} - c:\program files\hotspot shield\hssie\HssIE.dll
uRun: [ICQ] "c:\program files\icq7.6\ICQ.exe" silent loginmode=4
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: {7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\icq7.6\ICQ.exe
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 83.169.185.161 83.169.185.225
TCP: Interfaces\{34C2C585-C207-4700-8EDF-4EE6911ACD89} : DhcpNameServer = 83.169.185.161 83.169.185.225
mASetup: {A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2} - c:\program files\pixiepack codec pack\InstallerHelper.exe
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\christian neu\appdata\roaming\mozilla\firefox\profiles\fzjqmk6s.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (en)
FF - prefs.js: browser.startup.homepage - hxxp://de.wikipedia.org/wiki/Wikipedia:Hauptseite
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\microsoft silverlight\5.0.61118.0\npctrlui.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dv.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dvstreaming.dll
FF - plugin: c:\program files\veetle\player\npvlc.dll
FF - plugin: c:\program files\veetle\plugins\npVeetle.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-12-6 36000]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-12-6 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-12-6 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-12-6 74640]
R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2011-3-31 21504]
R2 hshld;Hotspot Shield Service;c:\program files\hotspot shield\bin\openvpnas.exe [2012-1-6 331608]
R2 HssWd;Hotspot Shield Monitoring Service;c:\program files\hotspot shield\bin\hsswd.exe -product hss --> c:\program files\hotspot shield\bin\hsswd.exe -product HSS [?]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2011-10-15 381248]
R3 RRNetCapMP;RRNetCapMP;c:\windows\system32\drivers\rrnetcap.sys [2010-11-16 31848]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-4-4 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-4-4 136176]
S3 RRNetCap;RRNetCap Service;c:\windows\system32\drivers\rrnetcap.sys [2010-11-16 31848]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-03-27 13:10:28 -------- d-----r- c:\users\christian neu\Dropbox
2012-03-27 13:07:29 -------- d-----w- c:\users\christian neu\appdata\roaming\Dropbox
2012-03-19 02:26:43 592824 ----a-w- c:\program files\mozilla firefox\gkmedias.dll
2012-03-19 02:26:43 44472 ----a-w- c:\program files\mozilla firefox\mozglue.dll
2012-03-14 17:05:58 2044416 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 17:05:55 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-03-14 17:05:55 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-03-14 17:05:55 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-03-14 17:05:55 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-03-14 17:05:55 1068544 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 17:05:54 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat
2012-03-14 11:31:03 613376 ----a-w- c:\windows\system32\rdpencom.dll
2012-03-14 11:31:03 180736 ----a-w- c:\windows\system32\drivers\rdpwd.sys
.
==================== Find3M ====================
.
2012-02-20 12:57:34 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-19 21:30:57 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
.
============= FINISH: 19:19:50,35 ===============

Alt 06.04.2012, 16:21   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 06.04.2012, 20:55   #3
hurse
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Eine Sache vorweg:

Aus dem Pfad "C:\Windows.old.000\Users\Christian\Documents\ICQ\399774680\ReceivedFiles\492920911 johannes\Sony.Vegas.Pro.8.0b.Build.217\keygen.exe" im Malwarebytes-Log geht ziemlich eindeutig hervor, dass ich ein illegal kopiertes Programm auf meinem Rechner habe. Nach den Regeln hier im Forum bedeutet das, soweit ich das verstanden habe, dass der Support für mich eingestellt wird.
Ich vermute, dass betteln nicht helfen wird, aber ich versuche es dennoch: Ich habe tatsächlich circa eine handvoll illegal kopierte Programme auf meinem Rechner. Am Dateipfad ist aber schon zu erkennen, dass das Profil nicht mein aktuelles ist. Seit geraumer Zeit (über 1 Jahr, schätze ich) lasse ich grundsätzlich die Finger von illegalen Kopien. Ich weiß nicht, was "Backdoor.Sdbot" genau für eine Gefahr darstellt, aber dass Malwarebytes in den illegalen Dateinen überhaupt Malware entdeckt, bestätigt mich schon in meinem heutigen Misstrauen.
Also, falls ihr den Support einstellt, muss ich mir wohl woanders Hilfe suchen, aber auf jeden Fall danke ich für die Betreuung bis zu diesem Zeitpunkt :)

Hier der Malwarebytes-Log:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.06.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Christian neu :: BETTY [Administrator]

06.04.2012 17:37:33
mbam-log-2012-04-06 (17-37-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 403970
Laufzeit: 1 Stunde(n), 46 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\skhfushjfls (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Windows.old.000\Users\Christian\Documents\ICQ\399774680\ReceivedFiles\492920911 johannes\Sony.Vegas.Pro.8.0b.Build.217\keygen.exe (Backdoor.Sdbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
und der ESET-Log:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d8d19b60d6f9244c927f52eb5c015493
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-06 07:37:53
# local_time=2012-04-06 09:37:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 10615130 10615130 0 0
# compatibility_mode=5892 16776638 100 95 32136191 171266750 0 0
# compatibility_mode=8192 67108863 100 0 163 163 0 0
# scanned=308993
# found=3
# cleaned=0
# scan_time=7051
C:\Program Files\KONAMI\Pro Evolution Soccer 2012\rld.dll	a variant of Win32/Packed.VMProtect.AAH trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Program Files\Everest Poker\cstart-tmp.exe	a variant of Win32/Casino application (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Program Files\Everest Poker\Everest Poker.exe	a variant of Win32/Casino application (unable to clean)	00000000000000000000000000000000	I
         
Edit:

Ich habe gerade einen Antivir-Suchlauf auf meiner externen Festplatte (D:) durchgeführt. Dabei wurden in der Datei "D:\Musik\Radiohead - Airbag_2.mp3" Erkennungsmuster des Droppers DR/FakePic.Gen erkannt. Die Datei wurde gelöscht.

Die Log-File:

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 6. April 2012  21:57

Es wird nach 3597466 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : Christian neu
Computername   : BETTY

Versionsinformationen:
BUILD.DAT      : 12.0.0.898     41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE     : 12.1.0.20     492496 Bytes  21.02.2012 23:24:16
AVSCAN.DLL     : 12.1.0.18      65744 Bytes  21.02.2012 23:24:16
LUKE.DLL       : 12.1.0.19      68304 Bytes  21.02.2012 23:24:16
AVSCPLR.DLL    : 12.1.0.22     100048 Bytes  21.02.2012 23:24:16
AVREG.DLL      : 12.1.0.36     229128 Bytes  05.04.2012 17:34:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:15:06
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 10:40:05
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 12:34:43
VBASE005.VDF   : 7.11.26.45      2048 Bytes  28.03.2012 12:34:43
VBASE006.VDF   : 7.11.26.46      2048 Bytes  28.03.2012 12:34:43
VBASE007.VDF   : 7.11.26.47      2048 Bytes  28.03.2012 12:34:43
VBASE008.VDF   : 7.11.26.48      2048 Bytes  28.03.2012 12:34:43
VBASE009.VDF   : 7.11.26.49      2048 Bytes  28.03.2012 12:34:43
VBASE010.VDF   : 7.11.26.50      2048 Bytes  28.03.2012 12:34:43
VBASE011.VDF   : 7.11.26.51      2048 Bytes  28.03.2012 12:34:43
VBASE012.VDF   : 7.11.26.52      2048 Bytes  28.03.2012 12:34:44
VBASE013.VDF   : 7.11.26.53      2048 Bytes  28.03.2012 12:34:44
VBASE014.VDF   : 7.11.26.107   221696 Bytes  30.03.2012 17:34:47
VBASE015.VDF   : 7.11.26.179   224768 Bytes  02.04.2012 17:34:19
VBASE016.VDF   : 7.11.26.241   142336 Bytes  04.04.2012 17:37:45
VBASE017.VDF   : 7.11.26.242     2048 Bytes  04.04.2012 17:37:45
VBASE018.VDF   : 7.11.26.243     2048 Bytes  04.04.2012 17:37:45
VBASE019.VDF   : 7.11.26.244     2048 Bytes  04.04.2012 17:37:45
VBASE020.VDF   : 7.11.26.245     2048 Bytes  04.04.2012 17:37:46
VBASE021.VDF   : 7.11.26.246     2048 Bytes  04.04.2012 17:37:46
VBASE022.VDF   : 7.11.26.247     2048 Bytes  04.04.2012 17:37:46
VBASE023.VDF   : 7.11.26.248     2048 Bytes  04.04.2012 17:37:46
VBASE024.VDF   : 7.11.26.249     2048 Bytes  04.04.2012 17:37:46
VBASE025.VDF   : 7.11.26.250     2048 Bytes  04.04.2012 17:37:46
VBASE026.VDF   : 7.11.26.251     2048 Bytes  04.04.2012 17:37:46
VBASE027.VDF   : 7.11.26.252     2048 Bytes  04.04.2012 17:37:46
VBASE028.VDF   : 7.11.26.253     2048 Bytes  04.04.2012 17:37:46
VBASE029.VDF   : 7.11.26.254     2048 Bytes  04.04.2012 17:37:46
VBASE030.VDF   : 7.11.26.255     2048 Bytes  04.04.2012 17:37:46
VBASE031.VDF   : 7.11.27.38    201216 Bytes  06.04.2012 17:34:14
Engineversion  : 8.2.10.38 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  05.12.2011 22:03:43
AESCRIPT.DLL   : 8.1.4.16      446842 Bytes  04.04.2012 17:37:50
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.01.2012 23:23:39
AESBX.DLL      : 8.2.5.5       606579 Bytes  13.03.2012 13:42:26
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL     : 8.2.16.9      807287 Bytes  31.03.2012 17:34:52
AEOFFICE.DLL   : 8.1.2.27      201082 Bytes  04.04.2012 17:37:50
AEHEUR.DLL     : 8.1.4.12     4604278 Bytes  04.04.2012 17:37:50
AEHELP.DLL     : 8.1.19.1      254327 Bytes  02.04.2012 17:34:27
AEGEN.DLL      : 8.1.5.23      409973 Bytes  08.03.2012 12:17:34
AEEXP.DLL      : 8.1.0.28       82292 Bytes  04.04.2012 17:37:50
AEEMU.DLL      : 8.1.3.0       393589 Bytes  01.09.2011 22:46:01
AECORE.DLL     : 8.1.25.6      201078 Bytes  16.03.2012 15:13:50
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  19.10.2011 15:55:51
AVPREF.DLL     : 12.1.0.17      51920 Bytes  19.10.2011 15:55:48
AVREP.DLL      : 12.1.0.17     179408 Bytes  19.10.2011 15:55:49
AVARKT.DLL     : 12.1.0.23     209360 Bytes  21.02.2012 23:24:16
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  19.10.2011 15:55:47
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  19.10.2011 15:56:03
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  19.10.2011 15:55:50
NETNT.DLL      : 12.1.0.17      17104 Bytes  19.10.2011 15:55:59
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  19.10.2011 15:56:14
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\CHRIST~1\AppData\Local\Temp\70373816.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: D:, 
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 6. April 2012  21:57

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\' <MyDrive>
D:\Musik\Radiohead - Airbag_2.mp3
  [FUND]      Enthält Erkennungsmuster des Droppers DR/FakePic.Gen
  [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Freitag, 6. April 2012  22:04
Benötigte Zeit: 06:30 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

    118 Verzeichnisse wurden überprüft
  10481 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
  10480 Dateien ohne Befall
      6 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         
__________________

Geändert von hurse (06.04.2012 um 21:07 Uhr) Grund: Nachtrag

Alt 06.04.2012, 21:06   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Zitat:
Am Dateipfad ist aber schon zu erkennen, dass das Profil nicht mein aktuelles ist.
Nur leider hast du das damals durch Keygens/Cracks versiffte Windows nicht plattgemacht, sonst wäre der Windows.old Ordner auch nicht mehr vorhanden. Du hättest formatieren müssen

Ich hätte eh eine Neuinstallation empfohlen und zwar weil sich der Befall mit SpyEyes (auch bekannt als EyeStye) bestätigt:

Zitat:
C:\skhfushjfls (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Folge bitte dem Artikel zur Neuinstallation von Windows. Wenn du Hilfe dabei brauchst helfe ich gern weiter, auch bzgl. Datensicherung über eine sichere Umgebung:

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.04.2012, 21:26   #5
hurse
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Nun habe ich zur Datensicherung aber nur die externe Festplatte zur Verfügung, die, siehe Nachtrag im vorherigen Post, auch befallen zu sein scheint. Wie mache ich die wieder fit?

Die Konstellation könnte unglücklicher kaum sein. Einige persönliche Dateien sind nur auf der externen Platte, einige nur auf der lokalen Festplatte.

Und überhaupt: Wie kann ich sichergehen, dass bei der Datenrettung nicht doch etwas rüberflutscht? Ich habe nur .mp3- und .jpg-Dateien und ein paar Videos sowie ein paar .flp-Dateien auf die externe Festplatte kopiert. Sie war ja dafür da, um persönliche Datein sicher zu lagern. Trotzdem ist sie jetzt infiziert.

Ist eine Reinigung ausgeschlossen? Am PC meiner Mutter habe ich einmal eine Reinigung, auch nach Anleitung durch das Trojanerboard, ausgeführt. Es hat zwar lange gedauert, aber das wäre es mir wert. Und falls es doch eine Formatierung sein muss: Wie sieht es mit Spiel-Savegames aus? Kann ich die problemlos sichern?

Ich weiß, dieser Beitrag ist etwas unstrukturiert und umständlich formuliert. Entschuldigung, ich bin gerade etwas aufgebracht


Alt 06.04.2012, 21:47   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Deswegen sicherst du ja über das Live-System

Zitat:
Und überhaupt: Wie kann ich sichergehen, dass bei der Datenrettung nicht doch etwas rüberflutscht?
Sagmal wozu hab ich denn oben soviel getextet
Einfach mal lesen, da sind sogar einige Passagen fett und rot markiert

Es gibt KEINE infizierte Festplatte! Wenn überhaupt kann eine Festplatte infizierte Daten enthalten!
Lösch am besten alle ausführbaren Dateien von der Platte. Und falls vorhanden die autorun.inf (sollte direkt auf der Platte sein)

Zitat:
Ist eine Reinigung ausgeschlossen?
Ja, es kommen gleich zwei Faktoren

1.) Keygens/Cracks
2.) SpyEyes

Allein eins von den beiden ist schon das KO-Kriterium für eine Neuinstallation
__________________
--> Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160

Alt 11.04.2012, 13:02   #7
hurse
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Heute wollte ich mich eigentlich der Dateiensicherung widmen.

Nach dem Hochfahren des Rechners hängte das Betriebssystem aber, sodass ich den PC neustartete. Dann aber führte das System eine "Überprüfung des Datenträgers" in weißen Buchstaben auf schwarzem Grund durch. Dabei reparierte und verschob es anscheinend einige Dateien.

Hat das irgendeine Auswirkung auf meine weitere Vorgehensweise?

Alt 11.04.2012, 14:20   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Wieso? Du startest doch von der Live-CD, du sollst ja nicht mehr Windows booten um von da aus zu sichern
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.04.2012, 14:43   #9
hurse
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Ok.

Und nun noch eine (hoffentlich) allerletzte Frage:

Wenn ich dich richtig verstehe, soll ich allle ausführbaren Dateien von der externen Festplatte löschen, um sie zu säubern.

Antivir aber meldete ja, dass eine .mp3-Datei befallen gewesen sei.

Wie passt das zusammen?

Alt 11.04.2012, 15:22   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Du meinst das?

Zitat:
Beginne mit der Suche in 'D:\' <MyDrive>
D:\Musik\Radiohead - Airbag_2.mp3
[FUND] Enthält Erkennungsmuster des Droppers DR/FakePic.Gen
[HINWEIS] Die Datei wurde gelöscht.
Das sieht eher nach einem Fehlalarm aus
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.04.2012, 13:38   #11
hurse
 
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Standard

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160



Formatierung und Windows-Neuinstallation wurden erfolgreich abgeschlossen.

Ich danke vielmals für alle erfolgten Hilfestellungen

Von meiner Seite wäre das Thema damit erledigt

Antwort

Themen zu Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160
acrobat update, adobe, antivir, avg, avira, dateien, defender, desktop, explorer, firefox, fontcache, google, google earth, helper, home, hotspot, hotspot shield, icq, logfiles, mozilla, neu, nvidia, pdf, scan, svchost.exe, system, tr/dropper.gen, tr/dropper.gen7, trojaner, windows, wmp



Ähnliche Themen: Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160


  1. Win8.1 hat 4 Viren:GenericPOP.x , TR/Dropper.MSIL.Gen,ADWARE.Gen7 und Artemis..
    Log-Analyse und Auswertung - 26.06.2015 (13)
  2. Windows 8.1: Avira meldet TR/Crypt.XPACK.Gen7
    Log-Analyse und Auswertung - 04.06.2014 (9)
  3. Antivir meldet TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 03.05.2014 (15)
  4. Windows 7: Speicherverbrauch von Firefox deutlich erhöht und Avira hat 'TR/Dropper.Gen7' gefunden
    Log-Analyse und Auswertung - 27.04.2014 (9)
  5. Trojaner seit gestern TR/Dropper.Gen + ADWARE/INstallCore.Gen7 wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2013 (10)
  6. Avira meldet Trojanisches Pferd TR/Trash.Gen7
    Log-Analyse und Auswertung - 19.09.2012 (24)
  7. TR/ATRAPS.Gen und TR/Dropper.Gen7 gefunden - Win7
    Plagegeister aller Art und deren Bekämpfung - 14.05.2012 (25)
  8. TR/Dropper.gen7 wie entfernen?
    Log-Analyse und Auswertung - 08.04.2012 (11)
  9. Windows XP - diverse Antivir Funde u.a. TR/EyeStye.N.490, TR/Hiloti.D.3194, TR/Dldr.Karagany.A.92
    Log-Analyse und Auswertung - 24.08.2011 (1)
  10. EyeStye.H103 und EyeStye.H104 sowie OpenConnect.AI von antivir gemeldet
    Plagegeister aller Art und deren Bekämpfung - 01.03.2011 (19)
  11. AntiVir meldet TR/Dropper-Infektion; Anti-malware kann nicht zuende scannen...
    Plagegeister aller Art und deren Bekämpfung - 17.02.2010 (5)
  12. Antivir meldet infected web.page.gen. Trojan.Dropper/Gen-X32?
    Plagegeister aller Art und deren Bekämpfung - 08.02.2010 (1)
  13. Antivir meldet TR/Dropper.Gen in C:\WINDOWS\system32\ACF7EF\74BE16.EXE
    Plagegeister aller Art und deren Bekämpfung - 16.01.2010 (3)
  14. AntiVir meldet Dropper.Gen - wie schlimm ist es?
    Plagegeister aller Art und deren Bekämpfung - 12.04.2009 (6)
  15. Antivir meldet dropper.gen
    Log-Analyse und Auswertung - 11.04.2009 (5)
  16. Antivir meldet TR/Dropper.Gen
    Log-Analyse und Auswertung - 06.04.2009 (33)
  17. Antivir meldet TR/Dropper.Gen!!!!
    Plagegeister aller Art und deren Bekämpfung - 12.09.2008 (8)

Zum Thema Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 - Hallo zusammen, bei einem heutigen Virensuchlauf fand Antivir den Trojaner TR/Dropper.Gen7 in der Datei C:\skhfushjfls\config.bin und den Trojaner TR/EyeStye.C.cfg.160 in der Datei C:\Program Files\Electronic Arts\Die Sims 3\Game\Bin\Sims3Launcher.exe. Antivir hat diese - Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160...
Archiv
Du betrachtest: Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.