Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.05.2012, 10:56   #1
Ohneahnung
 
Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX - Standard

Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX



Hallo,

bin hier neu und hatte folgendes Problem:
Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX

Habe diese Datei Manuell in Quarantäne gesteckt. Konnte mit der Meldung von AntiVir zuerst wenig anfangen und hatte mir die Details anzeigen lassen. Der zugriff wurde durch AntiVir verweigert.
Habe danach mit Antivir eine vollständige Systemprüfung veranlasst u. 1 Versteckte Datei gefunden. Alles andere war demnach io

Hier meine Log-Datei dazu

03.05.2012,08:21:28 ---------------------------------------------------------
03.05.2012,08:21:47 AntiVir Guard Version: 10.00.01.59, Engine Version 8.2.10.58, VDF Version: 7.11.28.226
03.05.2012,08:21:47 Online-Dienste stehen zur Verfügung.
03.05.2012,08:21:48 AntiVir Guard wurde aktiviert.
03.05.2012,08:21:48 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
03.05.2012,08:21:48 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APK .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DEX .DLL .DLO .DO* .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT* .PPAM .PPS* .PPT* .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SLD? .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK
.XAR .XL* .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
03.05.2012,09:08:47 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
03.05.2012,21:43:22 ---------------------------------------------------------
03.05.2012,21:43:42 AntiVir Guard Version: 10.00.01.59, Engine Version 8.2.10.58, VDF Version: 7.11.28.226
03.05.2012,21:43:42 Online-Dienste stehen zur Verfügung.
03.05.2012,21:43:44 AntiVir Guard wurde aktiviert.
03.05.2012,21:43:44 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
03.05.2012,21:43:44 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APK .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DEX .DLL .DLO .DO* .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT* .PPAM .PPS* .PPT* .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SLD? .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK
.XAR .XL* .XML .XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
03.05.2012,21:49:04 Update-Auftrag gestartet!
03.05.2012,21:49:04 [FUND] Ist das Trojanische Pferd TR/Dropper.Gen!
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
[USER] XXX\XXX
[INFO] Der Zugriff auf die Datei wurde verweigert!
03.05.2012,21:49:41 Aktuelle Engine Version: 8.2.10.58
03.05.2012,21:49:41 Aktuelle Version der VDF-Datei: 7.11.29.42


Habe danach mir das Programm Malwarebytes Anti-Malware gezogen und einen Vollständigen Suchlauf gestartet. Hier das Ergebnis der Log-datei:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.05.03

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
XXX :: XXX [Administrator]

05.05.2012 08:48:19
mbam-log-2012-05-05 (08-48-19).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 329597
Laufzeit: 1 Stunde(n), 29 Minute(n),

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
D:\downloads\Programme\RemoveWGA12.exe (PUP.RemoveWGA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Wichtige Programme\TuneUp Utilities 2006\crack2\TuneUp Utilities 2006 5.0.xxxx Generic Patch.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)



Hab somit nun 5 Sachen in Quarantäne bei Malwarebytes und bei Antivir 1x bzw. eine 2. von 15.08.2010 aus folgender Datei:


15.08.2010,16:33:00 ---------------------------------------------------------
15.08.2010,16:33:13 AntiVir Guard Version: 10.00.01.44, Engine Version 8.2.4.34, VDF Version: 7.10.10.182
15.08.2010,16:33:13 Online-Dienste stehen zur Verfügung.
15.08.2010,16:33:14 AntiVir Guard wurde aktiviert.
15.08.2010,16:33:14 Der Avira AntiVir Personal - Free Antivirus Dienst wurde erfolgreich gestartet!
15.08.2010,16:33:14 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DLL .DLO .DO* .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT* .PPAM .PPS* .PPT* .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SLD? .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL* .XML
.XXX .ZIP
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Aktion: Benutzer fragen
- Archive durchsuchen: Deaktiviert
- Makrovirenheuristik: Aktiviert
- Win32 Dateiheuristik: Erkennungsstufe mittel
- Protokollierungsstufe: Standard
15.08.2010,17:42:00 [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen!
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\sesn\opr0FRKG.tmp
[USER] XXX\XXX
[INFO] Auf diese Datei wird keine Aktion ausgeführt.
15.08.2010,20:08:49 Der Avira AntiVir Personal - Free Antivirus Dienst wurde beendet!
16.08.2010,09:30:04 ---------------------------------------------------------


Ist mein PC nun wieder Sicher oder was muss ich alles unternehmen damit es so wird ???
Schonmal Danke für Eure Hilfe und Gruß

Alt 06.05.2012, 19:16   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX - Standard

Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX



Zitat:
D:\downloads\Programme\RemoveWGA12.exe (PUP.RemoveWGA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Wichtige Programme\TuneUp Utilities 2006\crack2\TuneUp Utilities 2006 5.0.xxxx Generic Patch.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Wer mit illegalen Tools rumspielt muss sich hinterher nun wirklich nicht wundern, wenn das System rumspinnt!
Offensichtlich ist da nicht nur ein TuneUp Cracks drauf, RemoveWGA lässt vermuten, dass du sogar ein nicht legales Windows installiert hast!

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________

__________________

Antwort

Themen zu Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX
.com, .dll, administrator, antivir, antivir guard, antivirus, anzeige, avira, dateien, dateisystem, explorer, frage, gelöscht, generic, heuristiks/extra, heuristiks/shuriken, log-datei, malwarebytes, microsoft, neu, opera, problem, programme, schließen, security, software, suche, tr/dropper.gen



Ähnliche Themen: Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX


  1. Antivir Fund durch Echteitscanner / Scann jedoch ergebnislos
    Log-Analyse und Auswertung - 08.07.2015 (7)
  2. Zero-Day-Lücke in Microsoft Office
    Nachrichten - 22.10.2014 (0)
  3. Win32 Dropper Gen Meldung von Avast, aber kein Fund durch Malwarebytes Anti-Rootkit
    Antiviren-, Firewall- und andere Schutzprogramme - 01.06.2014 (14)
  4. Windows 7: Virenbefall durch AntiVir entdeckt TR/Dropper.MSIL.43179
    Log-Analyse und Auswertung - 12.03.2014 (9)
  5. Microsoft Office 2010 - Programme funktionieren nicht mehr - Deinstallation nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 02.11.2013 (20)
  6. Fund Java/Dldr.Treams.CX durch AntiVir
    Plagegeister aller Art und deren Bekämpfung - 01.10.2012 (11)
  7. Viren Fund durch Antivir - TR/Offend und TR/Minggy 3.30
    Log-Analyse und Auswertung - 23.02.2012 (27)
  8. Fund durch Avira: TR/Dropper.Gen in D:\Sonstiges\Treiber\CREATIVE\Audible\Manager_Creative.cab
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (1)
  9. Fund von dropper.gen, sinowal und exdoer mit Antivir
    Log-Analyse und Auswertung - 04.09.2011 (6)
  10. TR/Crypt.XPACK.Gen2 in C:\Program Files\Microsoft Office\Office12\OART.DLL
    Plagegeister aller Art und deren Bekämpfung - 28.07.2011 (20)
  11. Antivir rescue cd schlägt fehl. WINWORD Makro Virus? MS office anwendungen infiziert excel
    Plagegeister aller Art und deren Bekämpfung - 13.04.2011 (15)
  12. crypt.xpack.gen3 und mehr Fund durch AntiVir
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (6)
  13. crypt.xpack.gen3 Fund durch AntiVir
    Plagegeister aller Art und deren Bekämpfung - 24.02.2011 (9)
  14. Malware Fund durch AntiVir
    Log-Analyse und Auswertung - 28.03.2009 (0)
  15. Antivir Fund: TR/DROPPER.GEN
    Mülltonne - 31.10.2008 (0)
  16. EXP/Office.Dropper.Gen
    Mülltonne - 27.01.2008 (0)
  17. Open Office besser Als Office von Microsoft?
    Alles rund um Windows - 06.11.2007 (1)

Zum Thema Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX - Hallo, bin hier neu und hatte folgendes Problem: Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX Habe diese Datei Manuell in Quarantäne gesteckt. Konnte mit der Meldung von AntiVir zuerst - Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX...
Archiv
Du betrachtest: Fund von TR/Dropper.Gen durch Antivir in C:\Programme\Microsoft Office\Office12\WINWORD.EX auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.