Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: AVG Alert - Dropper etc.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.01.2008, 15:42   #1
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Hallo, ich bin neu hier und habe leider noch nicht einmal ne persönliche Vorstellung gemacht. Ich habe heute einen Alarm von AVG-Antivirus, auf neuestem Stand, bekommen. Die Message war VDC Dropper detected - dann hab ich den Zugriff verweigert. Ich fühle mich jetzt aber alles andere als sicher und habe AVG laufen lassen zum komplettscan. Resultat ist ein "Change" der C:\Windows\system32\shell32.dll . ICh habe keine Ahnung was ich davon halten soll und habe die Datei scannen lassen auf den beiden freien Internet-Datei-Scannern. Resultat, keine infektion. Ein Hijackthis-File habe ich auch schon. Bitte sagt mir ob mein System Viren/Trojanerfrei ist oder ob ich es neu aufsetzen "darf". Ich bin grade mitten in meinen Prüfungen (Uni) und es wräe klasse wenn ich wenigstens noch eine Woche (evtl. mit deaktiviertem I-net) mit dem Rechner arbeiten könnte. Das Autodesk was im Log zu finden ist, ist mein CAD Programm!

Hier das Log, Danke im Voraus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:09, on 14.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\Msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Grisoft\AVG7\avgcc.exe
C:\Programme\Grisoft\AVG7\avgwb.dat
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk - C:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk EDM Server - Autodesk - C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 7050 bytes

Alt 14.01.2008, 20:17   #2
11Boy11
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Hallo!

Zuerst bitte eScan ausführen, und Berichte posten.


Starte nun HijackThis, drücke auf scan, mache vor folgende Einträge ein häckchen, und drücke anschließend "Fix checked"

Zitat:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Danach -> Avenger

- "Input script manually" anhacken
- Auf die Lupe klicken
- kopiere anschließend in "View/edit script" :

Zitat:
Files to delete:
C:\Windows\system32\shell32.dll
- Done klicken
- gruene Ampel anklicken

...das Script wird nun ausgeführt. danach wird der PC automatisch neustarten!
__________________

__________________

Alt 14.01.2008, 20:21   #3
KarlKarl
/// Helfer-Team
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Nein

Die shell32.dll nicht mit Avenger löschen lassen. Es kann zwar passieren, dass Windows sie durch eine Backup-Kopie ersetzt, wenn aber nicht (ist möglich), dann ist Windows tot.

Lasse sie noch mal bei VirusTotal scannen und kopiere die Ergebnisse vollständig inklusive MD5, SHA1, ihrer Größe und sonstiger ergänzender Angaben hierher.
__________________

Alt 14.01.2008, 20:23   #4
11Boy11
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Ich kann Dir jetzt schon sagen, was VirusTotal ausspuckt!
__________________
Gruß 11Boy

Alt 14.01.2008, 20:26   #5
KarlKarl
/// Helfer-Team
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Bitte

Danach warten wir aber lieber noch mal die Ergebnisse des Onlinescans ab. Bei einer swolchen Systemdatei sollte es kein Problem sein, anhand des MD5 zu prüfen, ob sie echt ist oder verändert wurde.


Alt 15.01.2008, 06:49   #6
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Guten Morgen,

erstmal Danke für die schnellen Antworten - ich les mri mal eben die Anleitung zum escan durch und das Ergebnis vom Virustotal lautet, alles normal und legal ! Mach ich aber nochmal und poste es Find ich soweit schonmal toll. Dann will ich mich mal eben an den escan machen und nochmal HijackThis bemühen. poste ich sobald ich durch bin. Thx nochmal.

Alt 15.01.2008, 07:12   #7
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Hier der Scan - Bitte bitte lass die Datei ok sein.

Datei shell32.dll empfangen 2008.01.15 07:59:15 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.15.11 2008.01.15 -
AntiVir 7.6.0.46 2008.01.14 -
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.14 -
AVG 7.5.0.516 2008.01.14 -
BitDefender 7.2 2008.01.15 -
CAT-QuickHeal 9.00 2008.01.14 -
ClamAV 0.91.2 2008.01.14 -
DrWeb 4.44.0.09170 2008.01.14 -
eSafe 7.0.15.0 2008.01.14 -
eTrust-Vet 31.3.5459 2008.01.15 -
Ewido 4.0 2008.01.14 -
FileAdvisor 1 2008.01.15 -
Fortinet 3.14.0.0 2008.01.15 -
F-Prot 4.4.2.54 2008.01.14 -
F-Secure 6.70.13030.0 2008.01.14 -
Ikarus T3.1.1.20 2008.01.15 -
Kaspersky 7.0.0.125 2008.01.15 -
McAfee 5206 2008.01.14 -
Microsoft 1.3109 2008.01.15 -
NOD32v2 2791 2008.01.14 -
Norman 5.80.02 2008.01.15 -
Panda 9.0.0.4 2008.01.14 -
Prevx1 V2 2008.01.15 -
Rising 20.27.10.00 2008.01.15 -
Sophos 4.24.0 2008.01.15 -
Sunbelt 2.2.907.0 2008.01.15 -
Symantec 10 2008.01.15 -
TheHacker 6.2.9.187 2008.01.13 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.15 -
Webwasher-Gateway 6.6.2 2008.01.15 -
weitere Informationen
File size: 8501248 bytes
MD5: 3902aa8398029d89b63d8cf2e0c8d91d
SHA1: 6892cb5bb4232f5303eceb97eda6c11c13be7529
PEiD: -

Alt 15.01.2008, 07:16   #8
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Antivir (mit Experten-Einstellungen laut Board) hat nüx gefunden und bei Ad-Aware ists das Gleiche...

Alt 15.01.2008, 08:18   #9
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Musste grade abbrechen weil ich dringend zur Uni muss... Ich bin aber aufgrund dem Kram den ich gesehen hab dank escan wohl eh am Arsch! Falls es da Möglichkeiten gibt das System bis nach meinen Prüfungen (vor allem wegen autodesk - bräuchte sonst ne neue lizenz) halbwegs sicher zu betreiben *ja ich träum gern* wärs toll!

Hier mal ein Auszug - ich hab jetzt auch ne Ahnung wo ich den Kram her hab und von wem der kommt - das gibt wirklich Ärger!

Tue Jan 15 08:28:25 2008 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Tue Jan 15 08:28:25 2008 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\spydb.avs, Size: 327688].
Tue Jan 15 08:28:28 2008 => Indexed Spyware Databases Successfully Created...

Tue Jan 15 08:28:35 2008 => System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
Tue Jan 15 08:29:07 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe
Tue Jan 15 08:29:07 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 15 08:29:07 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe
Tue Jan 15 08:29:07 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\programme\autostart\powerreg scheduler v3.exe
Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\autostart\powerreg scheduler v3.exe
Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 15 08:29:16 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Startmenü\Programme\Autostart\powerreg scheduler v3.exe
Tue Jan 15 08:29:16 2008 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 15 08:29:39 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_12\debug\main.exe
Tue Jan 15 08:29:39 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 15 08:29:39 2008 => Offending file found: C:\Dokumente und Einstellungen\Matthias Müller\Eigene Dateien\eigenes studium\semester i bzw ws 2006 u 2007\grundlagen informationstechnik\c und c++ programmierung\lektionen\lektion_7\main.exe
Tue Jan 15 08:29:39 2008 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.

Tue Jan 15 08:29:40 2008 => Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite
Tue Jan 15 08:29:40 2008 => System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen.

Der Kram mit der "main.exe" waren Programme für meine GIT Vorlesung - ergo hat einer unserer Jungs die Dateien gehackt nachdem Sie vom Prof kamen und ich sie leider nur aus der "Rundmail" entnommen habe...

Danke für die Hilfe soweit und evtl. kann ich noch n klitzekleines bissl was retten!?

Gruß

Alt 15.01.2008, 17:13   #10
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Jetzt läuft der komplette Escan... Frage am Rande, wo bekomme ich denn da ne Vollversion her bzw. wie kann ich den ganzen gefundenen Mist fixen!? Bin für Jede Info dankbar und das Ergebnis poste ich sobald er fertig gescannt hat - kann man denn zu dem halbfertigen scan von vorhin nix sagen?

Greetz

Alt 15.01.2008, 17:18   #11
Franz1968
/// Helfer-Team
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Du brauchst keine Vollversion. Wenn du nach dem Scan, wie in der Anleitung beschrieben, die Ergebnisse der find.bat postest, lässt sich ersehen, was zu entfernen ist, und das lässt sich dann i.d.R. von Hand erledigen.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 15.01.2008, 17:22   #12
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Danke für die Info - Scan läuft noch. Nächste blöde Frage - wie editiere ich vorhandene Beiträge? In der Suche oder FAQ find ichs net und iwie muss ich da nen Button übersehen...

Alt 15.01.2008, 17:22   #13
KarlKarl
/// Helfer-Team
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Also die shell32.dll ist in Ordnung. Meine hat den gleichen Checksummen und ich bin mal so unbescheiden davon auszugehen, das mein System nicht infiziert ist. AVG speichert bei der Installation Prüfsummen, bekommt es aber nicht mit, wenn die Dateien in der Zwishcenzeit (z.B. durch Windowsupdate) legal geändert wurden. Das hatten wir schon einige Male.

Escan: Zu "7e853d72-626a-48ec-a868-ba8d5e23e045" finde ich nur das hier, abgesehen von den O2-Einträgen in diversen Hijackthis-Logs, die diese CLSID verwaist enthalten und diversen Escan-Logs, die das ganze dann zu einer Malware erklären.

Wenn der Escan etwas als "offending" erklärt, dann heißt das nur, dass ihm der Dateiname nicht gefällt. In deinem Fall mag er keine Dateien mit dem Namen "main.exe". Ich gehe mal davon aus, dass die Software von deinem Prof fürsd Studium ok ist, Escan hat sich sowieso nicht den Inhalt der dateien angeschaut, Du kannst also in Ruhe weiterstudieren.

Für "PowerReg Scheduler" gibt es in der Tat Berichte, die ihn als Adware einstufen, da ich die Software nie live gesehen habe, kann ich aber nicht dafür garantieren, dass sie stimmen. die feine Datenbank bei Castlecops hat dazu diesen Eintrag, in dem es heißt, dass er einfach überflüssig ist. Ich neige dazu, dem zuzustimmen, würde ihn also aus dem Autostart rausnehmen.

Zur Krönung hat der Escan ICQlite noch als Backdoor identifiziert, wundere dich also nicht, wenn Du noch Aufforderungen bekommst, deine Platte zu formatieren und neu zu installieren.

Fazit: Escan ist einfach nur noch Sch.... und gehört wirklich dringend auf diese Liste gesetzt.

Bleibt eigentlich nur dieser VDC Dropper. Wo wurde der denn gefunden?

Alt 15.01.2008, 17:28   #14
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Soll heissen, dass ich nach bisherigen logs relativ Viren/Adwarefrei bin? Tja die Main.exe ist von meinem Prof und teil eines selbst geschriebenen Programms von ihm in jeder Lektion... Hab jetzt gedacht ich wäre total verseucht. Bin ja gespannt was du/ihr zum nächsten Scan sagst (escan vollständig). Den Dropper hat mir AVG nur ganz kurz angezeigt und ich hab dann die vorgeschlagene aktion ausgeführt. Sollte irgendwo im Mozilla-Ordner liegen!? Hab aber die angegebene Position net gefunden. Ich schau gleich nochmal in der Event History Log nach. Vielen Dank bis jetzt - allein ist man bei dem Zahlen und Code gewusel vollends verloren...

Alt 15.01.2008, 17:36   #15
BadRoadrunneR
 
AVG Alert - Dropper etc. - Standard

AVG Alert - Dropper etc.



Da isses,

<rec time="2008/01/14 14:21:40" user="SYSTEM" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\smvockd9.default\Cache\5517EE54d01</attr>
<attr name="finding">@EID_Fi_vir</attr>
<attr name="virusname">VBS/Dropper</attr>

Kann das sein, dass der iwie unsichtbar is? Kann es vllt. sein, dass AVG das Vieh doch abgewehrt hat!? Ich hab bei privaten Daten so Panik - wenn nach dem Escan deine Interpretation die Gleiche ist wie eben, dass ich keinen Virus habe, dann werd ich erstmal die ganzen Sicherungsmaßnahmen wie im Board beschrieben durchführen. Bin jetzt echt mal ne Runde sensibilisiert für das Problem...

Also bis zum Log...

Antwort

Themen zu AVG Alert - Dropper etc.
.dll, 0 bytes, 1.exe, adobe, alert, avg, avira, bho, e-mail, ellung, excel, explorer, firefox, helper, hijack, hkus\s-1-5-18, internet explorer, keine ahnung, launch, log, magix, microsoft, mozilla, mozilla firefox, neu, neu aufsetzen, pdf, programm, programme, s-1-5-18, server, shell32.dll, software, system, windows, windows xp



Ähnliche Themen: AVG Alert - Dropper etc.


  1. (mehrere) Trojanermeldung(en) AVG (Win8.1) : "Trojaner: Dropper.Generic2.ANGG.dropper"
    Log-Analyse und Auswertung - 11.07.2014 (3)
  2. Virus blockiert System -> "alert[1].htm" fake alert.AP -> 100 € Forderung
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (15)
  3. Avira http://188.127.249.241/~alert/alert.php?id=5
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (9)
  4. Malware URL: dynamicdialogs.alert.conduit-services.com/alert
    Plagegeister aller Art und deren Bekämpfung - 27.06.2011 (33)
  5. AntiVirus Software Alert / Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 15.01.2011 (19)
  6. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (1)
  7. Maleware Windows Scurity Alert (Trojan.Dropper)
    Plagegeister aller Art und deren Bekämpfung - 07.01.2011 (17)
  8. Antivirus software alert/windows sacurity alert
    Plagegeister aller Art und deren Bekämpfung - 14.12.2010 (3)
  9. Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (26)
  10. Windows Security Alert / AV Security Suite / Antivirus Software Alert / gefakter AV lähmt PC
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  11. selbe problem mit Windows Security Alert - Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (3)
  12. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (21)
  13. Windows Security Alert / AV Security Suite / Antivirus Software Alert// Ohne Internet
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (1)
  14. system alert, windows security alert und fremde antiviren programme
    Plagegeister aller Art und deren Bekämpfung - 01.01.2010 (51)
  15. Werbefenster Windows alert/ms-dos alert/spyware etc
    Log-Analyse und Auswertung - 13.06.2008 (47)
  16. Hilfe!!!! Spyware Alert. System Alert.
    Mülltonne - 04.02.2008 (0)
  17. pc alert - system alert HIILFE
    Log-Analyse und Auswertung - 26.12.2007 (7)

Zum Thema AVG Alert - Dropper etc. - Hallo, ich bin neu hier und habe leider noch nicht einmal ne persönliche Vorstellung gemacht. Ich habe heute einen Alarm von AVG-Antivirus, auf neuestem Stand, bekommen. Die Message war VDC - AVG Alert - Dropper etc....
Archiv
Du betrachtest: AVG Alert - Dropper etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.