| |
| |||||||
Log-Analyse und Auswertung: ein weiteres TR/Dropper.Gen-OpferWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.07.2008, 05:08
| #1 |
 |  ein weiteres TR/Dropper.Gen-Opfer Ja, und auch mich hat der Trojaner erwischt ................ Gestern kam die Meldung von Avira Antivirus TR/Dropper.Gen habe ihn 4-5 mal gelöscht (ging natürlich nicht) und ihn dann 2-3 mal in die Quarantäne geschickt (was auch keinen Erfolg hatte) Heute Nacht habe ich einen Virenscan gemacht, und wieder war es dieser Trojaner der aufgefunden wurde. Jetzt kann ich mir auch erklären, warum bei mir ständig pop-ups aufgehen, obwohl ich die deaktiviert habe Hier der Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 4. Juli 2008 23:48 Es wird nach 1376780 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: INTERNETGURKE Versionsinformationen: BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 15.04.2008 04:27:19 AVSCAN.DLL : 8.1.1.0 57601 Bytes 15.04.2008 04:27:19 LUKE.DLL : 8.1.2.9 151809 Bytes 15.04.2008 04:27:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 15.04.2008 04:27:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 00:02:17 ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 00:40:28 ANTIVIR3.VDF : 7.0.5.45 115712 Bytes 03.07.2008 00:42:48 Engineversion : 8.1.0.64 AEVDF.DLL : 8.1.0.5 102772 Bytes 15.04.2008 04:27:22 AESCRIPT.DLL : 8.1.0.46 283002 Bytes 03.07.2008 00:43:01 AESCN.DLL : 8.1.0.22 119157 Bytes 21.06.2008 19:53:30 AERDL.DLL : 8.1.0.20 418165 Bytes 29.04.2008 19:09:07 AEPACK.DLL : 8.1.1.6 364918 Bytes 21.06.2008 19:53:25 AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 19:53:18 AEHEUR.DLL : 8.1.0.35 1298806 Bytes 03.07.2008 00:42:54 AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 10:24:59 AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 19:53:02 AEEMU.DLL : 8.1.0.6 430451 Bytes 17.05.2008 23:43:52 AECORE.DLL : 8.1.0.32 168311 Bytes 03.07.2008 00:42:31 AVWINLL.DLL : 1.0.0.7 14593 Bytes 15.04.2008 04:27:19 AVPREF.DLL : 8.0.0.1 25857 Bytes 15.04.2008 04:27:19 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVREG.DLL : 8.0.0.0 30977 Bytes 15.04.2008 04:27:19 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 04:27:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 15.04.2008 04:27:19 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 04:27:20 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 15.04.2008 04:27:20 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 04:27:20 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 15.04.2008 04:27:12 RCTEXT.DLL : 8.0.32.0 86273 Bytes 15.04.2008 04:27:12 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Freitag, 4. Juli 2008 23:48 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acrobat_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PhoneConnectorVMC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'giyiyws.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxbbbmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxbbbmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'carpserv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '34' Prozesse mit '34' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '20' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AcroProUpd710_all_cum.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{32A05E3B-B976-48D3-87BB-D4D82C002E04}\RP146\A0010813.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '489ea897.qua' verschoben! Ende des Suchlaufs: Samstag, 5. Juli 2008 01:12 Benötigte Zeit: 1:24:11 min Der Suchlauf wurde vollständig durchgeführt. 5570 Verzeichnisse wurden überprüft 151612 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 151611 Dateien ohne Befall Habe versucht die Datei zu finden .......... aber ich als DAU (Dümmster Anzunehmender User) ............... krieg es nicht hin. Dann habe ich versucht mich zu informieren ........... habe dann erstmal die Systemwiederherstellung ausgeschaltet und wieder eingeschaltet ................ habe mir dann Trend Micro Hijack This - v2.0.2 runtergeladen ........................ Dann wie auf der Seite www.trojaner-board.de/52382-tr-dropper-gen.html beschrieben den cCleander heruntergeladen (promt bekam ich keine Internetverbindung - ich benutze Vodavon-UMTS - Moobicent - mehr zustande) und habe ihn gleich wieder deinstalliert und hatte sofort wieder eine Verbindung zum www. Dann habe ich diesen Hijacklog (ohne Onlineverbindung) erstellt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:40:22, on 05.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\carpserv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe C:\dokumente und einstellungen\******\lokale einstellungen\anwendungsdaten\giyiyws.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe F:\PhoneConnectorVMC.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE F:\vmc.exe C:\Dokumente und Einstellungen\******\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_5 O4 - HKCU\..\Run: [VMCL] C:\Programme\vodafone\vmclite\DongleEnumerator.exe O4 - HKCU\..\Run: [giyiyws] c:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\giyiyws.exe giyiyws O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- End of file - 7564 bytes Nun hoffe ich, daß mir, dem DAU, jemand helfen kann, wie ich diesem Trojaner Herr werden kann. Geändert von Sunny (05.07.2008 um 15:08 Uhr) |
| Themen zu ein weiteres TR/Dropper.Gen-Opfer |
| .dll, adobe, application, avg, avgnt.exe, avira, bho, ctfmon.exe, desktop, einstellungen, firefox, helfen, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet explorer, jusched.exe, keine internetverbindung, konvertieren, logon.exe, mozilla, mozilla firefox, nt.dll, pdf-datei, prozesse, quara, registry, scan, sched.exe, server, services.exe, software, suchlauf, svchost.exe, trojaner, urlsearchhook, verweise, virus gefunden, vodafone, warnung, warum, windows, winlogon.exe, wuauclt.exe |
Baum-Darstellung