Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: HT/dropp.gen Befall!!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.07.2008, 09:31   #1
Joschi1984
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Hallo zusammen,

ich habe gestern eine Warnung von meinem Antivirusprogramm, bezüglich HT/dropp.gen bekommen. Ich habe die infizierten Daten entfernt, und ein Log-file erstellt. Jetzt meine Frage, ob ich den Virus komplett los bin? Wäre nett wenn sich einer findet, der sich damit auskennt.

Auszug aus meinem Virenscanner:

C:\Program Files\Samsung\SamsungManual\samsungmanual_chs\samsungmanual_chs.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ea00ed.qua' verschoben!
C:\Program Files\Samsung\SamsungManual\samsungmanual_cht\samsungmanual_cht.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ea00f9.qua' verschoben!
C:\Program Files\Samsung\SamsungManual\samsungmanual_eng\samsungmanual_eng.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ea0104.qua' verschoben!
C:\Program Files\Samsung\SamsungManual\samsungmanual_fra\samsungmanual_fra.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ea010c.qua' verschoben!
C:\Program Files\Samsung\SamsungManual\samsungmanual_ger\samsungmanual_ger.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ea0117.qua' verschoben!
C:\Program Files\Samsung\SamsungManual\samsungmanual_kor\samsungmanual_kor.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ea0124.qua' verschoben!
C:\Program Files\Samsung\SamsungManual\samsungmanual_rus\samsungmanual_rus.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ea014e.qua' verschoben!
C:\Program Files\Samsung\SamsungManual\samsungmanual_spn\samsungmanual_spn.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ea0154.qua' verschoben!



Die Log-file sah nach dem scann, dem entfernen der infizierten Dateien, im normal Betrieb wie folgt aus:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:03:13, on 16.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATICAE.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mobile Partner\Mobile Partner.exe
C:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Downloads\Software\hijack\Run as administrator.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ttp://go.microsoft.com/fwlink/?LinkId=5489
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ttp://start.icq.com/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.samsungcomputer.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ttp://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Users\kunde\AppData\Local\Temp\E_S9E22.tmp" /EF "HKCU"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3861AC4B-0AFF-4C4A-9D1C-DBA6CCCD3C16}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A93D2763-F85D-4191-922A-C7B749F2BDC4}: NameServer = 195.182.110.132 62.134.11.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{3861AC4B-0AFF-4C4A-9D1C-DBA6CCCD3C16}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3861AC4B-0AFF-4C4A-9D1C-DBA6CCCD3C16}: NameServer = 192.168.1.1
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

--
End of file - 7148 bytes



Könnt Ihr da was draus ersehen?

Geändert von Joschi1984 (16.07.2008 um 09:38 Uhr)

Alt 16.07.2008, 10:13   #2
trojan-death
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Hi und

Also im Logfile von HijackThis is nix zu sehen, ausser das dein Server in Amsterdam ist... Ist das so gewollt?
Lass ansonsten Malwarebytes laufen, lass alles löschen was er findet und poste das Logfile
Bitte erstelle auch mit RunScanner ein Log und poste es ebenfalls
__________________

__________________

Alt 16.07.2008, 11:57   #3
Joschi1984
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Hi,

danke für die schnelle ich lasse gerade die Programme laufen und poste sie gleich. Eins kann ich aber jetzt schon sagen ich habe mir Amsterdam nicht als Server ausgesucht, es wundert mich auch, weil ich im deutschen Hsdpa Netz von o2 unterwegs bin. Kann es eventuell sein, dass es daran liegt, dass ich in Aachen wohne und der Server deshalb in Amsterdam liegt?
Wo wir gerade dabei sind hätte ich als Laie noch eine Frage. Wo sieht man das i log?

Danke schon einmal
__________________

Alt 16.07.2008, 12:12   #4
trojan-death
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Zitat:
Zitat von Joschi1984 Beitrag anzeigen
Eins kann ich aber jetzt schon sagen ich habe mir Amsterdam nicht als Server ausgesucht, es wundert mich auch, weil ich im deutschen Hsdpa Netz von o2 unterwegs bin. Kann es eventuell sein, dass es daran liegt, dass ich in Aachen wohne und der Server deshalb in Amsterdam liegt?
Dann muss es wohl so sein das der Rechner nicht mehr wirklich dir gehört
Leider bin ich mir bei dieser Sache nicht ganz sicher und werde mal kurz nen Kompetenzler bitten Klarheit zu schaffen
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 16.07.2008, 12:15   #5
Silent sharK
 

HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Hallo ihr Beiden,
Ihr hättet ja die verdächtige Datei bei Virustotal hochladen können

Joschi besitzt du Samsung Geräte, die du installiert hast?
Sieht nämlich sehr nach Fehlalarm aus, was das betrifft.

mfg

__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.07.2008, 12:30   #6
Joschi1984
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Hier das Ergebnis der Mailwarebytes Log File
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 957
Windows 6.0.6001 Service Pack 1

12:21:27 16.07.2008
mbam-log-7-16-2008 (12-21-27).txt

Scan Art: Komplett Scan (C:\|D:\|F:\|)
Objekte gescannt: 143936
Scan Dauer: 41 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)



Und hier die Ergebnisse vom runscanner


Runscanner logfile http://www.runscanner.net

* = signed file
- = file not found

000 General info
----------------
Computer name : KUNDE-PC
Creation time : 16.07.2008 12:22:31
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.6001.18000
OS : Windows Vista (TM) Home Premium
OS Build : 6001
OS SP : Service Pack 1
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\Windows

001 Running processes
---------------------
* c:\windows\system32\agrsmsvc.exe (Agere Systems)
c:\program files\avira\antivir personaledition classic\avguard.exe (Avira GmbH)
c:\program files\avira\antivir personaledition classic\sched.exe (Avira GmbH)
c:\program files\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)
* c:\windows\system32\services.exe (Microsoft Corporation)
* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)
* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)
* c:\windows\system32\taskeng.exe (Microsoft Corporation)
* c:\windows\system32\taskeng.exe (Microsoft Corporation)
* c:\windows\system32\taskeng.exe (Microsoft Corporation)
* c:\program files\widcomm\bluetooth software\bttray.exe (Broadcom Corporation.)
c:\program files\ati technologies\ati.ace\core-static\mom.exe (ATI Technologies Inc.)
c:\program files\ati technologies\ati.ace\core-static\ccc.exe (ATI Technologies Inc.)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\dwm.exe (Microsoft Corporation)
c:\program files\samsung\ebm\easybatterymgr3.exe (SAMSUNG Electronics co., LTD.)
c:\program files\samsung\easy display manager\dmhkcore.exe (SAMSUNG Electronics)
c:\program files\samsung\easyspeedupmanager\easyspeedupmanager.exe (Samsung Electronics Co., Ltd.)
* c:\windows\system32\notepad.exe (Microsoft Corporation)
* c:\windows\system32\notepad.exe (Microsoft Corporation)
* c:\windows\system32\spool\drivers\w32x86\3\e_faticae.exe (SEIKO EPSON CORPORATION)
* c:\program files\mozilla firefox\firefox.exe (Mozilla Corporation)
c:\program files\free download manager\fdm.exe (FreeDownloadManager.ORG)
* c:\windows\rthdvcpl.exe (Realtek Semiconductor)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\program files\icq6\icq.exe (ICQ, Inc.)
* c:\program files\java\jre1.6.0_04\bin\jusched.exe (Sun Microsystems, Inc.)
* c:\windows\system32\lsass.exe (Microsoft Corporation)
* c:\windows\system32\lsm.exe (Microsoft Corporation)
* c:\program files\malwarebytes' anti-malware\mbam.exe (Malwarebytes Corporation)
* c:\windows\ehome\ehmsas.exe (Microsoft Corporation)
* c:\windows\ehome\ehtray.exe (Microsoft Corporation)
* c:\windows\system32\searchfilterhost.exe (Microsoft Corporation)
* c:\windows\system32\searchindexer.exe (Microsoft Corporation)
* c:\windows\system32\searchprotocolhost.exe (Microsoft Corporation)
* c:\windows\system32\slsvc.exe (Microsoft Corporation)
c:\program files\mobile partner\mobile partner.exe
* c:\program files\mozilla thunderbird\thunderbird.exe (Mozilla Corporation)
c:\program files\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
* c:\program files\common files\real\update_ob\realsched.exe (RealNetworks, Inc.)
c:\program files\cyberlink\shared files\richvideo.exe
* c:\users\kunde\appdata\local\temp\temp1_runscanner.zip\runscanner.exe (Runscanner.net)
c:\program files\samsung\samsung magic doctor\magicdoctorkbdhk.exe (Samsung Electronics Co., Ltd.)
* c:\windows\system32\spoolsv.exe (Microsoft Corporation)
* c:\program files\microsoft sql server\mssql.1\mssql\binn\sqlservr.exe (Microsoft Corporation)
* c:\program files\synaptics\syntp\syntpenh.exe (Synaptics, Inc.)
* c:\program files\windows defender\msascui.exe (Microsoft Corporation)
* audiodg.exe (Microsoft Corporation)
* c:\windows\system32\smss.exe (Microsoft Corporation)
* c:\windows\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\explorer.exe (Microsoft Corporation)
* c:\program files\windows sidebar\sidebar.exe (Microsoft Corporation)
* c:\program files\windows sidebar\sidebar.exe (Microsoft Corporation)
* c:\windows\system32\wininit.exe (Microsoft Corporation)

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\program files\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)
c:\program files\cyberlink\powerdvd\language\language.exe
c:\program files\quicktime\qttask.exe (Apple Inc.)
c:\program files\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
c:\program files\ati technologies\ati.ace\core-static\clistart.exe
* c:\program files\synaptics\syntp\syntpenh.exe (Synaptics, Inc.)
* c:\program files\common files\real\update_ob\realsched.exe (RealNetworks, Inc.)

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\program files\free download manager\fdm.exe (FreeDownloadManager.ORG)

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\program files\avira\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard)
c:\program files\avira\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer)
c:\program files\cyberlink\shared files\richvideo.exe (Cyberlink RichVideo Service(CRVS))
c:\program files\samsung\samsung update plus\slubackgroundservice.exe (Samsung Update Plus)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
* c:\program files\avira\antivir personaledition classic\avgio.sys (avgio)
* c:\program files\avira\antivir personaledition classic\avgntflt.sys (avgntflt)
* C:\Windows\system32\drivers\avipbb.sys (avipbb)
- c:\windows\system32\drivers\ipinip.sys (IP in IP Tunnel Driver)
- c:\windows\system32\drivers\nwlnkflt.sys (IPX Traffic Filter Driver)
- c:\windows\system32\drivers\nwlnkfwd.sys (IPX Traffic Forwarder Driver)
* c:\windows\system32\drivers\mbamcatchme.sys (MBAMCatchMe)
* C:\Windows\system32\drivers\npf.sys (NetGroup Packet Filter Driver)
C:\Windows\system32\drivers\pcasp50.sys (PCASp50 NDIS Protocol Driver)
* C:\Windows\system32\drivers\ssm_bus.sys (SAMSUNG Mobile USB Device II 1.0 driver (WDM))
* C:\Windows\system32\drivers\ssm_mdm.sys (SAMSUNG Mobile USB Modem II 1.0 Drivers)
* C:\Windows\system32\drivers\ssm_mdfl.sys (SAMSUNG Mobile USB Modem II 1.0 Filter)
C:\Windows\system32\drivers\ssmdrv.sys (ssmdrv)
c:\windows\system32\drivers\staropen.sys (StarOpen)
* C:\Windows\system32\drivers\syntp.sys (Synaptics TouchPad Driver)
* C:\Windows\system32\drivers\truecrypt.sys (truecrypt)

032 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
-----------------------------------------------------------------------------------
- rdpclip

040 HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
------------------------------------------------------------
* c:\progra~1\icqtoo~1\toolbaru.dll (ICQ Inc.) {855F3B16-6D32-4fe6-8A56-BBB695989046}

041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar
----------------------------------------------------------
* c:\progra~1\icqtoo~1\toolbaru.dll (ICQ Inc.) {855F3B16-6D32-4fe6-8A56-BBB695989046}

042 HKLM\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
GUID / CLSID not found {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
GUID / CLSID not found {CCA281CA-C863-46ef-9331-5C8D4460577F}
* c:\program files\icq6\icq.exe (ICQ, Inc.) {E59EB121-F339-4851-A3BA-FE49C35617C2}

045 HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
----------------------------------------------------------------
* c:\progra~1\icqtoo~1\toolbaru.dll (ICQ Inc.) {855F3B16-6D32-4FE6-8A56-BBB695989046}

052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
----------------------------------------------------------------------------------
* c:\progra~1\icqtoo~1\toolbaru.dll (ICQ Inc.) {055FD26D-3A88-4e15-963D-DC8493744B1D}
c:\program files\free download manager\iefdm2.dll {CC59E0F9-7E43-44FA-9FAA-8377850BF205}
* c:\program files\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer) {3049C3E9-B461-4BC5-8870-4C09146192CA}

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
c:\program files\ati technologies\ati.ace\core-static\atiacmxx.dll {5E2121EE-0300-11D4-8D3B-444553540000}
c:\windows\system32\btncopy.dll (Broadcom Corporation.) {7842554E-6BED-11D2-8CDB-B05550C10000}
c:\program files\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
c:\program files\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {087B3AE3-E237-4467-B8DB-5A38AB959AC9}
c:\program files\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {63542C48-9552-494A-84F7-73AA6A7C99C1}
c:\program files\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {3B092F0C-7696-40E3-A80F-68D74DA84210}
c:\program files\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
* c:\program files\real\realplayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
c:\program files\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
c:\program files\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}

100 Internet Explorer settings
------------------------------
Default_Page_URL HKLM : http:\\www.samsungcomputer.com
Start Page HKCU : http://start.icq.com/

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt
-----------------------------------------------------
Alles mit FDM herunterladen : file://C:\Program Files\Free Download Manager\dlall.htm
Auswahl mit FDM herunterladen : file://C:\Program Files\Free Download Manager\dlselected.htm
Bild an &Bluetooth-Gerät senden... : C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
Datei mit FDM herunterladen : file://C:\Program Files\Free Download Manager\dllink.htm
Nach Microsoft E&xel exportieren : res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
Seite an &Bluetooth-Gerät senden... : C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Videos mit FDM herunterladen : file://C:\Program Files\Free Download Manager\dlfvideo.htm

120 Domain/DNS hijacking
------------------------
NameServer {3861AC4B-0AFF-4C4A-9D1C-DBA6CCCD3C16} : 192.168.1.1
NameServer {A93D2763-F85D-4191-922A-C7B749F2BDC4} : 195.182.110.132 62.134.11.4

170 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
------------------------------------------------------------------------
{e76a9bef-4753-11dd-9595-001377637197} : G:\EmDesk.exe
{f3e3d400-5032-11dd-8fff-001377637197} : G:\AutoRun.exe
{f3e3d413-5032-11dd-8fff-001377637197} : G:\AutoRun.exe

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
c:\program files\epson\creativity suite\easy photo print\eppshell.dll (SEIKO EPSON CORPORATION) {509FE1AF-ADD5-49EC-BC55-7CF81FD16E78}
c:\program files\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

177 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
----------------------------------------------------------------------------
0.0.0.0,0.0.0.0,192.168.1.1,-1

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
c:\program files\epson\creativity suite\easy photo print\eppshell.dll (SEIKO EPSON CORPORATION) {509FE1AF-ADD5-49EC-BC55-7CF81FD16E78}
c:\program files\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
* c:\program files\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* c:\program files\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\program files\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
c:\program files\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\program files\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

229 HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
c:\program files\ati technologies\ati.ace\core-static\atiacmxx.dll {5E2121EE-0300-11D4-8D3B-444553540000}

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
c:\program files\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) OpenOffice.org Column Handler
c:\program files\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info


Viel Glück und Danke nochmal

Alt 16.07.2008, 12:43   #7
trojan-death
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Zitat:
Zitat von Dark Viruz Beitrag anzeigen
Hallo ihr Beiden,
Ihr hättet ja die verdächtige Datei bei Virustotal hochladen können

Joschi besitzt du Samsung Geräte, die du installiert hast?
Sieht nämlich sehr nach Fehlalarm aus, was das betrifft.

mfg
Ähm von welcher Datei sprichst du?!?!
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 16.07.2008, 12:53   #8
Joschi1984
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Hi,

ich vermute mal, das er die Daten meint, bei denen der Antivir angeschlagen hat, Und zu der Frage, ob ich Samsung Geräte Installiert habe? Die muss ich mit ja beantworten eine Drucker und ein Handy.
Die FRage die sich mir jetzt stellt ist warum kommt ne Virenwarnung raus, wenn ich Samsunggeräte Installiert habe? Und wieso gehe ich über einen holländischen Server ins Netz und was mich viel brennender Interessiert hebelt das meine UMTS Flat aus? Na dann gute Nacht.

Alt 16.07.2008, 13:20   #9
myrtille
/// TB-Ausbilder
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



@proxy
Nein das hebelt nicht deine Flat nicht aus.

So wie das ausschaut handelt es sich dabei auch nicht um einen Proxy der in Amsterdam sitzt, sondern der Firmensitz der Besitzer der Server ist in Amsterdam.
Die IP sollte daher in Ordnung sein.

Ansonten kann ich nur Dark_Viruz beipflichten:
Sieht massiv nach einem Fehlalarm aus. Hast du deine Signaturen mal aktualisiert und geschaut ob die Dateien weiterhin als befallen erkannt werden?
Lade eine der befallenen Dateien (zb C:\Program Files\Samsung\SamsungManual\samsungmanual_spn\ samsungmanual_spn.exe) bei virustotal hoch und poste uns das Ergebnis hier.

Außerdem könntest du auch noch die Datei bei Antivir mit Verdacht auf Fehlalarm einsenden und schauen ob die die Datei weiterhin als bösartig erkannt wird.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 16.07.2008, 13:34   #10
Joschi1984
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Sorry Leute, wenn ich unsicher bin aber ich habe versehentlich den Falschen Namen im thread eingesetzt. Es ist der tr/dropper.gen
Immer noch Fehlarlam?

Alt 16.07.2008, 13:50   #11
myrtille
/// TB-Ausbilder
 
HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Hi,
Namen sind Schall und Rauch.

Nein, ich hab in dem Fall den Fehlalarm an der Datei festgemacht und nicht an dem Namen des Trojaners.

Außerdem hatten wir ja den korrekten Namen aus dem Antivirbericht:
Zitat:
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Ich sag auch nur, dass die Wahrscheinlichkeit eines Fehlalarms hoch ist, nicht dass es einer ist.
Deswegen wäre es wichtig, dass du die Datei überprüfst.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 16.07.2008, 15:49   #12
Silent sharK
 

HT/dropp.gen Befall!!! - Standard

HT/dropp.gen Befall!!!



Joschi,
Was auch hilfreich sein könnte: Produktupdate

Avira AntiVir öffnen => Update => Produktupdate starten...

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu HT/dropp.gen Befall!!!
adobe, agere systems, avg, avira, bho, defender, drivers, entfernen, explorer, firefox, frage, free download, helper, hijack, hijackthis, infizierte, internet, internet explorer, kunde, local\temp, log-file, mozilla, mozilla firefox, pdf, quara, scan, software, system, temp, urlsearchhook, vista, warnung, windows, windows defender, windows sidebar



Ähnliche Themen: HT/dropp.gen Befall!!!


  1. Befall mit cdncache-a
    Log-Analyse und Auswertung - 22.09.2014 (3)
  2. virus befall ???
    Log-Analyse und Auswertung - 28.05.2013 (3)
  3. GVU Trojaner Befall
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (16)
  4. Gvu Trojaner Befall mit cam
    Log-Analyse und Auswertung - 05.12.2012 (2)
  5. Incredibar Befall
    Plagegeister aller Art und deren Bekämpfung - 20.11.2012 (3)
  6. IncrediBar Befall
    Plagegeister aller Art und deren Bekämpfung - 12.10.2012 (28)
  7. GVU 2.07 Befall
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (4)
  8. Mehrfachtrojaner-Befall
    Plagegeister aller Art und deren Bekämpfung - 06.07.2012 (7)
  9. Dropper.gen befall
    Plagegeister aller Art und deren Bekämpfung - 09.10.2010 (8)
  10. Verdacht auf Befall
    Log-Analyse und Auswertung - 24.09.2010 (1)
  11. Your Protection Befall
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (7)
  12. Trjoaner befall ?
    Mülltonne - 09.01.2008 (0)
  13. TR/Vundo.Gen Befall
    Plagegeister aller Art und deren Bekämpfung - 27.11.2007 (28)
  14. PC Befall
    Plagegeister aller Art und deren Bekämpfung - 24.11.2007 (0)
  15. PC befall!!!!
    Plagegeister aller Art und deren Bekämpfung - 30.05.2007 (1)
  16. W32 Befall
    Plagegeister aller Art und deren Bekämpfung - 05.04.2006 (4)
  17. Befall!
    Log-Analyse und Auswertung - 27.11.2004 (7)

Zum Thema HT/dropp.gen Befall!!! - Hallo zusammen, ich habe gestern eine Warnung von meinem Antivirusprogramm, bezüglich HT/dropp.gen bekommen. Ich habe die infizierten Daten entfernt, und ein Log-file erstellt. Jetzt meine Frage, ob ich den Virus - HT/dropp.gen Befall!!!...
Archiv
Du betrachtest: HT/dropp.gen Befall!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.