| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Probleme mit dem TR/Dropper.Gen und TR/Drop.Agent.afrdWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.02.2009, 20:36
| #12 |
 |  Probleme mit dem TR/Dropper.Gen und TR/Drop.Agent.afrd Also ComboFix zeigt mir halt immer folgende Meldung: Hier das Log von Navilog mit Option 2: Code:
ATTFilter Navipromo Removal version 3.7.4 started on 19.02.2009 at 17:51:15,62
Fix running from D:\\navilog1
Updated on 16.02.2009 at 18h00 by IL-MAFIOSO
Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1400MHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
USER : Administrator ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition Classic 0.0.0.0 (Activated)
C:\ (Local Disk) - FAT32 - Total:5 Go (Free:5 Go)
D:\ (Local Disk) - NTFS - Total:19 Go (Free:12 Go)
E:\ (Local Disk) - NTFS - Total:52 Go (Free:21 Go)
F:\ (Local Disk) - NTFS - Total:29 Go (Free:0 Go)
G:\ (Local Disk) - NTFS - Total:3 Go (Free:2 Go)
H:\ (CD or DVD)
I:\ (CD or DVD)
Automatic removal
with Catchme and GNS results
Cleanning stage done on Reboot
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
*** Deleting with Backups GenericNaviSearch results ***
* Deletion in "D:\WINDOWS\System32" *
* Deletion in "D:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *
*** Deleting folders in "D:\WINDOWS" ***
*** Deleting folders in "D:\" ***
*** Deleting folders in "D:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
...\SudoPlanet ...deleting...
...\SudoPlanet deleted !
*** Deleting folders in "D:\Dokumente und Einstellungen\All Users\startm~1" ***
*** Deleting folders in "d:\dokume~1\alluse~1\anwend~1" ***
*** Deleting folders in "D:\Dokumente und Einstellungen\Administrator\anwend~1" ***
*** Deleting folders in "D:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" ***
*** Deleting folders in "D:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" ***
*** Deleting files ***
*** Deleting temporary files ***
Cleaning of D:\WINDOWS\Temp done !
Cleaning of D:\Dokumente und Einstellungen\Administrator\lokale~1\Temp done !
*** Complementary Search ***
(Search specific files)
1)Deletion with backups new Instant Access files:
2)Heuristic search and deletion with backups :
* In "D:\WINDOWS\system32" *
D:\WINDOWS\prefetch\ywucy*.pf found !
Copy D:\WINDOWS\prefetch\ywucy*.pf done !
D:\WINDOWS\prefetch\ywucy*.pf deleted !
* In "D:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *
ywucy.exe found !
Copy ywucy.exe done !
ywucy.exe deleted !
ywucy.dat found !
Copy ywucy.dat done !
ywucy.dat deleted !
ywucy_nav.dat found !
Copy ywucy_nav.dat done !
ywucy_nav.dat deleted !
ywucy_navps.dat found !
Copy ywucy_navps.dat done !
ywucy_navps.dat deleted !
kcysyme_navfx.dat found !
Copy kcysyme_navfx.dat done !
kcysyme_navfx.dat deleted !
*** Copy Registry to Safebackup folder ***
Backing up Registry done !
*** Cleaning Registry ***
Registry cleaned
*** Certificates ***
Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !
*** Remaining Orphan Navipromo RUN keys ***
!! Results temporarily not threated !!
!! Following keys are not certainly all infected !!
Keys found :
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ywucy"="\"d:\\dokumente und einstellungen\\administrator\\lokale einstellungen\\anwendungsdaten\\ywucy.exe\" ywucy"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ywucy"="\"d:\\dokumente und einstellungen\\administrator\\lokale einstellungen\\anwendungsdaten\\ywucy.exe\" ywucy"
*** Search others known folders and files ***
*** Cleaning stage complete on 19.02.2009 at 17:53:17,31 ***
Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1761
Windows 5.1.2600 Service Pack 2
19.02.2009 18:20:35
mbam-log-2009-02-19 (18-20-35).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 150246
Laufzeit: 22 minute(s), 36 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter SUPERAntiSpyware Scan Log
http://w*w.superantispyware.com
Generated 02/19/2009 at 08:13 PM
Application Version : 4.25.1012
Core Rules Database Version : 3766
Trace Rules Database Version: 1726
Scan type : Complete Scan
Total Scan Time : 01:39:33
Memory items scanned : 400
Memory threats detected : 0
Registry items scanned : 4559
Registry threats detected : 1
File items scanned : 77649
File threats detected : 4
Adware.Tracking Cookie
D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@statse.webtrendslive[2].txt
D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tribalfusion[2].txt
D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@indextools[2].txt
Trojan.DNSChanger-Codec
HKU\S-1-5-21-1757981266-789336058-854245398-500\Software\fcn
Adware.Vundo/Variant-MSFake
D:\NAVILOG1\REG.EXE
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:35:48, on 19.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Google\Common\Google Updater\GoogleUpdaterService.exe D:\WINDOWS\system32\oodag.exe D:\Kopieren\Alcohol 120\StarWind\StarWindService.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\SOUNDMAN.EXE D:\Video\PowerDVD\PDVDServ.exe D:\WINDOWS\system32\igfxtray.exe D:\WINDOWS\system32\hkcmd.exe D:\FreePDF_XP\fpassist.exe D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe D:\WINDOWS\AGRSMMSG.exe D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE D:\Audio\iTunes\iTunesHelper.exe D:\System\RFA\rfagent.exe D:\Java\jre1.6.0_03\bin\jusched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe D:\Text\Klebezettel NG\klebez.exe D:\System\SUPERAntiSpyware\SUPERAntiSpyware.exe D:\iPod\bin\iPodService.exe D:\WINDOWS\system32\wuauclt.exe D:\WINDOWS\system32\wuauclt.exe D:\System\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = d:\WINDOWS\pchealth\helpctr\System\panels\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = e:\My eBooks*\Diplomarbeit\Downloads\Neuer Ordner (2)\PSP - Der Swingerclub mit Niveau im Herzen Hamburgs-Dateien\blank.htm O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] D:\Video\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LanguageShortcut] D:\Video\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [FreePDF Assistant] D:\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series (Kopie 1)] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C64 Series (Kopie 1)" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [QuickTime Task] "D:\Video\QuickTime Alternative\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Audio\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [rfagent] "D:\System\RFA\rfagent.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Klebezettel NG] "D:\Text\Klebezettel NG\klebez.exe" O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\System\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: !SASWinLogon - D:\System\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - D:\iPod\bin\iPodService.exe O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Kopieren\Alcohol 120\StarWind\StarWindService.exe -- End of file - 5369 bytes Geändert von Buuuh! (19.02.2009 um 20:48 Uhr) |
| Themen zu Probleme mit dem TR/Dropper.Gen und TR/Drop.Agent.afrd |
| .dll, 0 bytes, adware.egdaccess, antivir, avg, avgnt.exe, avira, computer, desktop, einstellungen, firefox.exe, frage, hijack.startmenu, jucheck.exe, jusched.exe, logon.exe, malwarebytes' anti-malware, microsoft, modul, neu, nt.dll, programme, prozesse, registrierungsschlüssel, registry, services.exe, software, suchlauf, svchost.exe, system volume information, tr/dropper.gen, trojan.downloader, trojaner, verweise, virus, virus gefunden, warnung, windows, winlogon.exe, wuauclt.exe |
Baum-Darstellung