Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.03.2009, 13:25   #1
SebastianN
 
TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt - Standard

TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt



Guten Tag,
ich habe heute mein WIndows XP neu installiert und natürlich auch ANtivir installiert.

Antivir zeigt mir an das "C:\Windows\system32\regedt32.exe" das Trojanische Pferd "TR/Dropper.Gen" sein soll.

Ich habe diese Datei bei Jotti.org getestet und dort kam das heraus.
Code:
ATTFilter
A-Squared  	
Keine Viren gefunden
AntiVir 	
TR/Dropper.Gen gefunden
ArcaVir 	
Keine Viren gefunden
Avast 	
Keine Viren gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Keine Viren gefunden
CPsecure 	
Keine Viren gefunden
Dr.Web 	
Keine Viren gefunden
F-Prot Antivirus 	
Keine Viren gefunden
F-Secure Anti-Virus 	
Keine Viren gefunden
Ikarus 	
Keine Viren gefunden
Kaspersky Anti-Virus 	
Keine Viren gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
Panda Antivirus 	
Keine Viren gefunden
Quick Heal 	
Keine Viren gefunden
Sophos Antivirus 	
Keine Viren gefunden
VirusBuster 	
Keine Viren gefunden
VBA32 	
Keine Viren gefunden
         
Habe auch ein HiJackThis-Logfile erstellt:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:16:51, on 16.03.2009
Platform: Windows XP SP3, v.5657 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
F:\Program Files\Steam\Steam.exe
C:\Program Files\TrueCrypt\TrueCrypt.exe
F:\Program Files\MirandaFusion\miranda32.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5186 bytes
         
Dies habe ich bei HiJackThis.de überprüft und es hat keine unsicheren Einträge gefunden.


Ich bin nun nur verwundert, da bei Jotti auch nur Antivir einen Trojaner gefunden hat?

Wisst ihr Rat?


Edit: Virustotal hat nun doch funktioniert. Dort meldet Antivir und McAfee-GW-Edition das dort ein trojaner ist.


Edit2: Lasse gerade nen Malwarebytes-Scan durchlaufen

Edit3:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1854
Windows 5.1.2600 Service Pack 3, v.5657

16.03.2009 15:00:43
mbam-log-2009-03-16 (15-00-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|I:\|)
Durchsuchte Objekte: 121817
Laufzeit: 24 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Geändert von SebastianN (16.03.2009 um 14:02 Uhr)

Alt 16.03.2009, 14:59   #2
raman
 
TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt - Standard

TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt



Zur Info, du hast dir eine Betaversion des SP3 installiert. Das solltest du aendern.

Schick die Datei mit verdacht auf Fehlalarm hier ein:

http://analysis.avira.com/samples/index.php
__________________

__________________

Alt 17.03.2009, 10:36   #3
raman
 
TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt - Standard

TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt



Kleiner Nachtrag, die MD5 der DAti waere hilfreich. Im Zweifelsfalle nochmal die Datei bei virustotal.com pruefen und den Link zum Ergebniss hier posten...
__________________
__________________

Antwort

Themen zu TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt
antivir, antivirus, avira, bho, dateien, defender, dll, explorer, firefox, hijack, hijack.startmenu, hkus\s-1-5-18, internet, internet explorer, jusched.exe, launch, malwarebytes' anti-malware, microsoft, monitor, mozilla, neu, nvidia, registrierungsschlüssel, rundll, software, system, tr/dropper.gen, trojaner, trojaner gefunden, viren, windows, windows xp



Ähnliche Themen: TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt


  1. Hyperlinks zu "find it at socialsearch.com" wird auf allen Internetseiten angezeigt
    Plagegeister aller Art und deren Bekämpfung - 20.03.2015 (17)
  2. Windows7 X64: Antivir Fund: "TR/Spy.ZBot.aaop" Meldung: Zugriff auf Datei wurde blockiert. Datei war in E-Mail- Anhang.
    Log-Analyse und Auswertung - 28.11.2013 (9)
  3. TR/Boigy.J wird von Antivir in "C:\WINDOWS\Temp\*jedes mal eine andere Datei*\plugin.dll" gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (9)
  4. virus? computer langsam und "rundll" wird bei systemstart angezeigt. wieso?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (3)
  5. "öffnen" symbol im dateiexplorer wird nicht angezeigt....sondern eine Art dos-zeichen
    Plagegeister aller Art und deren Bekämpfung - 22.08.2012 (3)
  6. Trojaner "Es besteht keine Internetverbindung" - "REATOGO X-PE Desktop" wird nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 05.02.2012 (19)
  7. W32/murofet.a wird mir durch avira antivir angezeigt
    Plagegeister aller Art und deren Bekämpfung - 13.05.2011 (1)
  8. Veetle Datei wird als Malware angezeigt
    Plagegeister aller Art und deren Bekämpfung - 14.07.2010 (5)
  9. aspimgr wird über AntiVir angezeigt
    Plagegeister aller Art und deren Bekämpfung - 07.06.2010 (13)
  10. DR\Delphi.Gen wird von Antivir angezeigt wie kann ich das Löschen ?
    Log-Analyse und Auswertung - 24.04.2010 (5)
  11. TR/Crypt.XPACK.GEN und TR/Spy.68608.8 wird von AntiVir immer angezeigt!!!
    Plagegeister aller Art und deren Bekämpfung - 17.07.2009 (5)
  12. TR/Dropper.gen wird immer wieder angezeigt
    Log-Analyse und Auswertung - 30.03.2009 (3)
  13. TR/Crypt.XPACK.Gen wird angezeigt von AntiVir...
    Log-Analyse und Auswertung - 18.09.2008 (1)
  14. TR/Monderb.33664 wird immer von Avira AntiVir angezeigt und kann nicht gelöscht werde
    Log-Analyse und Auswertung - 17.07.2008 (3)
  15. F-Secure wird ständig als "Neue Programme wurden installiert" angezeigt
    Antiviren-, Firewall- und andere Schutzprogramme - 01.05.2007 (2)
  16. Mein Antivir Programm wird nicht angezeigt
    Antiviren-, Firewall- und andere Schutzprogramme - 14.08.2005 (6)
  17. Viren/Trojaner Alarm "agobot.33.U" wird angezeigt
    Plagegeister aller Art und deren Bekämpfung - 25.11.2004 (16)

Zum Thema TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt - Guten Tag, ich habe heute mein WIndows XP neu installiert und natürlich auch ANtivir installiert. Antivir zeigt mir an das "C:\Windows\system32\regedt32.exe" das Trojanische Pferd "TR/Dropper.Gen" sein soll. Ich habe diese - TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt...
Archiv
Du betrachtest: TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.