Antivir meldet TR/Dropper.Gen

gudmanef · 29.03.2009, 21:29

Hi, hier das logfile:

Code:

ATTFilter

Search Navipromo version 3.7.6 began on 29.03.2009 at 22:06:32,06

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2400+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Torsten-admin ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic  6.38.1.81
 (Activated)
Firewall  : ZoneAlarm Firewall 8.0.298.000 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:34 Go (Free:16 Go)
D:\ (Local Disk) - NTFS - Total:9 Go (Free:5 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:34 Go (Free:30 Go)
G:\ (Local Disk) - NTFS - Total:78 Go (Free:32 Go)
H:\ (Local Disk) - NTFS - Total:151 Go (Free:7 Go)
I:\ (Local Disk) - NTFS - Total:7 Go (Free:7 Go)
J:\ (Local Disk) - NTFS - Total:58 Go (Free:15 Go)
K:\ (CD or DVD)
L:\ (CD or DVD)
M:\ (CD or DVD)
N:\ (CD or DVD)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Torsten-admin\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Guddy\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Guddy\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Torsten-admin\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\Guddy\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\Guddy\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cwawu"="\"c:\\dokumente und einstellungen\\torsten-admin\\lokale einstellungen\\anwendungsdaten\\cwawu.exe\" cwawu"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" : 

cwawu.exe found !
cwawu.dat found !
cwawu_nav.dat found !
cwawu_navps.dat found !

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\Guddy\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 29.03.2009 at 22:15:32,98 ***

john.doe · 29.03.2009, 21:30

Gleich nocheinmal, diesmal mit Option 2. Danach kommen keine Werbefenster mehr.

ciao, andreas

gudmanef · 29.03.2009, 21:41

Ausgeführt:

Code:

ATTFilter

Navipromo Removal version 3.7.6 started on 29.03.2009 at 22:32:56,09

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2400+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Torsten-admin ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic  6.38.1.81
 (Activated)
Firewall  : ZoneAlarm Firewall 8.0.298.000 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:34 Go (Free:16 Go)
D:\ (Local Disk) - NTFS - Total:9 Go (Free:5 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:34 Go (Free:30 Go)
G:\ (Local Disk) - NTFS - Total:78 Go (Free:32 Go)
H:\ (Local Disk) - NTFS - Total:151 Go (Free:7 Go)
I:\ (Local Disk) - NTFS - Total:7 Go (Free:7 Go)
J:\ (Local Disk) - NTFS - Total:58 Go (Free:15 Go)
K:\ (CD or DVD)
L:\ (CD or DVD)
M:\ (CD or DVD)
N:\ (CD or DVD)


Automatic removal 
with Catchme and GNS results


Cleanning stage done on Reboot

 
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" * 


* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 

* Deletion in "C:\DOKUME~1\Guddy\lokale~1\anwend~1" * 


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Torsten-admin\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\Guddy\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\Guddy\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\Torsten-admin\startm~1\progra~1" *** 


*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 


*** Deleting folders in "C:\DOKUME~1\Guddy\startm~1\progra~1" *** 



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


C:\WINDOWS\prefetch\cwawu*.pf found ! 
Copy C:\WINDOWS\prefetch\cwawu*.pf done !
C:\WINDOWS\prefetch\cwawu*.pf deleted !


* In "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" * 


cwawu.exe found ! 
Copy cwawu.exe done !
cwawu.exe deleted !

cwawu.dat found ! 
Copy cwawu.dat done !
cwawu.dat deleted !

cwawu_nav.dat found ! 
Copy cwawu_nav.dat done !
cwawu_nav.dat deleted !

cwawu_navps.dat found ! 
Copy cwawu_navps.dat done !
cwawu_navps.dat deleted !


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 



* In "C:\DOKUME~1\Guddy\lokale~1\anwend~1" * 



*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 29.03.2009 at 22:37:39,01 ***

Was ist mit den anderen Meldungen? (Dropper.Gen, RealSpy, NirCmd.exe)

john.doe · 29.03.2009, 21:56

Kommen die denn noch? Navilog wird als Nircmd erkannt. Navipromo als Dropper.Gen.

ciao, andreas

gudmanef · 30.03.2009, 21:21

Nein, die beiden nicht. Was ist mit Realspy?
Die Mails wie kann ich die mails denn löschen? sind zumindest nicht mehr in den normalen Ordnern im Thunderbird.

Grüße

Gudmanef

john.doe · 30.03.2009, 21:34

Zitat:

Was ist mit Realspy?

Bearshare hätte ich dich eh löschen lassen, also hau den weg.

Zitat:

Die Mails wie kann ich die mails denn löschen?

Hab Thunderbird hier nicht installiert. Öffne den Papierkorb von Thunderbird und lösche alles.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Klicke auf "Für alle Neuen" in meiner Signatur und arbeite die Liste unter Punkt 2 ab.

ciao, andreas

myrtille · 30.03.2009, 21:40

Thunderbird löscht aus Performancegründen Emails nicht, wenn man sie in den Mülleimer tut, sondern blendet diese nur aus.

Ruf Thunderbird auf, leere den Mülleimer und anschließend dann unter Datei auf "All Ordner des Konto komprimieren" klicken.
Danach sollten die Dateien auch verschwunden sien.

lg myrtille

Antivir meldet TR/Dropper.Gen

Log-Analyse und Auswertung: Antivir meldet TR/Dropper.Gen