Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Dropper.gen wird immer wieder angezeigt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.03.2009, 19:31   #1
1605mr65
 
TR/Dropper.gen wird immer wieder angezeigt - Standard

TR/Dropper.gen wird immer wieder angezeigt



Hallo,
ich bin neu in diesem Forum und hoffe mir kann jemand helfen. Ich habe schon viel gegooglt aber noch keine richtige Lösung gefunden. Auf auf unseren Clients(WinXP Pro) in einer Windows-Domäne (Server 2003) werden seit ca. 2 Wochen von AntiVir immer wieder Trojaner-Meldungen gebracht. Habe einen Rechner schon kompl. neu installiert und gescannt. Zunächst keine Funde, aber nach einiger Zeit kommt der Fund TR/Dropper.gen in c:\windows\system32\lyann.exe Konnte keine Info im Netz zu der Datei finden. Nach Quarantäne und anschließendem löschen kommt die Meldung nach einiger Zeit wieder.
Ich habe jetzt mit combofix gescannt und folgende log-Datei bekommen.

Danke im voraus für jeden Tip und Hilfe


ComboFix 09-03-19.01 - Administrator 2009-03-25 10:52:34.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1983.1483 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-25 bis 2009-03-25 ))))))))))))))))))))))))))))))
.

2009-03-20 11:04 . 2009-03-20 11:04 <DIR> d-------- c:\programme\Windows Defender
2009-03-20 10:59 . 2009-03-20 10:59 118 --a------ c:\windows\system32\MRT.INI
2009-03-20 10:56 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-03-20 10:56 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-03-20 10:56 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-03-20 10:56 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-03-20 10:56 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-03-20 10:56 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-03-20 10:56 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-03-20 10:56 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-03-20 10:56 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-03-20 10:49 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat
2009-03-20 09:54 . 2009-03-20 09:54 <DIR> d-------- c:\programme\Avira
2009-03-20 09:54 . 2009-03-20 09:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-20 09:54 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-20 09:51 . 2009-03-20 09:51 <DIR> d-------- c:\programme\RDT Global
2009-03-20 09:50 . 2009-03-20 09:50 <DIR> d-------- c:\windows\Downloaded Installations
2009-03-20 09:44 . 2009-03-20 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Danware Data
2009-03-20 09:44 . 2006-05-24 09:00 91,408 --a------ c:\windows\system32\drivers\NHOSTNT1.SYS
2009-03-20 09:44 . 2006-05-24 09:00 3,216 --a------ c:\windows\system32\drivers\NHOSTNT3.SYS
2009-03-20 09:44 . 2006-05-24 09:00 2,480 --a------ c:\windows\system32\NHOSTNT4.DLL
2009-03-20 09:43 . 2009-03-20 09:43 <DIR> d-------- c:\programme\Danware Data
2009-03-20 09:42 . 1998-07-30 18:41 306,688 --a------ c:\windows\IsUn0407.exe
2009-03-20 09:42 . 2009-03-20 09:44 161 --a------ c:\windows\NetOp.INI
2009-03-20 08:18 . 2009-03-20 08:43 <DIR> d-------- c:\programme\Macromedia
2009-03-20 08:18 . 2009-03-20 08:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macromedia
2009-03-20 08:13 . 2009-03-20 08:13 <DIR> d-------- c:\programme\Micrografx
2009-03-20 08:13 . 1996-08-16 13:49 298,496 --a------ c:\windows\uninst.exe
2009-03-20 08:13 . 1997-03-21 11:23 188,928 --a------ c:\windows\MGXBM20.DLL
2009-03-20 08:13 . 1996-10-16 15:37 172,544 --a------ c:\windows\MGXCLEAN.EXE
2009-03-20 08:13 . 1997-04-04 02:00 76,288 --a------ c:\windows\system32\PPIV20.DLL
2009-03-20 08:13 . 1997-03-20 10:51 38,400 --a------ c:\windows\MGXFRM20.DLL
2009-03-20 07:51 . 2009-03-20 07:51 <DIR> d-------- c:\programme\Zero G Registry
2009-03-20 07:49 . 2009-03-20 07:49 <DIR> d-------- c:\programme\Siemens
2009-03-20 07:49 . 2009-03-20 07:49 <DIR> d-------- c:\dokumente und einstellungen\Administrator\InstallAnywhere
2009-03-20 07:49 . 2009-03-20 07:52 <DIR> d-------- c:\dokumente und einstellungen\Administrator\.LOGOComfort5
2009-03-19 17:25 . 2009-03-20 08:12 <DIR> d-------- C:\EWB5
2009-03-19 17:25 . 2009-03-19 17:25 0 --a------ c:\windows\system\Win32s.ini
2009-03-19 17:24 . 2009-03-19 17:24 <DIR> d-------- c:\dokumente und einstellungen\Administrator\WINDOWS
2009-03-19 17:24 . 1998-06-17 14:43 246,784 --a------ c:\windows\UN160407.EXE
2009-03-19 17:13 . 2009-03-19 17:13 <DIR> d-------- c:\programme\Common Files
2009-03-19 15:05 . 2009-03-19 15:05 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Brother
2009-03-19 15:04 . 2009-03-19 15:04 416 --a------ c:\windows\BRWMARK.INI
2009-03-19 15:04 . 2009-03-19 15:04 34 --a------ c:\windows\system32\BD2150N.DAT
2009-03-19 12:49 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\windows\system32\XPSViewer
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\programme\Reference Assemblies
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\programme\MSBuild
2009-03-19 12:45 . 2009-03-19 12:45 <DIR> d-------- C:\1dca7ca99332ff13d620069ca7f5
2009-03-19 12:45 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll
2009-03-19 12:45 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll
2009-03-19 12:45 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-03-19 12:45 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll
2009-03-19 12:45 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll
2009-03-19 12:45 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll
2009-03-19 12:45 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-03-19 11:49 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-19 11:47 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-19 11:46 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-19 11:46 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-03-19 11:46 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-19 11:46 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-03-19 11:45 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-19 11:45 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-19 11:43 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-03-19 11:43 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-03-19 11:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-03-19 11:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-03-19 11:43 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-03-19 11:42 . 2009-03-19 11:42 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator\UserData
2009-03-19 08:54 . 2009-03-20 12:22 <DIR> d-------- C:\Admin
2009-03-17 07:09 . 2009-03-12 15:36 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-17 07:09 . 2009-03-25 10:53 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-17 07:09 . 2009-03-20 10:44 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-17 07:09 . 2009-03-20 11:00 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-17 07:09 . 2009-03-19 15:05 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-17 07:09 . 2009-03-25 08:12 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-03-13 09:18 . 2009-03-20 10:57 <DIR> d-------- c:\windows\system32\de-de
2009-03-13 09:17 . 2009-03-13 09:17 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-13 09:17 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2009-03-13 09:15 . 2006-12-29 00:31 19,569 --a------ c:\windows\002715_.tmp
2009-03-13 09:11 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-03-13 08:40 . 2009-03-13 08:40 <DIR> d-------- c:\programme\Foxit Software
2009-03-13 08:40 . 2009-03-13 08:40 <DIR> d-------- C:\Program Files
2009-03-13 08:33 . 2009-03-13 08:33 0 --a------ c:\windows\nsreg.dat
2009-03-13 08:02 . 2009-03-19 17:12 660 --a------ c:\windows\ODBC.INI
2009-03-13 08:02 . 2009-03-13 08:02 63 --a------ c:\windows\mdm.ini
2009-03-13 08:01 . 2009-03-20 08:13 <DIR> d-------- c:\windows\ShellNew
2009-03-13 08:00 . 2009-03-13 08:00 <DIR> d-------- c:\dokumente und einstellungen\bfs\Anwendungsdaten\Microsoft Web Folders
2009-03-13 07:58 . 2009-03-25 10:17 <DIR> d-------- c:\windows\system32\config\systemprofile\Anwendungsdaten\VMware
2009-03-13 07:57 . 2009-03-13 07:57 <DIR> d-------- c:\windows\system32\Lang
2009-03-13 07:57 . 2009-03-13 07:57 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2009-03-13 07:57 . 2009-03-13 07:57 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2009-03-13 07:56 . 2008-04-14 00:47 83,072 --a------ c:\windows\system32\drivers\wdmaud.sys
2009-03-13 07:56 . 2008-04-14 00:15 52,864 --a------ c:\windows\system32\drivers\dmusic.sys
2009-03-13 07:56 . 2006-08-01 15:02 49,152 --a------ c:\windows\system32\ChCfg.exe
2009-03-13 07:56 . 2008-04-14 00:15 6,272 --a------ c:\windows\system32\drivers\splitter.sys
2009-03-13 07:56 . 2007-11-14 15:18 553 --a------ c:\windows\USetup.iss
2009-03-13 07:55 . 2009-03-13 07:55 <DIR> d-------- c:\programme\Realtek
2009-03-13 07:16 . 2009-03-13 07:54 <DIR> d-------- c:\dokumente und einstellungen\bfs\Anwendungsdaten\VMware
2009-03-13 07:14 . 2001-08-17 13:53 4,992 --a------ c:\windows\system32\drivers\loop.sys
2009-03-13 07:14 . 2001-08-17 13:53 4,992 --a--c--- c:\windows\system32\dllcache\loop.sys
2009-03-13 07:05 . 2009-03-25 10:17 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2009-03-13 07:05 . 2009-03-19 08:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2009-03-13 07:05 . 2007-09-06 14:40 135,168 --a------ c:\windows\system32\vmnat.exe
2009-03-13 07:05 . 2007-09-06 14:40 106,496 --a------ c:\windows\system32\vmnetdhcp.exe
2009-03-13 07:05 . 2007-09-06 14:40 15,616 --a------ c:\windows\system32\drivers\vmnetuserif.sys
2009-03-13 07:05 . 2007-09-06 14:40 9,600 -ra------ c:\windows\system32\drivers\vmnetadapter.sys
2009-03-13 07:05 . 2007-09-06 14:40 5,120 -ra------ c:\windows\system32\vnetinst.dll
2009-03-13 07:04 . 2007-09-06 14:40 364,631 --a------ c:\windows\system32\vnetlib.dll
2009-03-13 07:04 . 2007-09-06 14:40 10,240 -ra------ c:\windows\system32\drivers\vmnet.sys
2009-03-13 07:04 . 2009-03-13 07:04 1,024 --a------ C:\.rnd
2009-03-13 07:01 . 2009-03-13 07:01 <DIR> d-------- c:\programme\Gemeinsame Dateien\VMware
2009-03-13 07:00 . 2009-03-13 07:00 <DIR> d-------- C:\Virtual Machines
2009-03-13 07:00 . 2009-03-13 07:00 <DIR> d-------- c:\programme\VMware
2009-03-13 06:57 . 2009-03-13 06:57 0 --a------ c:\windows\ativpsrm.bin
2009-03-13 06:54 . 2009-03-20 08:42 <DIR> d--h----- c:\programme\InstallShield Installation Information
2009-03-13 06:54 . 2009-03-13 06:54 <DIR> d-------- c:\programme\ATI Technologies
2009-03-13 06:53 . 2009-03-20 09:50 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 06:55 315,392 ----a-w c:\windows\HideWin.exe
2009-03-12 15:42 --------- d-----w c:\programme\Boot-US
2009-03-12 14:39 --------- d-----w c:\programme\microsoft frontpage
2009-03-12 14:38 --------- d-----w c:\programme\Online-Dienste
2009-03-12 14:37 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-03-20_12.27.35,18 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-20 11:19:17 81,240 ----a-w c:\windows\system32\perfc007.dat
+ 2009-03-25 09:50:04 81,240 ----a-w c:\windows\system32\perfc007.dat
- 2009-03-20 11:19:17 68,638 ----a-w c:\windows\system32\perfc009.dat
+ 2009-03-25 09:50:04 68,638 ----a-w c:\windows\system32\perfc009.dat
- 2009-03-20 11:19:17 451,502 ----a-w c:\windows\system32\perfh007.dat
+ 2009-03-25 09:50:04 451,502 ----a-w c:\windows\system32\perfh007.dat
- 2009-03-20 11:19:17 435,348 ----a-w c:\windows\system32\perfh009.dat
+ 2009-03-25 09:50:04 435,348 ----a-w c:\windows\system32\perfh009.dat
+ 2009-03-25 09:17:39 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_72c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"SystemMessageHG"="c:\programme\RDT Global\HDGUARD\\HDStat.exe" [2004-08-19 1499648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-26 c:\windows\RTHDCPL.exe]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2008-11-10 65544]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Danware Data\\NetOp School\\STUDENT\\Nstdw32.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1540:TCP"= 1540:TCP:vqzmnx

R0 IFWDHKXP;IFWDHKXP;c:\windows\system32\drivers\ifwdhkxp.sys [2004-08-27 52224]
R1 NHostNT1;NetOp Driver 1 ver. 9.00 (2006144);c:\windows\system32\drivers\NHOSTNT1.SYS [2009-03-20 91408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-20 108289]
R2 HDStatSrv_Form;HDStatSrv;c:\programme\RDT Global\HDGUARD\HDSrv.exe [2003-06-20 445952]
R2 NetOp Host for NT Service;NetOp Helper ver. 9.00 (2006144);c:\programme\Danware Data\NetOp School\STUDENT\NHOSTSVC.EXE [2009-03-20 1323280]
R2 vmserverdWin32;VMware Registration Service;c:\programme\VMware\VMware Server\vmserverdWin32.exe [2007-09-06 1650781]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 NHOSTNT3;NetOp Driver 3 ver. 9.00 (2006144) (NHOSTNT3);c:\windows\system32\drivers\NHOSTNT3.SYS [2009-03-20 3216]
S2 gvfnp;Boot Security;c:\windows\system32\svchost.exe -k netsvcs [2006-02-28 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gvfnp
.
Inhalt des "geplante Tasks" Ordners

2009-03-25 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = 10.3.1.2:8080
uInternet Settings,ProxyOverride = <local>
TCP: {0DF9CD0A-8168-49DE-B2C8-405513B0719F} = 10.3.5.38
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\51q0ww2g.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 10:53:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\TEMP\TMP000000541141511738293446 524288 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gvfnp]
"ServiceDll"="c:\windows\system32\ylann.dll"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(616)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-25 10:53:51
ComboFix-quarantined-files.txt 2009-03-25 09:53:49
ComboFix2.txt 2009-03-25 07:08:08
ComboFix3.txt 2009-03-20 11:27:58

Vor Suchlauf: 12 Verzeichnis(se), 18.272.919.552 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 18,261,557,248 Bytes frei

226

Alt 26.03.2009, 14:24   #2
Krachim
 
TR/Dropper.gen wird immer wieder angezeigt - Standard

TR/Dropper.gen wird immer wieder angezeigt



Hi Leute,
ich bin schon den ganzen Tag am Googlen - aber es scheint ja wirklich keine Patentlösung gegen diesen Störenfried zu geben.
Hier auch nochmal mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:10, on 26.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\PhoneSuite_CTI_Client\phonesuite.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4080525
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4080525
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PhoneSuite CTI Client.lnk = C:\Programme\PhoneSuite_CTI_Client\phonesuite.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/31.42/uploader2.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Achim/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 7800 bytes



Hat nicht doch mal jemand ein Patentrezept?
Knoppicilin, Adaware, Spybot, Avira etc....alle Nutzlos!
Hilfe!!!
__________________


Alt 28.03.2009, 20:03   #3
clipperd
 
TR/Dropper.gen wird immer wieder angezeigt - Standard

TR/Dropper.gen wird immer wieder angezeigt



Ich bin einer der wenigen, die über tr/dropper.gen gesiegt haben!

KA wie ich das geschafft habe, vlleicht solltet ihr dasselbe machen wie ich
__________________
__________________

Alt 30.03.2009, 12:55   #4
Krachim
 
TR/Dropper.gen wird immer wieder angezeigt - Standard

TR/Dropper.gen wird immer wieder angezeigt



Also bei mir hat Dropps sich entweder von alleine in Luft aufgelöst oder Antivir hatte ein Update gegen den Kollegen!?

(oder das Teil hat sich mittlerweile so tief verbuddelt das gar nix mehr hilft)

Auf jeden Fall wird seit 3 Tagen nichts mehr gefunden wenn ich etliche Virenprogramme durchlaufen lasse.

Meinungen?

Antwort

Themen zu TR/Dropper.gen wird immer wieder angezeigt
administrator, antivir, avg, avgnt.exe, combofix, dateien, desktop, dllcache, einstellungen, firefox, helper, immer wieder, keine funde, laufende prozesse, log-datei, logon.exe, löschen, malware, mozilla, neu, programme, rthdcpl.exe, sched.exe, security, server, server 2003, suchlauf, svchost.exe, system, system32, tcp, tr/dropper.gen, windows xp, windows\temp, winlogon.exe, winxp



Ähnliche Themen: TR/Dropper.gen wird immer wieder angezeigt


  1. Firefox lädt langsam,in bodenleiste wird immer web1security.net angezeigt
    Plagegeister aller Art und deren Bekämpfung - 12.01.2015 (5)
  2. Windows 7: Leerlauf Scan im BitDefender wird immer wieder ausgeschaltet und Browser Startseite "google" wird geändert
    Log-Analyse und Auswertung - 20.05.2014 (13)
  3. lula Free Tec Adult Downloader wird immer angezeigt
    Plagegeister aller Art und deren Bekämpfung - 02.09.2013 (11)
  4. Virus, es wird immer angezeigt: Ihr Computer ist Gesperrt!
    Log-Analyse und Auswertung - 27.12.2012 (1)
  5. C:Dokumente und Einstellung/.../ARK8D.tmp wird immer wieder angezeigt!!!
    Log-Analyse und Auswertung - 06.04.2012 (1)
  6. TR/Spy.59392.133 wird immer und immer wieder gefunden...
    Plagegeister aller Art und deren Bekämpfung - 30.10.2011 (11)
  7. TR/Dropper.gen kommt immer wieder
    Log-Analyse und Auswertung - 27.04.2011 (32)
  8. Dropper.Gen und Crypt.XPACK.Gen 3 tauchen immer wieder auf
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (3)
  9. TR/Crypt.XPACK.GEN und TR/Spy.68608.8 wird von AntiVir immer angezeigt!!!
    Plagegeister aller Art und deren Bekämpfung - 17.07.2009 (5)
  10. Taskmanager wird immer wieder deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 10.04.2009 (58)
  11. TR/Dropper.Gen wird von Antivir in der Datei "regedt32.exe angezeigt
    Plagegeister aller Art und deren Bekämpfung - 17.03.2009 (2)
  12. TR/Crypt.XPACK.Gen wird immer angezeigt???
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (12)
  13. TR/Monderb.33664 wird immer von Avira AntiVir angezeigt und kann nicht gelöscht werde
    Log-Analyse und Auswertung - 17.07.2008 (3)
  14. VPN starten von aussen / alter Pfad wird immer angezeigt
    Alles rund um Windows - 29.03.2008 (6)
  15. mein rechner wird immer noch langsamer /31 viren angezeigt / brauche hilfe
    Log-Analyse und Auswertung - 26.10.2007 (1)
  16. Immer wieder falsche Seiten angezeigt
    Plagegeister aller Art und deren Bekämpfung - 30.12.2006 (6)
  17. Trojaner SPY.VB.EH.3 wird immer wieder gefunden !
    Log-Analyse und Auswertung - 30.04.2005 (2)

Zum Thema TR/Dropper.gen wird immer wieder angezeigt - Hallo, ich bin neu in diesem Forum und hoffe mir kann jemand helfen. Ich habe schon viel gegooglt aber noch keine richtige Lösung gefunden. Auf auf unseren Clients(WinXP Pro) in - TR/Dropper.gen wird immer wieder angezeigt...
Archiv
Du betrachtest: TR/Dropper.gen wird immer wieder angezeigt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.