Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojanerfund tr/dropper.gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.07.2009, 16:16   #1
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Hilfe, ich habe mir einen Trojaner eingefangen.

Betriebssystemname Microsoft Windows XP Home Edition
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname SERVICETERMINAL
Systemhersteller VIAP4M
Systemmodell P4M266A-8235
Systemtyp X86-basierter PC
Prozessor x86 Family 15 Model 2 Stepping 9 GenuineIntel ~2203 Mhz
BIOS-Version/-Datum Award Software International, Inc. 6.00 PG, 20.03.2003
SMBIOS-Version 2.2
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername ***\***
Zeitzone Westeuropäische Sommerzeit
Gesamter realer Speicher 256,00 MB
Verfügbarer realer Speicher 11,40 MB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 617,54 MB
Auslagerungsdatei C:\pagefile.sys


Antivir antivir meldet:

TR/Dropper.Gen
Entdeckt am: 19/06/2007
Art: Trojan
Nebenart: Dropper
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.04.00.34


Beim ersten Versuch bleibt der Scanner (Filewalker) bei 62,4% hängen, kann aber gestoppt werden und ein Reparaturversuch gestartet werden.

Beim Versuch, die beschädigte Datei zu reparieren, kommt die Meldung, sie sei in die Quarantäne verschoben worden. Anschliesend läuft der Filewalker zwar über den Punkt der Fundmeldung weg weiter, bleibt dann aber wieder bei 62,4 % einfach stehen


dazu die reportdatei:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 1. Juli 2009 23:57

Es wird nach 1442962 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SPRECHZIMMER

Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 20.06.2009 15:41:49
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 11:43:56
ANTIVIR2.VDF : 7.1.4.133 2048 Bytes 24.06.2009 11:43:56
ANTIVIR3.VDF : 7.1.4.165 278528 Bytes 01.07.2009 21:29:17
Engineversion : 8.2.0.199
AEVDF.DLL : 8.1.1.1 106868 Bytes 26.05.2009 21:13:50
AESCRIPT.DLL : 8.1.2.10 418171 Bytes 26.06.2009 11:44:03
AESCN.DLL : 8.1.2.3 127347 Bytes 26.05.2009 21:13:49
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.18 401783 Bytes 03.06.2009 13:05:29
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 20.06.2009 15:41:48
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 28.06.2009 15:54:33
AEHELP.DLL : 8.1.3.6 205174 Bytes 20.06.2009 15:41:48
AEGEN.DLL : 8.1.1.46 348533 Bytes 20.06.2009 15:41:48
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 03.06.2009 13:05:29
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 20.06.2009 15:41:48
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 1. Juli 2009 23:57

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '32764' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkDStore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fbserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'FjtwSetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FtLnSOP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opware32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fbguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'adminsvcff.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.


Ende des Suchlaufs: Donnerstag, 2. Juli 2009 00:21
Benötigte Zeit: 23:28 Minute(n)

Der Suchlauf wurde abgebrochen!

3103 Verzeichnisse wurden überprüft
198189 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
198188 Dateien ohne Befall
3972 Archive wurden durchsucht
1 Warnungen
1 Hinweise
32764 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Danach lässt der Filewalker sich gar nicht mehr beenden, auch auf Beendigungsversuch über den Taskmanager erscheint nur die (windows-)Meldung:

"Das Programm kann nicht beendet werden,, weil es durch das System gesperrt ist"



(Weiteres Herumsuchen meinerseits in den Antivirprotokollen bring die Meldung, dass schon vor einiger zeit ein Virusfund germacht wurde, der hat aber doch wahrscheinlich nichts mit dem jetzigen Problem zu tun?

Im „Guard“:
In der Datei 'C:\System Volume Information\_restore{9F816BC2-1D94-40AE-B04D-78095F3B9D2A}\RP145\A0024761.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.Reboot.J' [riskware] gefunden.
Ausgeführte Aktion: Zugriff verweigern)


Nach dem gescheiterten Versuch, das Problem mit dem Antivir-Programm zu lösen, habe ich herumgegoogelt, Eure Seite gefunden, mich registriert und versucht , den Anleitungen zu folgen. Leider ging das nicht so, wie geplant

a.) Reinigung mit Cclean:
Sieht erstmal ganz gut aus, cclean kann nur zwei Fehler nicht beheben:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Ungültiges Standardsymbol C:\Programme\Zone Labs\ZoneAlarm\UpdClient.exe,-279 HKCR\ZAMailSafe\DefaultIcon


b.) Scan mit Mawarbytes Anti Malware
MAM läuft ca 14 min u. bleibt dann einfach stehen. Das Programm lässt sich auf keine Weise (außer herunterfahren des Rechners) stoppen, eine Reportdatei kann somit nicht erstellt werden.




c.) Hijackthis bringt folgendes logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:15, on 01.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe
C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [FtLnSOP_setup] C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe
O4 - HKLM\..\Run: [FJTWAIN Setup] C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe /Station
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6DD2D02-2D08-4EB1-BFF4-B760F1ADAE3C}: NameServer = 213.191.92.86 62.109.123.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{D48B98ED-7983-4614-A892-F3A166035109}: NameServer = 0.0.0.0
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6716 bytes



d.) Das ist die UnInstall list:

Adobe Acrobat 5.0
Adobe Acrobat 7.1.0 Standard - English, Français, Deutsch
Adobe Flash Player Plugin
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!
AVM FRITZ! LAN Assistent
boso USB Serial Converter Drivers
Bullzip PDF Printer 6.0.0.702
Canon CanoScan Toolbox 4.1
Canon iP4200
Canon iP4300
Canon Setup Utility 2.0
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
CanoScan LiDE20,30 Manual
CCleaner (remove only)
CD-LabelPrint
CompuGROUP Java 1.6.0.11.1
Copy File Name 2.0.0.7
EasyWare USB Drivers
EasyWare V2.9.2.0 Rev B
Easy-WebPrint
Error Recovery Guide
Firebird 1.5.4
GMX Firefox Browser Update
GMX Firefox Paket
GPL Ghostscript Lite 8.63
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
ifap index® PRAXIS
Java(TM) SE Runtime Environment 6 Update 1
Malwarebytes' Anti-Malware
Microsoft Encarta Enzyklopädie 2004
Microsoft Picture It! Foto Premium 9
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Word 2002
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (3.0.11)
Mozilla Thunderbird (2.0.0.22)
Nero - Burning Rom
NVIDIA Drivers
OmniPage SE
phase5
praxisCENTER
Realtek High Definition Audio Driver
ScandAll 21
Scanner Utility for Microsoft Windows
Setup-Start von Microsoft Works 2004
Shockwave
Software Operation Panel
StarMoney 6.0 apoEdition
telemed.net
TurboMed
Ulead Photo Explorer 8.0 SE Basic
Windows Driver Package - boso CDM Driver Package (05/19/2006 2.00.00)
Windows Driver Package - boso CDM Driver Package (05/19/2006 2.00.00)
Windows XP Service Pack 3
ZoneAlarm

Ich hoffe, meine Angaben sind verständlich und können jemanden helfen, mir selbst zu helfen. Im Vorraus meinen riesengroßen Dank http://www.trojaner-board.de/images/smilies/taenzer.gif! Bitte teilt mir auch mit, ob ich momentan mit dem Rechner überhaupt noch arbeiten soll, ins Netz gehen kann usw. (meine Frau nervt, weil sich die Buchhaltung (!) und Überweisungen (!) machen will… Bin wahnsinnig gespannt auf Antworten!

Grüße Makagucaflo

Geändert von makagucaflo (02.07.2009 um 16:23 Uhr)

Alt 02.07.2009, 19:26   #2
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Muss mich nochmal melden: habe nun festgestellt, das Malwarebyte doch einige Protokolle erstellt hat, wobei wie gesagt, das Programm immer irgendwann hängenblieb und nur noch durch langes Drücken auf den netzschalter auszuschalten war. Hier die files:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2353
Windows 5.1.2600 Service Pack 3

29.06.2009 23:05:16
mbam-log-2009-06-29 (23-05-16).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 93970
Laufzeit: 3 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


und ein späteres File:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2353
Windows 5.1.2600 Service Pack 3

30.06.2009 07:17:18
mbam-log-2009-06-30 (07-17-18).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 13064
Laufzeit: 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Please help!

Makagucaflo
__________________


Alt 02.07.2009, 20:23   #3
john.doe
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Hallo, Gruß nach Hamburg und

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Deinstalliere:3.) Installiere (Toolbars immer abwählen, Haken weg):4.) Start HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle O2, O3, O8 und O9-Einträge
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')		
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')		
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')		
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?		
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{D48B98ED-7983-4614-A892-F3A166035109}: NameServer = 0.0.0.0
         
=> Fix checked => Neustart

5.) Versuche es noch einmal mit Malwarebytes.

6.) Poste ein neues HJT-Log.

ciao, andreas
__________________
__________________

Alt 14.07.2009, 00:05   #4
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Hallo john.doe (oder Andreas? - und wieso eigentlich Grüße nach Hamburg??),

vielen vielen Dank für deine Hilfe und sorry, dass ich mich so lange nicht gemeldet habe, hatte viel Stress auf Arbeit und traute mich bis heute nicht an die Kiste. Immerhin hab´ich´s heute wider Erwarten geschafft, die Anleitung abzuarbeiten, und wie ich hoffe, vielleicht sogar erfolgreich. hier sind meine files:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:56:57, on 13.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:


--
End of file - 4963 bytes

dazu noch den Report vom mwb:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 5.1.2600 Service Pack 3

13.07.2009 16:30:22
mbam-log-2009-07-13 (16-30-22).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 242861
Laufzeit: 1 hour(s), 51 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
e:\WINDOWS\jestertb.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Ich warte jetzt noch sehnsuchtsvoll auf die Nachricht, dass alles wieder Gut ist....

BTW, was ist nun mit meiner Firewall? soll ich die Windows-FW nutzen oder gibt´s da was bessres? Und was mach ich mit meinem adobeacrobat? ein einfacher reader reicht mir nicht, kann ich den Acrobat jetzt einfach wieder installieren?

Bitte noch einmal um Antwort und nochmal vielen, vielen Dank für die Hilfe!!!!

PS: bin immer noch zu blöd, im forum die Antworten (angeblich 4) auf meine beiträge zu finden...

Geändert von makagucaflo (14.07.2009 um 00:51 Uhr)

Alt 14.07.2009, 00:15   #5
john.doe
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Moin,
klicke auf Editieren und entferne die Links aus deinem Log.
Zitat:
und wieso eigentlich Grüße nach Hamburg?
Der IP nach ist dein Provider Alice in Hamburg.
Zitat:
soll ich die Windows-FW nutzen
Ja.
Zitat:
kann ich den Acrobat jetzt einfach wieder installieren?
Ja, aber besorge dir die aktuelle Version vom Acrobat-Support.

Läuft Avira denn mittlerweile wieder komplett durch?

ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 14.07.2009, 01:00   #6
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



nochmals danke für die schnelle Antwort, habe aber wieder mal gemerkt, dass ich zu unwissend für die ganze Kompjuterei bin; dachte ja eigentlich es geht nur um die Hyperlinks - also was, was nach meinem Verständnis mit http:www... anfange müsste, was ich aber in meinen logs nicht gefunden habe. Wenn aber mit link jedweder datenpfad gemeint ist, dann betrifft das doch fast alles, was im log steht, oder? Habe jetzt jedenfalls vorsichtshalber das alles rausgelöscht, was sicher falsch ist, aber ich kapier´s halt nicht...
Übrigens, der Avira ist glatt durchgelaufen, hat aber einen neuen Trojaner gefunden (TR/trasch.gen), avira und mwb-report sowie hjt-logfile bring ich morgen in einem neuen Beitrag, muss jetzt einfach mal ins Bett...
Viele Grüße!
Makagucaflo

Alt 14.07.2009, 16:33   #7
john.doe
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Es geht um aktive Links, also alles, was blau ist und sich anklicken lässt.
Zitat:
hat aber einen neuen Trojaner gefunden (TR/trasch.gen)
Das ist eine Falschmeldung von Avira, die erkennen auch die Setupdatei von Malwarebytes als Trash.gen.
Zitat:
avira und mwb-report sowie hjt-logfile bring ich morgen in einem neuen Beitrag
Wäre schön gewesen, du hast einen zweiten Beitrag zu dem Thema aufgemacht und das verstößt gegen die Regeln, denen du bei der Anmeldung zugestimmt hast.


ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 15.07.2009, 00:39   #8
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



´Sags ja, ich bin eben doch zu dumm für dat janze - ich dachte Thema wäre das, was in der überschrift steht (also trojanerfund tr/dropper.gen vs trojanerfund/trash.gen) und wollte die beiden Sachen voneinander getrennt halten - wieso sind das zwei beiträge zum gleichen Thema? Hat´s Sinn, die files trotzdem noch zu posten?

Gruß Makagucaflo

Alt 17.07.2009, 00:29   #9
john.doe
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Ja. Ein User, ein Thema und du darfst erst dann gehen, wenn da steht: Du bist entlassen.

Für eine Falschmeldung ein neues Thema aufzumachen ist nicht sinnvoll. Wir ziehen die Sache jetzt bis zum Ende durch.

Also poste alle Logs, damit ich sehen kann, ob wieder alles in Ordnung ist.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 24.07.2009, 08:08   #10
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



war ´ne Woche weg und hatte jetzt schon wieder am Rechner gearbeitet, deshalb wieder ne Verzögerung; hier meine Files; hjt gibt eine mir unverständliche Warnmeldung, gemäß der ich einige Zeilen (welche?) löschen soll und irgendwelche hosts files umbenennen soll (die ich anscheinend suchen soll mit dem Befehl "notepad C:\w***ws\sys***32\drivers\etc\hosts" -ist das überhaupt ein ausführbarer Befehl? - ich hab mal lieber die Finger von allem gelassen und poste meine files!

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 5.1.2600 Service Pack 3

24.07.2009 08:04:39
mbam-log-2009-07-24 (08-04-39).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Logfile of Trend Micro Hij***ackThis v2.0.2
Scan saved at 08:24:26, on 24.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\W***INDOWS\Explorer.EXE
C:\W***INDOWS\RTHDCPL.EXE
C:\Pr***ogramme\ScanSoft\OmniPageSE\opware32.exe
C:\W***INDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe
C:\W***INDOWS\Twain_32\fjscan32\FjtwSetup.exe
C:\Pr***ogramme\Avira\AntiVir Desktop\avgnt.exe
C:\W***INDOWS\system32\ctfmon.exe
c:\p***rogramme\avira\antivir desktop\avcenter.exe
C:\Pr***ogramme\Mozilla Firefox\firefox.exe
C:\Pr***ogramme\Malwarebytes' Anti-Malware\mbam.exe
C:\Pr***ogramme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**ttp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [FtLnSOP_setup] C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe
O4 - HKLM\..\Run: [FJTWAIN Setup] C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe /Station
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6DD2D02-2D08-4EB1-BFF4-B760F1ADAE3C}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4053 bytes

Geändert von makagucaflo (24.07.2009 um 08:37 Uhr)

Alt 24.07.2009, 18:10   #11
john.doe
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Gibt des denn noch Probleme oder Meldungen?

Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R0, R1, O2, O8 und O9-Einträge
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
         
=> Fix checked => Neustart

Poste die beiden Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 25.07.2009, 00:04   #12
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



hier das logfile von RSIT
Logfile of random's system information tool 1.06 (written by random/random)
Run by A**t at 2009-07-24 23:48:38
Microsoft Windows XP Professional Service Pack 3
System drive C: has 219 GB (92%) free of 238 GB
Total RAM: 895 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:48:47, on 24.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\E***rn\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\A***.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://169.254.103.99/
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [FtLnSOP_setup] C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe
O4 - HKLM\..\Run: [FJTWAIN Setup] C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe /Station
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-436374069-1801674531-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Eltern')
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6DD2D02-2D08-4EB1-BFF4-B760F1ADAE3C}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6699 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-13 41368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-13 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2007-04-20 8429568]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\System32\NvMcTray.dll [2007-04-20 81920]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-07-05 16380416]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2007-06-15 1826816]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
"Omnipage"=C:\Programme\ScanSoft\OmniPageSE\opware32.exe [2002-06-03 49152]
"FtLnSOP_setup"=C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe [2005-01-06 212992]
"FJTWAIN Setup"=C:\WINDOWS\Twain_32\fjscan32\FjtwSetup.exe [2004-09-01 126976]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"NeroCheck"=C:\WINDOWS\system32\\NeroCheck.exe [2001-07-09 155648]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-13 148888]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-07-13 414992]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=
scecli
scecli
scecli

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\TurboMed\Programm\FastObjectsServer.exe"="C:\TurboMed\Programm\FastObjectsServer.exe:*:Enabled:FastObjects Server 10"
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\gmx_Update.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\gmx_Update.exe:*:Enabled:GMX Update"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-07-24 08:41:06 ----D---- C:\Dokumente und Einstellungen\Arzt\Anwendungsdaten\Malwarebytes
2009-07-15 11:33:24 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-15 11:33:20 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-15 11:32:15 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-14 11:47:29 ----D---- C:\rsit
2009-07-14 03:00:17 ----D---- C:\WINDOWS\ie8updates
2009-07-13 14:04:13 ----A---- C:\WINDOWS\system32\javaws.exe
2009-07-13 14:04:13 ----A---- C:\WINDOWS\system32\javaw.exe
2009-07-13 14:04:13 ----A---- C:\WINDOWS\system32\java.exe
2009-07-13 14:04:13 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-07-13 14:04:03 ----D---- C:\Programme\Java
2009-07-13 13:51:50 ----D---- C:\Programme\Foxit Software
2009-07-13 13:43:00 ----D---- C:\WINDOWS\WBEM
2009-07-13 13:42:01 ----HDC---- C:\WINDOWS\ie8
2009-07-13 13:03:27 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-08 17:27:17 ----D---- C:\WINDOWS\system32\KB905474
2009-07-03 14:28:00 ----A---- C:\WINDOWS\DEINSTAL.INI
2009-07-03 14:27:51 ----D---- C:\DATEV
2009-07-03 14:19:44 ----A---- C:\WINDOWS\DvInit.exe
2009-07-03 14:19:41 ----A---- C:\WINDOWS\unin0407.exe
2009-07-03 12:35:56 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-07-03 12:35:51 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-07-03 12:35:46 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-07-03 12:35:42 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-07-03 12:35:37 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-07-03 12:35:33 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-07-03 12:35:28 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-07-03 12:35:19 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-07-03 12:35:13 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-07-03 12:35:09 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-07-03 12:34:58 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-07-03 12:34:51 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-07-03 12:34:42 ----HDC---- C:\WINDOWS\$NtUninstallKB969897$
2009-07-03 12:34:37 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-07-03 12:34:31 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-07-03 12:34:26 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-07-03 12:34:22 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-07-03 12:34:18 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-07-03 12:34:13 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-07-03 12:34:09 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-07-03 12:34:03 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-07-03 12:33:58 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
2009-07-03 12:33:53 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-07-03 12:33:49 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-07-03 12:33:43 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-07-03 12:33:38 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-07-03 12:33:32 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-07-03 12:33:28 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-07-03 12:33:23 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-07-03 12:33:18 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-07-03 12:33:14 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-07-03 12:33:09 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-07-03 12:33:04 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-07-03 12:33:01 ----D---- C:\Programme\MSXML 4.0
2009-07-03 12:32:49 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-07-03 10:59:13 ----A---- C:\WINDOWS\imsins.BAK
2009-07-03 10:59:10 ----D---- C:\WINDOWS\system32\PreInstall
2009-07-03 10:59:08 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-07-02 07:06:12 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-02 03:31:36 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2009-07-01 23:11:57 ----D---- C:\Programme\Trend Micro
2009-07-01 22:35:45 ----D---- C:\Programme\CCleaner
2009-06-29 22:50:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

======List of files/folders modified in the last 1 months======

2009-07-24 23:47:59 ----D---- C:\WINDOWS\system32
2009-07-24 23:47:59 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-24 23:44:32 ----D---- C:\WINDOWS\Temp
2009-07-24 23:44:09 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-24 23:43:03 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-24 23:41:24 ----D---- C:\WINDOWS\Prefetch
2009-07-24 08:41:33 ----D---- C:\WINDOWS\system32\drivers
2009-07-18 10:38:47 ----D---- C:\Programme\StarMoney 6.0 apoEdition
2009-07-15 11:52:20 ----HD---- C:\WINDOWS\inf
2009-07-15 11:43:04 ----SD---- C:\Dokumente und Einstellungen\Arzt\Anwendungsdaten\Microsoft
2009-07-15 11:42:26 ----D---- C:\WINDOWS
2009-07-15 11:33:24 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-15 11:33:21 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-15 11:31:02 ----SHD---- C:\WINDOWS\Installer
2009-07-15 09:37:12 ----D---- C:\Programme\Mozilla Thunderbird
2009-07-15 09:16:06 ----D---- C:\Programme\Mozilla Firefox
2009-07-14 12:31:33 ----SHD---- C:\System Volume Information
2009-07-14 12:31:33 ----D---- C:\WINDOWS\system32\Restore
2009-07-14 03:00:26 ----D---- C:\Programme\Internet Explorer
2009-07-13 22:52:09 ----D---- C:\WINDOWS\system32\de-de
2009-07-13 22:52:08 ----D---- C:\WINDOWS\Help
2009-07-13 14:04:03 ----RD---- C:\Programme
2009-07-13 13:43:03 ----D---- C:\WINDOWS\system32\config
2009-07-13 13:42:54 ----D---- C:\WINDOWS\Media
2009-07-13 13:38:46 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-07-13 13:38:46 ----D---- C:\Programme\Adobe
2009-07-13 13:37:53 ----D---- C:\WINDOWS\Internet Logs
2009-07-13 13:35:05 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-13 13:31:44 ----D---- C:\WINDOWS\WinSxS
2009-07-13 13:30:41 ----RSD---- C:\WINDOWS\Fonts
2009-07-13 13:03:29 ----D---- C:\WINDOWS\Debug
2009-07-08 17:27:17 ----SD---- C:\WINDOWS\Tasks
2009-07-03 14:25:03 ----A---- C:\WINDOWS\ODBC.INI
2009-07-03 14:24:30 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-03 14:24:27 ----D---- C:\WINDOWS\ShellNew
2009-07-03 14:22:06 ----D---- C:\WINDOWS\system
2009-07-03 12:37:08 ----D---- C:\WINDOWS\system32\wbem
2009-07-03 12:37:07 ----D---- C:\WINDOWS\AppPatch
2009-07-03 12:35:43 ----D---- C:\Programme\Messenger
2009-07-02 03:32:06 ----D---- C:\WINDOWS\SoftwareDistribution
2009-06-29 22:52:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox
2009-06-27 13:56:19 ----A---- C:\WINDOWS\PEX.INI
2009-06-27 13:56:14 ----A---- C:\WINDOWS\Ulead32.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-20 28520]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\System32\DRIVERS\wmiacpi.sys [2008-04-14 8832]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 AVMPORT;AVMPORT; C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 59520]
R2 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2003-04-02 5888]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-07-10 4449280]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2007-04-20 6728032]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [2007-03-06 58752]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [2007-03-06 19968]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S1 Tosrfcom;Bluetooth RFCOMM; C:\WINDOWS\System32\Drivers\tosrfcom.sys []
S3 FTD2XX;FTD2XX.SYS FT8U2XX device driver; C:\WINDOWS\System32\Drivers\FTD2XX.sys [2004-10-15 29292]
S3 FTDIBUS;boso USB Serial Converter Driver; C:\WINDOWS\system32\drivers\ftdibus.sys [2006-05-18 47249]
S3 FTSER2K;USB Serial Port Driver; C:\WINDOWS\system32\drivers\ftser2k.sys [2006-05-18 61067]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNMp50.sys []
S3 PDNSp50;PDNSp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNSp50.sys []
S3 toshidpt;Bluetooth HID Port; C:\WINDOWS\system32\drivers\Toshidpt.sys []
S3 tosporte;Bluetooth COM Port; C:\WINDOWS\system32\DRIVERS\tosporte.sys []
S3 tosrfbd;Bluetooth RFBUS; C:\WINDOWS\system32\DRIVERS\tosrfbd.sys []
S3 tosrfbnp;Bluetooth RFBNEP; C:\WINDOWS\System32\Drivers\tosrfbnp.sys []
S3 Tosrfhid;Bluetooth RFHID; C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys []
S3 tosrfnds;Bluetooth Personal Area Network; C:\WINDOWS\system32\DRIVERS\tosrfnds.sys []
S3 TosRfSnd;Bluetooth Audio; C:\WINDOWS\system32\drivers\tosrfsnd.sys []
S3 tosrfusb;Bluetooth USB Controller; C:\WINDOWS\system32\DRIVERS\tosrfusb.sys []
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AdminSVCff;GMX Firefox Update; C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe [2006-10-31 180224]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-20 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-06-20 185089]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance; C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2007-01-31 65536]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-13 152984]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2007-04-20 163908]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance; C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2007-01-31 1527893]

-----------------EOF-----------------

Alt 25.07.2009, 00:06   #13
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



und hier das info von RSIT
info.txt logfile of random's system information tool 1.06 2009-07-14 11:47:31

======Uninstall list======

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{580E9BBC-A51E-4AE9-A977-7B0939BEDAD3}\Setup.exe" -l0x7 UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
AVM FRITZ! LAN Assistent-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\FRITZ!\FRITZ! LAN\Uninst.isu"
AVM FRITZ!-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!\Uninst.isu -cC:\Programme\FRITZ!\UNINST.DLL
boso USB Serial Converter Drivers-->C:\WINDOWS\system32\bosounin.exe C:\WINDOWS\system32\ftdiun2k.ini
Bullzip PDF Printer 6.0.0.702-->"C:\Programme\Bullzip\PDF Printer\unins000.exe"
Canon CanoScan Toolbox 4.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BCE46757-7674-4416-BEDB-68205A60409E}\setup.exe" -l0x7
Canon iP4200-->C:\WINDOWS\system32\CNMCP78.exe "-PRINTERNAMECanon iP4200" "-HELPERDLLC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINDOWS\Canon iP4200 Installer\Inst2\cnmis.dll" "-RCDLLcnmi0407.dll"
Canon iP4300-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300 /L0x0007
Canon Setup Utility 2.0-->"C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.0\uninst.ini
Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities Easy-PrintToolBox-->C:\WINDOWS\BJPSUNST.EXE
CanoScan LiDE20,30 Manual-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B360A8E5-C171-4AAE-9777-65B3CDB0072C}\setup.exe" -l0x7
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CD-LabelPrint-->"C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
CompuGROUP Java 1.6.0.11.1-->"C:\Programme\CG\Java\unins000.exe"
Copy File Name 2.0.0.7-->"C:\Programme\Bullzip\Copy File Name\unins000.exe"
DATEV Kassenerfassung für Office V.1.22-->C:\DATEV\PROGRAMM\Kassenerfassung\DEINSTAL.EXE -FDATEV -KT0000080 -V1.0
EasyWare USB Drivers-->C:\WINDOWS\system32\FTDIUNIN.exe C:\WINDOWS\system32\FTD2XXUN.INI
EasyWare V2.9.2.0 Rev B-->MsiExec.exe /X{4DA02862-0BB9-4BF1-B46A-3CB827C2B323}
Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
Error Recovery Guide-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9DD19562-CB7B-45E3-8041-58070274FB78}\Setup.exe" -l0x7 UNINSTALL
Firebird 1.5.4-->C:\Programme\Firebird\Firebird_1_5\unins000.exe
Foxit Reader-->C:\Programme\Foxit Software\Foxit Reader\Uninstall.exe
GMX Firefox Browser Update-->C:\WINDOWS\system32\RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\ff_gmx_update.inf, RemoveInstall.NTx86
GMX Firefox Paket-->MsiExec.exe /X{11BBAE1C-27AE-4ABA-A54C-9FFE3844CCEC}
GPL Ghostscript Lite 8.63-->"C:\Programme\GSLITE\unins000.exe"
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ifap index® PRAXIS-->C:\WINDOWS\IsUn0407.exe -fC:\Ifapwin\Uninst.isu
Java(TM) 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Encarta Enzyklopädie 2004-->MsiExec.exe /I{04440040-9149-45C6-A806-F2BF9CFCE762}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Picture It! Foto Premium 9-->C:\WINDOWS\system32\msiexec.exe /i {DBA8B9E1-C6FF-4624-9598-73D3B41A0903}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Word 2002-->MsiExec.exe /I{901B0407-6000-11D3-8CFE-0050048383C9}
Microsoft Works Suite-Add-Ins für Microsoft Word-->MsiExec.exe /I{4EAD2E21-1D4A-4E2B-A082-8D08961539C9}
Microsoft Works-->MsiExec.exe /I{5B680750-760B-49E4-81E7-21B2B337F9F7}
Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.22)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
NVIDIA Drivers-->C:\WINDOWS\System32\nvudisp.exe UninstallGUI
OmniPage SE-->MsiExec.exe /I{6249C22D-E6A8-407B-BA8B-40298848ED94}
phase5-->"C:\Programme\phase5\uninstall.exe"
praxisCENTER-->C:\Programme\InstallShield Installation Information\{F01F2A23-F232-4B32-BE1B-34AAD4263E3E}\setup3.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly
ScandAll 21-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AEFF1CC5-2774-4EAE-A19F-8A86F2E9EFDB}\Setup.exe" -l0x7 UNINSTALL
Scanner Utility for Microsoft Windows-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{580E9BBC-A51E-4AE9-A977-7B0939BEDAD3}\Setup.exe" -l0x7 UNINSTALL
Setup-Start von Microsoft Works 2004-->C:\Programme\Microsoft Works Suite 2004\Setup\Launcher.exe /ARP D:\
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Software Operation Panel-->C:\WINDOWS\UninstOP.exe
StarMoney 6.0 apoEdition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{978693C9-1B23-4B6D-BFED-FD8408379F14}\setup.exe" -l0x7 -removeonly
telemed.net-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B02B2154-7774-4EA3-9311-8F86B5B7F61D}\Setup.exe" -l0x7
TurboMed-->C:\WINDOWS\IsUn0407.exe -fC:\TurboMed\Uninst.isu
Ulead Photo Explorer 8.0 SE Basic-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D271DAE0-8D68-4C97-8356-A126D48A1D8C}\setup.exe" -l0x7
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Windows Driver Package - boso CDM Driver Package (05/19/2006 2.00.00)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DpInst.exe /u C:\WINDOWS\system32\DRVSTORE\bosobus_41D0094FD82F5ACEF718F53EE402A5C1DA98AD8F\bosobus.inf
Windows Driver Package - boso CDM Driver Package (05/19/2006 2.00.00)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DpInst.exe /u C:\WINDOWS\system32\DRVSTORE\bosoport_350623C56B97DFD1EB0CF43C088F965E0305F4FD\bosoport.inf
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

=====HijackThis Backups=====

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') [2009-07-13]
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-07-13]
O17 - HKLM\System\CCS\Services\Tcpip\..\{D48B98ED-7983-4614-A892-F3A166035109}: NameServer = 0.0.0.0 [2009-07-13]
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') [2009-07-13]

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: S***IMMER
Event Code: 7036
Message: Dienst "HID Input Service" befindet sich jetzt im Status "Ausgeführt".

Record Number: 3814
Source Name: Service Control Manager
Time Written: 20090421122301.000000+120
Event Type: Informationen
User:

Computer Name: S***IMMER
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "HID Input Service" gesendet.

Record Number: 3813
Source Name: Service Control Manager
Time Written: 20090421122301.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: S***IMMER
Event Code: 29
Message: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen
konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb
der nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung
mit der Quelle herzustellen.
Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Record Number: 3812
Source Name: W32Time
Time Written: 20090421122058.000000+120
Event Type: Fehler
User:

Computer Name: S***IMMER
Event Code: 17
Message: Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer
"time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten
wiederholt.
Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751)

Record Number: 3811
Source Name: W32Time
Time Written: 20090421122058.000000+120
Event Type: Fehler
User:

Computer Name: S***IMMER
Event Code: 7036
Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 3810
Source Name: Service Control Manager
Time Written: 20090421122053.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: S***IMMER
Event Code: 251
Message:
Record Number: 1244
Source Name: FirebirdGuardianDefaultInstance
Time Written: 20090505065752.000000+120
Event Type: Informationen
User:

Computer Name: S****IMMER
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 1243
Source Name: SecurityCenter
Time Written: 20090505065748.000000+120
Event Type: Informationen
User:

Computer Name: SPRECHZIMMER
Event Code: 0
Message:
Record Number: 1242
Source Name: TOSHIBA Bluetooth Service
Time Written: 20090505065748.000000+120
Event Type: Informationen
User:

Computer Name: SPRECHZIMMER
Event Code: 100
Message: Service started sucessfuly

Modul: adminsvcff

For more information, see Help and Support Service at W**.DE - E-Mail - Suche - DSL - Modem - Shopping - Entertainment



Record Number: 1241
Source Name: Web.de Update Service (AdminSVC)
Time Written: 20090505065748.000000+120
Event Type: Informationen
User:

Computer Name: S****IMMER
Event Code: 101
Message: wuauclt (260) Das Datenbankmodul wurde beendet.

Record Number: 1240
Source Name: ESENT
Time Written: 20090504074015.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD;C:\Programme\AIS.net;C:\DATEV\SYSTEM
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=6b02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------

Ciao und thanks von Makagucaflo!

Geändert von makagucaflo (25.07.2009 um 00:20 Uhr)

Alt 25.07.2009, 00:25   #14
john.doe
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



Firebird ist veraltet, die Web.de-Software ist mir suspekt, aber ansonsten ist alles sauber.

Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen?

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 25.07.2009, 11:36   #15
makagucaflo
 
Trojanerfund tr/dropper.gen - Standard

Trojanerfund tr/dropper.gen



firebird wird natürlich geupdated, was web.de ist, weiß ich auch nicht - kann ich das irgendwie deinstallieren? - ansonsten habe ich derzeit keine Auffälligkeiten feststellen können - bin jetzt erstmal wieder für ne Woche weg. Tschüß und nochmals danke!

Makagucaflo

Antwort

Themen zu Trojanerfund tr/dropper.gen
1.exe, antivir, antivir guard, antivir meldet, avgnt.exe, bho, browser, converter, desktop, fehler, firefox, flash player, fundmeldung, handel, hijack, hijackthis, hkus\s-1-5-18, home, hängen, konvertieren, logfile, logon.exe, notepad.exe, nt.dll, pdf-datei, problem, registry, riskware, rthdcpl.exe, scan, sched.exe, software, suchlauf, svchost.exe, system gesperrt, taskmanager, trojaner, trojanerfund, usb, versteckte objekte, verweise, virus gefunden, windows, windows xp



Ähnliche Themen: Trojanerfund tr/dropper.gen


  1. Windows XP: Trojanerfund
    Log-Analyse und Auswertung - 26.02.2015 (5)
  2. Dropper- und Trojanerfund durch avast und malware bytes
    Plagegeister aller Art und deren Bekämpfung - 24.07.2014 (13)
  3. Hilfe....Trojanerfund
    Plagegeister aller Art und deren Bekämpfung - 06.11.2013 (7)
  4. Trojanerfund
    Log-Analyse und Auswertung - 23.07.2013 (12)
  5. Trojanerfund auf Mac
    Alles rund um Mac OSX & Linux - 22.02.2013 (3)
  6. Trojanerfund + 80 Leerlaufprozesse
    Log-Analyse und Auswertung - 29.02.2012 (22)
  7. Accent doppelt und Trojanerfund
    Log-Analyse und Auswertung - 09.08.2011 (5)
  8. Trojanerfund auf meinem Desktop PC
    Antiviren-, Firewall- und andere Schutzprogramme - 31.12.2009 (1)
  9. Trojanerfund
    Log-Analyse und Auswertung - 18.10.2009 (5)
  10. Trojanerfund
    Plagegeister aller Art und deren Bekämpfung - 13.10.2009 (5)
  11. Trojanerfund Spy.Gen
    Log-Analyse und Auswertung - 19.05.2008 (13)
  12. Trojanerfund(e)
    Log-Analyse und Auswertung - 18.05.2008 (10)
  13. Trojanerfund TR/Vundo.DWB
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (0)
  14. !!!!!!Trojanerfund von Anti-Vir!!!!!!
    Log-Analyse und Auswertung - 29.09.2007 (7)
  15. Trojanerfund bei Navigationsgerät
    Plagegeister aller Art und deren Bekämpfung - 09.12.2006 (1)
  16. Trojanerfund TR/QDial-1840
    Plagegeister aller Art und deren Bekämpfung - 15.07.2003 (17)
  17. Trojanerfund
    Plagegeister aller Art und deren Bekämpfung - 26.03.2003 (16)

Zum Thema Trojanerfund tr/dropper.gen - Hilfe, ich habe mir einen Trojaner eingefangen. Betriebssystemname Microsoft Windows XP Home Edition Version 5.1.2600 Service Pack 3 Build 2600 Betriebssystemhersteller Microsoft Corporation Systemname SERVICETERMINAL Systemhersteller VIAP4M Systemmodell P4M266A-8235 Systemtyp - Trojanerfund tr/dropper.gen...
Archiv
Du betrachtest: Trojanerfund tr/dropper.gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.