Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.11.2009, 13:33   #1
ANDKOS
 
TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los? - Frage

TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?



Hallo,

mein Antivir hat mir heute gemeldet, dass 2mal der TR/Dropper.Gen gefunden und in Quarantäne verschoben wurde. Hier die Meldungen:

Die Datei 'C:\System Volume Information\_restore{DA988A21-A7CA-47C9-93D2-0924A6854B8E}\RP27\A0156297.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b211557.qua' verschoben!

Die Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9Y53PN61\update[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b541597.qua' verschoben!


Ich habe nach einem Systemneustart den Scan wiederholt und nichts mehr gefunden. Hier das HiJack This-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:04, on 03.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - (no file)
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\WINDOWS\system32\shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C931B5C-890F-49A4-A779-9A21DB267384}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{82DA1D6D-7052-4B23-8C24-D59DC640C70A}: NameServer = 195.50.140.178 145.253.2.203
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Roxio UPnP Renderer 9 - Unknown owner - c:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe (file missing)
O23 - Service: Roxio Upnp Server 9 - Unknown owner - c:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - c:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: stllssvr - Unknown owner - c:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4891 bytes


Hierzu habe ich 3 Fragen:

1) Kann ich jetzt davon ausgehen, dass ich den Trojaner los bin?
2) Sind weitere Probleme anhand des Logfiles erkennbar?
3) Kann durch das Verschieben der befallenen Dateien in Quarantäne ein Problem auftauchen?
4) Sollte ich die Dateien in Quarantäne besser löschen?

Vielen Dank für Eure Hilfe!

Alt 03.11.2009, 15:33   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los? - Standard

TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Zitat:
1) Kann ich jetzt davon ausgehen, dass ich den Trojaner los bin?
2) Sind weitere Probleme anhand des Logfiles erkennbar?
3) Kann durch das Verschieben der befallenen Dateien in Quarantäne ein Problem auftauchen?
4) Sollte ich die Dateien in Quarantäne besser löschen?
Zu Deinen Fragen:

1.) Nein, ich würde erst noch weitere Analysen vorschlagen, jetzt davon auszugehen ist blauäugig (deswegen der Text und die Verlinkung der Liste für alle Neulinge)
2.) Ja, durchaus, zB fehlen viele Updates - mehr dazu später.
3.) Normalerweise nicht.
4.) Nein, lass die erstmal drin, in der Quarantäne sind die harmlos und stören nicht, falls was sein sollte kann man die wiederherstellen, wenn Du sie komplett löscht sind sie eben weg.
__________________

__________________

Alt 06.11.2009, 18:00   #3
ANDKOS
 
TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los? - Standard

TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?



Hallo Arne,

leider komme ich erst heute dazu, Dir zu antworten.

Danke für die Infos. Leider kann ich sie momentan auf besagtem Rechner nicht durchführen, weil es sich um den Rechner meiner Mutter handelt, die ich neulich besucht habe. Mache ich beim nächsten Besuch.

Aber: Ich habe das mal zum Anlass genommen, meinen eigenen Rechner zu checken, da ich hier des öfteren Festplattenaktivität ohne eigene Aktivitäten habe und auch der eine oder andere Absturz vorkommt. Daher unter folgendem Link die Logfiles:

http://www.file-upload.net/download-1993966/Logfiles.zip.html

Kannst Du Probleme erkennen? Sollte ich etwas tun?

Vielen Dank,
Andreas
__________________

Alt 06.11.2009, 18:08   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los? - Standard

TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?



Mach für Deinen eigenen bzw. anderen Rechner einen neuen Strang auf, sonst kann man hier nicht mehr die Logfiles einem bestimmten PC zuordnen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.11.2009, 09:34   #5
ANDKOS
 
TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los? - Standard

TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?



Hallo Arne,

jetzt habe ich wieder Gelegenheit, am besagten Rechner meiner Mutter die von Dir angeregten Analysen zu machen. Anbei der Link zu den Logfiles - der MBAM-Scan war ergiebig:

http://www.file-upload.net/download-2025791/Logfiles-211109.zip.html

Was rätst Du mir?

Vielen Dank,
Andreas Koschowski


Alt 22.11.2009, 19:00   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los? - Standard

TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?



Führe auf Muttis Rechner Combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?

Antwort

Themen zu TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?
'tr/dropper.gen', antivir, antivir guard, ausgehen, avira, beseitigung, bho, content.ie5, desktop, einstellungen, excel, frage, fritz!, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, magix, programm, rundll, scan, software, system, tr/dropper.gen, trojan, trojaner, virus, windows, windows xp



Ähnliche Themen: TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?


  1. GVU Trojaner endgültig entfernen
    Log-Analyse und Auswertung - 24.07.2013 (12)
  2. BKA Trojaner endgültig entfernen
    Log-Analyse und Auswertung - 03.07.2013 (15)
  3. gvu trojaner endgültig entfernt ?
    Plagegeister aller Art und deren Bekämpfung - 16.06.2013 (14)
  4. Trojaner endgültig entfernen
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (9)
  5. Adware.Trymedia Trojaner! Wie werde ich ihn endgültig los?
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (6)
  6. Ransom Trojaner endgültig entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.11.2012 (8)
  7. wie werde ich gvutrojaner endgültig los
    Log-Analyse und Auswertung - 19.08.2012 (12)
  8. GVU Trojaner 2.04 endgültig entfernen?
    Plagegeister aller Art und deren Bekämpfung - 26.06.2012 (1)
  9. Bundespolizei Trojaner endgültig weg?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2011 (1)
  10. Bundespolizei Trojaner endgültig gelöscht?
    Log-Analyse und Auswertung - 28.08.2011 (29)
  11. Werde TR/Dropper.Gen; TR/Hijacker.Gen; TR/Dldr.Delphi.Gen; PCK/Themida nicht los
    Plagegeister aller Art und deren Bekämpfung - 12.09.2010 (11)
  12. TR/Dropper.Gen-wie werde ich das Ding entgültig los?
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (13)
  13. ich werde den trojaner dropper.gen nicht los
    Plagegeister aller Art und deren Bekämpfung - 25.02.2010 (5)
  14. Dropper.Gen Trojaner!! Wie werde ich ihn Los
    Plagegeister aller Art und deren Bekämpfung - 21.02.2010 (6)
  15. Trojaner endgültig entfernt?
    Log-Analyse und Auswertung - 24.03.2009 (2)
  16. TR/Dropper.Gen wie werde ich ihn los?
    Plagegeister aller Art und deren Bekämpfung - 16.03.2008 (1)
  17. Wie werde ich meine Viren, Trojaner endgültig los
    Mülltonne - 08.12.2007 (0)

Zum Thema TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los? - Hallo, mein Antivir hat mir heute gemeldet, dass 2mal der TR/Dropper.Gen gefunden und in Quarantäne verschoben wurde. Hier die Meldungen: Die Datei 'C:\System Volume Information\_restore{DA988A21-A7CA-47C9-93D2-0924A6854B8E}\RP27\A0156297.exe' enthielt einen Virus oder unerwünschtes - TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los?...
Archiv
Du betrachtest: TR/Dropper.Gen - Wie werde ich den Trojaner endgültig los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.