| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Dropper.Gen , TR/Vundo Gen , TR/Agent.12800.VWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.11.2009, 22:41
| #1 | |
| |  Trojaner TR/Dropper.Gen , TR/Vundo Gen , TR/Agent.12800.V Gute Abend, ich bin heute umgestiegen von einer Probeversion von G Data auf das kostenlose Antivir und prompt gab es die Meldung Zitat:
Firewall per Router und Windows Firewall Daraufhin hab ich versucht mehrere Rettungsmaßnamen zu ergreifen die wie folgt aussahen: Antivir Systemscan Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Monday, November 23, 2009 16:31
Es wird nach 1386903 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista 64 Bit
Windowsversion : (plain) [6.1.7264]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FLOWS
Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 7/29/2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 7/21/2009 13:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 2/13/2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 2/20/2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 1/26/2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 11/6/2009 15:29:49
VBASE001.VDF : 7.10.1.0 1372672 Bytes 11/19/2009 15:29:52
VBASE002.VDF : 7.10.1.1 2048 Bytes 11/19/2009 15:29:52
VBASE003.VDF : 7.10.1.2 2048 Bytes 11/19/2009 15:29:52
VBASE004.VDF : 7.10.1.3 2048 Bytes 11/19/2009 15:29:52
VBASE005.VDF : 7.10.1.4 2048 Bytes 11/19/2009 15:29:52
VBASE006.VDF : 7.10.1.5 2048 Bytes 11/19/2009 15:29:52
VBASE007.VDF : 7.10.1.6 2048 Bytes 11/19/2009 15:29:52
VBASE008.VDF : 7.10.1.7 2048 Bytes 11/19/2009 15:29:52
VBASE009.VDF : 7.10.1.8 2048 Bytes 11/19/2009 15:29:52
VBASE010.VDF : 7.10.1.9 2048 Bytes 11/19/2009 15:29:52
VBASE011.VDF : 7.10.1.10 2048 Bytes 11/19/2009 15:29:52
VBASE012.VDF : 7.10.1.11 2048 Bytes 11/19/2009 15:29:52
VBASE013.VDF : 7.10.1.12 2048 Bytes 11/19/2009 15:29:52
VBASE014.VDF : 7.10.1.13 2048 Bytes 11/19/2009 15:29:53
VBASE015.VDF : 7.10.1.14 2048 Bytes 11/19/2009 15:29:53
VBASE016.VDF : 7.10.1.15 2048 Bytes 11/19/2009 15:29:53
VBASE017.VDF : 7.10.1.16 2048 Bytes 11/19/2009 15:29:53
VBASE018.VDF : 7.10.1.17 2048 Bytes 11/19/2009 15:29:53
VBASE019.VDF : 7.10.1.18 2048 Bytes 11/19/2009 15:29:53
VBASE020.VDF : 7.10.1.19 2048 Bytes 11/19/2009 15:29:53
VBASE021.VDF : 7.10.1.20 2048 Bytes 11/19/2009 15:29:53
VBASE022.VDF : 7.10.1.21 2048 Bytes 11/19/2009 15:29:53
VBASE023.VDF : 7.10.1.22 2048 Bytes 11/19/2009 15:29:53
VBASE024.VDF : 7.10.1.23 2048 Bytes 11/19/2009 15:29:53
VBASE025.VDF : 7.10.1.24 2048 Bytes 11/19/2009 15:29:53
VBASE026.VDF : 7.10.1.25 2048 Bytes 11/19/2009 15:29:53
VBASE027.VDF : 7.10.1.26 2048 Bytes 11/19/2009 15:29:53
VBASE028.VDF : 7.10.1.27 2048 Bytes 11/19/2009 15:29:53
VBASE029.VDF : 7.10.1.28 2048 Bytes 11/19/2009 15:29:54
VBASE030.VDF : 7.10.1.29 2048 Bytes 11/19/2009 15:29:54
VBASE031.VDF : 7.10.1.51 130048 Bytes 11/23/2009 15:29:54
Engineversion : 8.2.1.72
AEVDF.DLL : 8.1.1.2 106867 Bytes 11/23/2009 15:29:59
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 11/23/2009 15:29:59
AESCN.DLL : 8.1.2.5 127346 Bytes 11/23/2009 15:29:58
AESBX.DLL : 8.1.1.1 246132 Bytes 11/23/2009 15:29:58
AERDL.DLL : 8.1.3.2 479604 Bytes 11/23/2009 15:29:58
AEPACK.DLL : 8.2.0.3 422261 Bytes 11/23/2009 15:29:58
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 7/23/2009 09:59:39
AEHEUR.DLL : 8.1.0.180 2093432 Bytes 11/23/2009 15:29:57
AEHELP.DLL : 8.1.7.4 237943 Bytes 11/23/2009 15:29:55
AEGEN.DLL : 8.1.1.75 364918 Bytes 11/23/2009 15:29:55
AEEMU.DLL : 8.1.1.0 393587 Bytes 11/23/2009 15:29:55
AECORE.DLL : 8.1.8.2 184694 Bytes 11/23/2009 15:29:55
AEBB.DLL : 8.1.0.3 53618 Bytes 10/9/2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 12/3/2008 11:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 1/20/2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 11/7/2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 3/24/2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 1/30/2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 1/28/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/2/2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 11/7/2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 5/15/2009 15:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 4/17/2009 10:13:12
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, X:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +SPR,
Beginn des Suchlaufs: Monday, November 23, 2009 16:31
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'uTorrent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunes.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVKTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlog.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Users\Flo\AppData\Roaming\Microsoft\winlog.exe'
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GDScan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'essvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVKWCtlX64.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVKService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVKProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht
Prozess 'winlog.exe' wird beendet
C:\Users\Flo\AppData\Roaming\Microsoft\winlog.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
Es wurden '24' Prozesse mit '23' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'X:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '28' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Program Files (x86)\CryptLoad\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
C:\Users\Flo\AppData\Local\Temp\06I2qg.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Users\Flo\AppData\Local\Temp\pvvpwtqdoy.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\Users\Flo\AppData\Local\Temp\xlsupdate332.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\Users\Flo\AppData\Local\Temp\NERO1004803\unit_app_4\BR90LPTB.cab
[0] Archivtyp: CAB (Microsoft)
--> BR_TxtPTBFile
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'X:\' <Hallo>
X:\System Volume Information\_restore{49DA0034-E73E-4850-A894-0EFE9F967DF5}\RP234\A0065180.exe
[FUND] Ist das Trojanische Pferd TR/Agent.12800.V
Beginne mit der Desinfektion:
C:\Program Files (x86)\CryptLoad\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b38b4ff.qua' verschoben!
C:\Users\Flo\AppData\Local\Temp\06I2qg.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b53b4d2.qua' verschoben!
C:\Users\Flo\AppData\Local\Temp\pvvpwtqdoy.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b80b512.qua' verschoben!
C:\Users\Flo\AppData\Local\Temp\xlsupdate332.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7db508.qua' verschoben!
X:\System Volume Information\_restore{49DA0034-E73E-4850-A894-0EFE9F967DF5}\RP234\A0065180.exe
[FUND] Ist das Trojanische Pferd TR/Agent.12800.V
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3ab4cc.qua' verschoben!
Ende des Suchlaufs: Monday, November 23, 2009 17:13
Benötigte Zeit: 41:47 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
31522 Verzeichnisse wurden überprüft
415217 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
415207 Dateien ohne Befall
4776 Archive wurden durchsucht
5 Warnungen
8 Hinweise
dort habe ich jedoch den Trojaner TR/Dropper.Gen per "fix checked" gelöscht danach hab ich Malwarebytes anti malware angeschmissen Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3217
Windows 6.1.7264
23.11.2009 18:22:19
mbam-log-2009-11-23 (18-22-19).txt
Scan-Methode: Vollständiger Scan (C:\|X:\|)
Durchsuchte Objekte: 296620
Laufzeit: 30 minute(s), 7 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
| Themen zu Trojaner TR/Dropper.Gen , TR/Vundo Gen , TR/Agent.12800.V |
| 'tr/dropper.gen', .dll, 7 viren, anschluss, anti malware, antivir, audiodg.exe, avg, avgnt.exe, ccc.exe, desktop, dwm.exe, firefox.exe, g data, hijack, hijack.displayproperties, hijackthis, hijackthis log, infiziert, jusched.exe, local\temp, logon.exe, malwarebytes' anti-malware, modul, mom.exe, msiexec.exe, nero10, nt.dll, otl log, programm, prozesse, registrierungsschlüssel, registry, router, sched.exe, services.exe, software, suchlauf, svchost.exe, taskhost.exe, tr/dropper.gen, trojan, trojaner, verweise, virus, virus gefunden, vista, warnung, windows, winlogon.exe, wmp |
Baum-Darstellung