Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Dropper.Gen, System scheint allerdings sauber

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.01.2010, 15:39   #1
vanAxl
 
TR/Dropper.Gen, System scheint allerdings sauber - Standard

TR/Dropper.Gen, System scheint allerdings sauber



Hi@All,

habe mir den Trojaner TR/Dropper.Gen eingefangen erstmal Meldung am 6.1..

Ich bemerke dies einzig und allein daran, dass sich irgend etwas versucht direkt nach dem Systemstart auf http://livenews.ath.cx/update/images/index_16.jpg zu verbinden der Web-Guard blockt dies.

MELDUNG:

Code:
ATTFilter
Exportierte Ereignisse:

12.01.2010 14:47 [Webguard] Malware gefunden
      Beim Zugriff auf Daten der URL 
      "http://livenews.ath.cx/update/images/index_16.jpg"
      wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert
         
Ich habe alles mit AntiVir Prof. und Ad-Aware gescant das komplette System scheint sauber.

Code:
ATTFilter
Avira AntiVir Professional
Erstellungsdatum der Reportdatei: Dienstag, 12. Januar 2010  12:07

Es wird nach 1522218 Virenstämmen gesucht.

Lizenznehmer:     *******
Seriennummer:     2203290543-ADJIM-0020
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     ******

Versionsinformationen:
BUILD.DAT     : 8.2.0.623      22202 Bytes  23.10.2009 13:13:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.05.2009 11:40:38
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.05.2009 11:40:39
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.05.2009 11:40:40
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.05.2009 11:40:40
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 16:16:59
ANTIVIR1.VDF  : 7.10.1.11    1395568 Bytes  19.11.2009 16:17:18
ANTIVIR2.VDF  : 7.10.2.166   1959328 Bytes  11.01.2010 08:52:11
ANTIVIR3.VDF  : 7.10.2.171    101376 Bytes  12.01.2010 10:50:42
Engineversion : 8.2.1.134 
AEVDF.DLL     : 8.1.1.2       106867 Bytes  16.09.2009 14:51:59
AESCRIPT.DLL  : 8.1.3.7       594296 Bytes  12.01.2010 10:50:51
AESCN.DLL     : 8.1.3.0       127348 Bytes  14.12.2009 11:01:28
AESBX.DLL     : 8.1.1.1       246132 Bytes  25.11.2009 16:17:23
AERDL.DLL     : 8.1.3.4       479605 Bytes  01.12.2009 16:06:02
AEPACK.DLL    : 8.2.0.4       422263 Bytes  12.01.2010 10:50:50
AEOFFICE.DLL  : 8.1.0.38      196987 Bytes  18.06.2009 09:07:25
AEHEUR.DLL    : 8.1.0.194    2228599 Bytes  12.01.2010 10:50:49
AEHELP.DLL    : 8.1.9.0       237943 Bytes  17.12.2009 14:41:04
AEGEN.DLL     : 8.1.1.83      369014 Bytes  12.01.2010 10:50:45
AEEMU.DLL     : 8.1.1.0       393587 Bytes  05.10.2009 08:05:17
AECORE.DLL    : 8.1.9.1       180598 Bytes  14.12.2009 11:01:27
AEBB.DLL      : 8.1.0.3        53618 Bytes  18.05.2009 11:40:38
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.05.2009 11:40:39
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.05.2009 11:40:39
AVREP.DLL     : 8.0.0.3       155688 Bytes  18.05.2009 12:20:05
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.05.2009 11:40:39
AVARKT.DLL    : 1.0.0.23      307457 Bytes  18.05.2009 11:40:39
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.05.2009 11:40:39
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  18.05.2009 11:40:41
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.05.2009 11:40:41
NETNT.DLL     : 8.0.0.1         7937 Bytes  18.05.2009 11:40:41
RCIMAGE.DLL   : 8.0.0.51     2420993 Bytes  18.05.2009 11:40:41
RCTEXT.DLL    : 8.0.47.0       86273 Bytes  18.05.2009 11:40:41

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir workstation\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: quarantäne
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Dienstag, 12. Januar 2010  12:07

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclToBTSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aolsoftware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Siemens.Automation.ObjectFrame.FileStor' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ad-Aware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'privoxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Printkey2000.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NPCIA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aim6.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Siemens.Automation.ObjectFrame.FileStor' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNAC9SWK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNAP2RPK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'openvpn-gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNAP2LAK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KADxMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WavXDocMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hidfind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fbserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKEEPER.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TdmService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcsd_win32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stacsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S7TraceServiceX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 's7oiehsx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NicConfigSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fbguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALMPanelPlugin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsfIpMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'almsrvx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '91' Prozesse mit '91' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '75' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 12. Januar 2010  12:57
Benötigte Zeit: 50:44 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   8265 Verzeichnisse wurden überprüft
 445946 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 445944 Dateien ohne Befall
   4820 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise
         
HiJack log

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:05, on 12.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Workstation\sched.exe
C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe
C:\Programme\Avira\Avira Security Management Center Agent\agent.exe
C:\Programme\Avira\AntiVir Workstation\avguard.exe
C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Programme\Avira\AntiVir Workstation\avesvc.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\PROGRA~1\Firebird\V2_0_1\bin\fbguard.exe
c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Gemeinsame Dateien\Siemens\S7IEPG\s7oiehsx.exe
C:\Programme\Gemeinsame Dateien\Siemens\Automation\TraceEngine\bin\S7TraceServiceX.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\StacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Avira\AntiVir Workstation\avmailc.exe
C:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE
C:\PROGRA~1\Firebird\V2_0_1\bin\fbserver.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DellTPad\Apoint.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\DellTPad\Apntex.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe
C:\WINDOWS\system32\KADxMain.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir Workstation\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE
C:\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAP2RPK.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAC9SWK.EXE
C:\Step7_V10.2\Portal V10\Bin\Siemens.Automation.ObjectFrame.FileStorage.Server.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AIM6\aim6.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Nokia\PC Internet Access\NPCIA.exe
C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Tor-Proxy\Privoxy\privoxy.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\AIM6\aolsoftware.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclToBTSrv.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\WINDOWS\system32\mstsc.exe
C:\Programme\CYTEL.iBX Office3\ibxctrl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\********\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=5080617
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/hws/sb/dell-row-rel/de/side.html?channel=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/hws/sb/dell-row-rel/de/side.html?channel=de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/hws/sb/dell-row-rel/de/side.html?channel=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de&ibd=5080617
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [WavXMgr] C:\Programme\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe
O4 - HKLM\..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [CNAP2 Launcher] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE
O4 - HKLM\..\Run: [openvpn-gui] C:\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SiemensAutomationFileStorage] C:\Step7_V10.2\Portal V10\Bin\Siemens.Automation.ObjectFrame.FileStorage.Server.exe preload
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Aim6] "C:\Programme\AIM6\aim6.exe" /d locale=de-DE ee://aol/imApp
O4 - HKCU\..\Run: [NokiaPCInternetAccess] "C:\Programme\Nokia\PC Internet Access\NPCIA.exe" /b
O4 - HKCU\..\Run: [Vidalia] "C:\Tor-Proxy\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" -s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Privoxy.lnk = C:\Tor-Proxy\Privoxy\privoxy.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1242641785656
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***
O17 - HKLM\Software\..\Telephony: DomainName = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****
O20 - Winlogon Notify: gemsafe - C:\Programme\Gemplus\GemSafe Libraries\BIN\WLEventNotify.dll
O21 - SSODL: UpdateCheck - {3A60767F-4EE2-4818-A67C-4736A4329F0B} - C:\WINDOWS\system32\mstmdm.dll
O23 - Service: Automation License Manager Service (almservice) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe
O23 - Service: Avira Security Management Center Agent (AntiVir Security Management Center Agent) - Avira GmbH - C:\Programme\Avira\Avira Security Management Center Agent\agent.exe
O23 - Service: Avira AntiVir Professional MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avmailc.exe
O23 - Service: Avira AntiVir Professional Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\sched.exe
O23 - Service: Avira AntiVir Professional Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avguard.exe
O23 - Service: Avira AntiVir Professional WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE
O23 - Service: Broadcom ASF IP and SMBIOS Mailbox Monitor (ASFIPmon) - Broadcom Corporation - C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: Avira AntiVir Professional MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir Workstation\avesvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\PROGRA~1\Firebird\V2_0_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\PROGRA~1\Firebird\V2_0_1\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpcEnum - OPC Foundation - C:\WINDOWS\system32\OpcEnum.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\OpenVPN\bin\openvpnserv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SIMATIC IEPG Help Service (s7oiehsx) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\S7IEPG\s7oiehsx.exe
O23 - Service: S7TraceServiceX - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\Automation\TraceEngine\bin\S7TraceServiceX.exe
O23 - Service: SecureStorageService - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: NTRU TSS v1.2.1.25 TCS (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
O23 - Service: TdmService - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
O23 - Service: WaveEnrollmentService - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Authentication Manager\WaveEnrollmentService.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 13622 bytes
         
Was kann ich tun, bzw was verbindet sich da überhaupt auf die genannte url direkt nach dem Systemstart?
Avira meckert direkt nachdem der Schirm aufgegangen ist ABER nicht bei jedem Systemstart.
Eine Regel wann genau ist nicht ablesbar.


Ich habe mein System einmal auf 22.12. zurückgesetz, Meldung kommt wieder.

Bitte um Hilfe!
Vielen Dank

Geändert von vanAxl (12.01.2010 um 16:33 Uhr)

Alt 12.01.2010, 17:46   #2
raman
 
TR/Dropper.Gen, System scheint allerdings sauber - Standard

TR/Dropper.Gen, System scheint allerdings sauber



Mache bitte einen RSIT und GMER Report und poste diese. Ein aktualisiertes Malwarebytes hat auch nichts gefunden?
__________________

__________________

Alt 13.01.2010, 09:58   #3
vanAxl
 
TR/Dropper.Gen, System scheint allerdings sauber - Standard

TR/Dropper.Gen, System scheint allerdings sauber



Malwarebytes ist ebenfalls negativ.
Die weiteren Reports GMER und RSIT folgen a.s.a.p.

Ich vermute so langsam ich habe eine Software installiert, welche über eine Backdoor versucht den Trojaner nachzuziehen.

Ich blende mal nach und nach einzelne Programme in der msconfig aus und hoffe, dass eines dieser Progs das gesuchte ist.

Im Übrigen mein AntiVir schreit beim morgentlichen Neustart immernoch rum.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3548
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.01.2010 09:56:29
mbam-log-2010-01-13 (09-56-29).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 222468
Laufzeit: 1 hour(s), 13 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
__________________
__________________

Alt 14.01.2010, 14:06   #4
vanAxl
 
TR/Dropper.Gen, System scheint allerdings sauber - Standard

TR/Dropper.Gen, System scheint allerdings sauber



GMER

Code:
ATTFilter
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-14 13:55:06
Windows 5.1.2600 Service Pack 3
Running: tu22blvs.exe; Driver: C:\DOKUME~1\AXELRO~1\LOKALE~1\Temp\kxtdqpob.sys


---- System - GMER 1.0.15 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)         ZwCreateKey [0xBA0F887E]
SSDT            BA6F9884                                  ZwCreateThread
SSDT            BA6F9870                                  ZwOpenProcess
SSDT            BA6F9875                                  ZwOpenThread
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)         ZwSetValueKey [0xBA0F8BFE]
SSDT            BA6F987F                                  ZwTerminateProcess
SSDT            BA6F987A                                  ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xB8F50380, 0x2F2807, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                 Lbd.sys (Boot Driver/Lavasoft AB)

Device          \FileSystem\Fastfat \Fat                  AFDF0D20
Device          \FileSystem\Fastfat \Fat                  AFE00428

AttachedDevice  \FileSystem\Fastfat \Fat                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                    DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- EOF - GMER 1.0.15 ----
         
__________________
mfg vanAxl

Antwort

Themen zu TR/Dropper.Gen, System scheint allerdings sauber
ad-aware, adobe, antivir, avgnt.exe, avira, bho, controlcenter, desktop, dllhost.exe, einstellungen, firefox, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, logon.exe, malware, monitor, mozilla, nt.dll, nt.exe, programm, registry, rundll, sched.exe, security, server, suchlauf, system, trojaner, verweise, virus, virus gefunden, windows, windows xp



Ähnliche Themen: TR/Dropper.Gen, System scheint allerdings sauber


  1. Firefox hat gesperrt, System scheint aber richtig zu laufen Win7 64-bit
    Plagegeister aller Art und deren Bekämpfung - 10.02.2014 (9)
  2. TR/Dropper.gen5 durch avira gefunden und gelöscht. ist mein rechner jetzt sauber
    Log-Analyse und Auswertung - 23.05.2013 (33)
  3. System nun sauber?
    Log-Analyse und Auswertung - 19.10.2012 (38)
  4. Trojaner "System Check" deinstalliert - System sauber?
    Log-Analyse und Auswertung - 11.04.2012 (23)
  5. mediashifting.com: system neu aufgesetzt - unsicher, ob system wieder sauber ist
    Plagegeister aller Art und deren Bekämpfung - 05.01.2012 (7)
  6. Spyeyes, System neu aufsetzen, Recovery DVD allerdings defekt
    Plagegeister aller Art und deren Bekämpfung - 22.10.2011 (2)
  7. Trojan.Dropper.PGen gefunden und mit MBAM entfernt, jetzt alles sauber?
    Log-Analyse und Auswertung - 17.11.2010 (6)
  8. System sauber?
    Log-Analyse und Auswertung - 01.10.2009 (2)
  9. System sauber?
    Log-Analyse und Auswertung - 27.05.2009 (0)
  10. System Sauber?
    Log-Analyse und Auswertung - 08.03.2009 (0)
  11. System sauber?
    Log-Analyse und Auswertung - 31.10.2007 (0)
  12. Ist das system sauber?
    Log-Analyse und Auswertung - 19.09.2006 (5)
  13. System sauber?
    Log-Analyse und Auswertung - 07.01.2006 (4)
  14. System sauber ??
    Log-Analyse und Auswertung - 17.10.2005 (6)
  15. System nun sauber???
    Log-Analyse und Auswertung - 26.03.2005 (3)
  16. Ist mein System sauber???
    Log-Analyse und Auswertung - 16.02.2005 (1)
  17. Hi hab mir was eingefangen und Hijack scheint trotzdem sauber zu sein!
    Log-Analyse und Auswertung - 22.12.2004 (20)

Zum Thema TR/Dropper.Gen, System scheint allerdings sauber - Hi@All, habe mir den Trojaner TR/Dropper.Gen eingefangen erstmal Meldung am 6.1.. Ich bemerke dies einzig und allein daran, dass sich irgend etwas versucht direkt nach dem Systemstart auf http://livenews.ath.cx/update/images/index_16.jpg zu - TR/Dropper.Gen, System scheint allerdings sauber...
Archiv
Du betrachtest: TR/Dropper.Gen, System scheint allerdings sauber auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.