| |
| |||||||
Mülltonne: TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangenWindows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
06.02.2010, 13:02
| #1 |
| |  TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen Vorvorgestern Abend bin ich, wie sonst auch, per Firefox im cinefacts.de Forum unterwegs gewesen. Plötzlich kam beim Anklicken eines Threads eine Skript-Fehlermeldung und kurz darauf eine weitere Fehlermeldung bzgl. einer exe (ich glaube es war die vom Adobe Reader). Danach kam eine Sicherheitswarnung vom Windows Sicherheitscenter, dass die Firewall deaktiviert ist und Antivir hat mit folgender Meldung angeschlagen: In der Datei 'C:\WINDOWS\system32\sdra64.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Das Forum auf cinefacts.de war kurz darauf auch nicht erreichbar... Grund: "kurzzeitige Wartungsarbeiten" Wie ich vorgestern gelesen habe, wurde cinefacts offensichtlich gehackt und viele andere bekamen auch Viren/Trojaner Meldungen. Allerdings konnte deren Virenscanner wohl die Gefahr abwenden. Aktuell scheint es wohl allgemein eine sehr starke Trojaner/Malware-Welle im Internet zu geben... Im Infobereich von der Taskleiste wurde auch kurz das Java Icon angezeigt. Ich habe dann mal noch eine Rootkit-Suche bzw. einen Scan auf der Systempartition in Antivir angeworfen. Nachfolgend das Ergebnis: Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\ 27b66ba2-742e9b13 [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.AB.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcbc2f4.qua' verschoben! C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\ 1ee052b1-3f2a2f47 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcec322.qua' verschoben! C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Thunderbird\Profiles\booupcrm.default\Cache\ 722208D4d01 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9bc2ef.qua' verschoben! C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Thunderbird\Profiles\booupcrm.default\Cache\ 72221D80d01 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48118b00.qua' verschoben! C:\WINDOWS\system32\ sdra64.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bdbc321.qua' verschoben! Ende des Suchlaufs: Mittwoch, 3. Februar 2010 19:38 Benötigte Zeit: 21:01 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6053 Verzeichnisse wurden überprüft 137759 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 39 Dateien konnten nicht durchsucht werden 137715 Dateien ohne Befall 1088 Archive wurden durchsucht 62 Warnungen 239 Hinweise 677144 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Nach einem manuellen Neustart des Rechners wurde direkt in einer Dos-Box wieder die verseuchte Datei aufgerufen (C:\WINDOWS\system32\sdra64.exe) und Antivir brachte wieder die folgende Meldung: In der Datei 'C:\WINDOWS\system32\sdra64.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Ein Spybot Suchlauf brachte folgenden Fund mit 3 Einträgen, die aber von Spybot bereinigt werden konnten: Win32.ZBot Danach habe ich das LAN-Kabel gezogen und Spybot + Antivir deaktiviert, um GMER durchlaufen zu lassen. Folgendes Ergebnis kam dabei heraus: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-02-03 21:21:07 Windows 5.1.2600 Service Pack 3 Running: e13snq4g.exe; Driver: C:\DOKUME~1\XYZ\LOKALE~1\Temp\kwlyrkow.sys ---- System - GMER 1.0.15 ---- SSDT BA792E56 ZwCreateKey SSDT BA792E4C ZwCreateThread SSDT BA792E5B ZwDeleteKey SSDT BA792E65 ZwDeleteValueKey SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92] SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20] SSDT BA792E6A ZwLoadKey SSDT sptd.sys ZwOpenKey [0xB9ECE090] SSDT BA792E38 ZwOpenProcess SSDT BA792E3D ZwOpenThread SSDT sptd.sys ZwQueryKey [0xB9ED3EF8] SSDT sptd.sys ZwQueryValueKey [0xB9ED3D78] SSDT BA792E74 ZwReplaceKey SSDT BA792E6F ZwRestoreKey SSDT BA792E60 ZwSetValueKey SSDT BA792E47 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .sfrelocÿÿÿÿsfsync04unknown last section [0xB9E74000, 0xBC6, 0x40000040] C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB9E74000, 0xBC6, 0x40000040] .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB96E7000, 0x187662, 0xE8000020] .text USBPORT.SYS!DllUnload B96738AC 5 Bytes JMP 8A8A41C8 ? System32\Drivers\a42y7xxi.SYS Das System kann den angegebenen Pfad nicht finden. ! .text C:\WINDOWS\system32\drivers\ACEDRV05.sys section is writeable [0xAA66B000, 0x30A4A, 0xE8000020] .pklstb C:\WINDOWS\system32\drivers\ACEDRV05.sys entry point in ".pklstb" section [0xAA6AD000] .relo2 C:\WINDOWS\system32\drivers\ACEDRV05.sys unknown last section [0xAA6C8000, 0x8E, 0x42000040] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAA24A300, 0x3ACC8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA440300, 0x1B7E, 0xE8000020] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9ECEAB4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9ECEBFA] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9ECEB7C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9ECF728] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9ECF5FE] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8AB4D1E8 Device \Driver\usbuhci \Device\USBPDO-0 8A8A31E8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AADC1E8 Device \Driver\dmio \Device\DmControl\DmConfig 8AADC1E8 Device \Driver\dmio \Device\DmControl\DmPnP 8AADC1E8 Device \Driver\dmio \Device\DmControl\DmInfo 8AADC1E8 Device \Driver\usbehci \Device\USBPDO-1 8A8761E8 Device \Driver\usbuhci \Device\USBPDO-2 8A8A31E8 Device \Driver\usbuhci \Device\USBPDO-3 8A8A31E8 Device \Driver\usbuhci \Device\USBPDO-4 8A8A31E8 Device \Driver\prodrv06 \Device\ProDrv06 E20DCC30 Device \Driver\Ftdisk \Device\HarddiskVolume1 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\NetBT \Device\NetBT_Tcpip_{86D01B22-18A3-446A-BD9F-85E08A12AED5} 8A72D1E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom0 8A86A1E8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom1 8A86A1E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort0 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort2 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort3 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\Ftdisk \Device\HarddiskVolume4 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume5 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume6 8AB4F1E8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume6 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\prohlp02 \Device\ProHlp02 E10179A0 Device \Driver\NetBT \Device\NetBt_Wins_Export 8A72D1E8 Device \Driver\usbhub \Device\00000083 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbhub \Device\00000084 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\NetBT \Device\NetbiosSmb 8A72D1E8 Device \Driver\usbhub \Device\00000085 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbhub \Device\00000086 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbhub \Device\00000087 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\PCI_NTPNP5262 \Device\0000005b sptd.sys Device \Driver\usbhub \Device\00000088 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-0 8A8A31E8 Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-1 8A8A31E8 Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\usbuhci \Device\USBFDO-2 8A8A31E8 Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A7B8498 Device \Driver\usbuhci \Device\USBFDO-3 8A8A31E8 Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A7B8498 Device \Driver\usbehci \Device\USBFDO-4 8A8761E8 Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.) Device \Driver\Ftdisk \Device\FtControl 8AB4F1E8 Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1 8A70A980 Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1Port4Path0Target0Lun0 8A70A980 Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Cdfs \Cdfs 8A75B868 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x1B 0xD9 0xC7 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x1B 0xD9 0xC7 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xAB 0xC6 0xEF 0x63 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -999670597 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 258116861 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x34 0x7C 0x1F 0x5C ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x34 0x7C 0x1F 0x5C ... ---- EOF - GMER 1.0.15 ---- Nach einem anschließenden Neustart konnte ein weiterer Suchlauf von Spybot keine Probleme mehr feststellen. Da dachte ich zuerst, dass Spybot den Fiesling beseitigen konnte, denn auch ein weiterer Suchlauf von Antivir konnte nichts mehr finden. Vorgestern folgte dann leider wieder die Ernüchterung. Nach dem Hochfahren des Rechners begrüßte mich Antivir wieder mit folgender Meldung: In der Datei 'C:\WINDOWS\system32\sdra64.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Ein anschließender Komplettscan der Systempartition meldete, dass alles in Ordnung sei. Der Scan von Spybot brachte dann wieder den Win32.ZBot zum Vorschein - dieses Mal allerdings mit 5 Einträgen, von denen einer nicht gefixt werden konnte. Spybot hat dann vorgeschlagen den Rechner neuzustarten damit es das Problem direkt dann nach dem Windows Logon beheben könne. Gesagt getan... der Scan von Spybot dauerte dann ewig und er stellte dann den Win32.ZBot in der Datei C:\WINDOWS\system32\sdra64.exe fest. Danach lief der Scan grad wieder von vorne los... Spybot macht mir da nicht wirklich einen ausgereiften Eindruck. So langsam frage ich mich, ob die Kombo Antivir + Spybot wirklich nichts taugt oder woran das sonst liegt. Die Kombo wird ja nicht gerade von wenigen Usern eingesetzt... Gestern hatte ich dann den Rechner gar nicht an. Heute habe ich Spybot nochmal suchen lassen und dieses Mal wurde nichts mehr gefunden. Ein Komplettscan von Antivir (dieses Mal über alle Partitionen) brachte folgende Meldung: Die Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ignoriert. Danach habe ich einen erneuten Scan über die Systempartition gestartet, bei dem nichts mehr gefunden wurde. Jetzt frage ich mich, ob der Virus/Trojaner jetzt komplett vernichtet wurde und ob das jetzt ein Rootkit war bzw. ob der Übeltäter etwas beschädigt hat? Ich denke mal es wird am besten sein, wenn ich die Files in der Quarantäne von Antivir komplett lösche oder? Beim Googeln bzgl. dieser Problematik habe ich gelesen, dass man die gefundenen Viren/Trojaner vom Virenscanner auf keinen Fall löschen lassen soll. Kennt hierfür jemand zufällig den Grund bzw. könnte sich das erklären? Vorab schonmal vielen Dank, dass ihr euch überhaupt Zeit nehmt und meinen langen Text lest. |
| Themen zu TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen |
| acedrv05.sys, antivir deaktiviert, atapi.sys, backdoor.bot, cinefacts, controlset002, firefox, firewall deaktiviert, hal.dll, java/trojandownloader.agent.ab, lan-kabel, malware.trace, nicht gefunden, pws:win32/zbot.gen!w, quelldatei, rootkit, sdra64.exe, sptd.sys, system volume information, taskleiste, tr/dldr.java.agent.ab.1, tr/dldr.obitel, tr/dropper.gen, trojan.agent, trojan/java.agent, trojan:java/cireco.a, usbport.sys, versteckte objekte, virus/trojaner, win32.zbot, zwopenkey |
Baum-Darstellung