Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2010, 21:29   #1
renau65
 
TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB - Standard

TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB



Hi, ich hoffe hier Hilfe zu finden.
Hatte gestern als erstes Probleme meinen Firefox zu starten.
( "Mozilla Absturz Melder") Auch Neuinstallation des FF brachte keine hilfe.
Recherchen ergaben, dass es auch an Spyware/Trojaner liegen koennte.
Danach habe ich den AVIRA laufen lassen, welcher div. Trojaner fand:
TR/Agent.iyaz
TR/Dropper.Gen
Ich habe diese dann mit Avira "isoliert".
Vor einigen Tagen hatte ich schon mehrere Trojaner gefunden.
Leider funktionier Firefox immer noch nicht. Hier im Forum habe ich gelesen, dass es gar nicht so einfach waere, den "dropper" richtig zu entfernen.
AVIRA findet den Trojaner jetzt nicht mehr,laeuft fehlerfrei durch.
Ich vermute aber, dass dieser immer noch irgendwie aktiv ist!?
Kann mir hier jemand helfen?
OS = WIN XP SP3

Ich kann die entsprechenden logs des AVIRA liefern (Fehlerfall und auch fehlerfreier Fall).
Letztes log (ohne Befund):
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 14. Februar 2010 20:06

Es wird nach 1751559 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : RENE02MOBILE

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 21.11.2009 17:02:48
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:02:48
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:02:48
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 07:03:59
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:33:37
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 17:33:37
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 17:33:37
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 17:33:38
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 17:33:39
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 17:33:39
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 17:33:39
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 17:33:40
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 17:33:40
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 17:33:41
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 17:33:41
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 22:23:37
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 16:47:06
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 06:53:56
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 13:02:40
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 17:45:44
VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 17:45:41
VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 20:57:47
VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 20:57:48
VBASE022.VDF : 7.10.4.31 2048 Bytes 11.02.2010 20:57:48
VBASE023.VDF : 7.10.4.32 2048 Bytes 11.02.2010 20:57:48
VBASE024.VDF : 7.10.4.33 2048 Bytes 11.02.2010 20:57:48
VBASE025.VDF : 7.10.4.34 2048 Bytes 11.02.2010 20:57:48
VBASE026.VDF : 7.10.4.35 2048 Bytes 11.02.2010 20:57:48
VBASE027.VDF : 7.10.4.36 2048 Bytes 11.02.2010 20:57:48
VBASE028.VDF : 7.10.4.37 2048 Bytes 11.02.2010 20:57:48
VBASE029.VDF : 7.10.4.38 2048 Bytes 11.02.2010 20:57:48
VBASE030.VDF : 7.10.4.39 2048 Bytes 11.02.2010 20:57:48
VBASE031.VDF : 7.10.4.45 70656 Bytes 12.02.2010 10:00:32
Engineversion : 8.2.1.170
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 17:12:53
AESCRIPT.DLL : 8.1.3.15 827771 Bytes 14.02.2010 12:00:04
AESCN.DLL : 8.1.4.0 127348 Bytes 27.01.2010 19:29:54
AESBX.DLL : 8.1.1.1 246132 Bytes 21.11.2009 17:02:48
AERDL.DLL : 8.1.4.2 479602 Bytes 14.02.2010 12:00:04
AEPACK.DLL : 8.2.0.8 426357 Bytes 14.02.2010 12:00:04
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 06:04:36
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 14.02.2010 12:00:04
AEHELP.DLL : 8.1.10.0 237942 Bytes 18.01.2010 07:02:29
AEGEN.DLL : 8.1.1.86 369012 Bytes 02.02.2010 16:47:07
AEEMU.DLL : 8.1.1.0 393587 Bytes 06.10.2009 17:42:31
AECORE.DLL : 8.1.11.1 184694 Bytes 02.02.2010 16:47:07
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 13.09.2009 08:06:22
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 16:46:43
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 16:20:11
RCTEXT.DLL : 9.0.73.0 87297 Bytes 21.11.2009 17:02:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 14. Februar 2010 20:06

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '41626' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchPad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'meinsparbuchheute.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Qv1.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetIM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realplay.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '72' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <Data>


Ende des Suchlaufs: Sonntag, 14. Februar 2010 20:41
Benötigte Zeit: 35:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8746 Verzeichnisse wurden überprüft
248790 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
248789 Dateien ohne Befall
2069 Archive wurden durchsucht
1 Warnungen
1 Hinweise
41626 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Bin fuer jeden Hinweis dankbar!

Hier noch das log des HiJackThis: (fuer was das auch immer gut ist ;-) )
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 21:36:23, on 14.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Documents and Settings\Rene\Application Data\U3\04F01B6132C1997A\LaunchPad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
F:\ThunderbirdPortable\ThunderbirdPortable.exe
F:\ThunderbirdPortable\App\thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\crashreporter.exe
C:\WINDOWS\system32\notepad.exe
C:\DOCUME~1\Rene\LOCALS~1\Temp\Qv1.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://support.fujitsu-siemens.de/
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [WISE-FTP Task Planner] "C:\Program Files\AceBIT\WISE-FTP 4\wf_tp.exe" /bg
O4 - HKCU\..\Run: [F5JMWNZTHI] C:\DOCUME~1\Rene\LOCALS~1\Temp\Qv1.exe
O4 - S-1-5-18 Startup: Anapod Manager.lnk = C:\Program Files\Red Chair Software\Anapod Explorer\anamgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Anapod Manager.lnk = C:\Program Files\Red Chair Software\Anapod Explorer\anamgr.exe (User 'Default user')
O4 - Startup: Anapod Manager.lnk = C:\Program Files\Red Chair Software\Anapod Explorer\anamgr.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Program Files\WISO\Sparbuch 2010\meinsparbuchheute.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} (Cisco AnyConnect VPN Client Web Control) - https://mchssl1.ts.fujitsu.com/CACHE/stc/1/binaries/vpnweb.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239267699375
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

--
End of file - 8831 bytes

Geändert von renau65 (14.02.2010 um 21:38 Uhr)

Alt 14.02.2010, 23:00   #2
renau65
 
TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB - Standard

TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB



Nachtrag:
Hier noch das log von AntiSpyware, welches ich gerade noch habe laufen lassen:
SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 02/14/2010 at 10:33 PM

Application Version : 4.33.1000

Core Rules Database Version : 4584
Trace Rules Database Version: 2396

Scan type : Complete Scan
Total Scan Time : 00:33:00

Memory items scanned : 646
Memory threats detected : 0
Registry items scanned : 5897
Registry threats detected : 27
File items scanned : 21807
File threats detected : 25

Trojan.Agent/Gen-CDesc[NewF]
[F5JMWNZTHI] C:\DOCUME~1\RENE\LOCALS~1\TEMP\QV1.EXE
C:\DOCUME~1\RENE\LOCALS~1\TEMP\QV1.EXE
C:\DOCUMENTS AND SETTINGS\RENE\LOCAL SETTINGS\TEMP\QV1.EXE
C:\DOCUMENTS AND SETTINGS\RENE\LOCAL SETTINGS\TEMP\QV4.EXE
C:\DOCUMENTS AND SETTINGS\RENE\LOCAL SETTINGS\TEMP\QV7.EXE
C:\DOCUMENTS AND SETTINGS\RENE\LOCAL SETTINGS\TEMP\QWA.EXE
C:\WINDOWS\Prefetch\QV1.EXE-078934FF.pf

Adware.Tracking Cookie
C:\Documents and Settings\Rene\Cookies\rene@serving-sys[2].txt
C:\Documents and Settings\Rene\Cookies\rene@clickpayz10.91423.blueseek[2].txt
C:\Documents and Settings\Rene\Cookies\rene@atwola[1].txt
C:\Documents and Settings\Rene\Cookies\rene@bs.serving-sys[1].txt
C:\Documents and Settings\Rene\Cookies\rene@doubleclick[1].txt
C:\Documents and Settings\Rene\Cookies\rene@ad.zanox[1].txt
C:\Documents and Settings\Rene\Cookies\rene@adcloudmedia[1].txt
C:\Documents and Settings\Rene\Cookies\rene@www.etracker[2].txt
C:\Documents and Settings\Rene\Cookies\rene@content.yieldmanager[3].txt
C:\Documents and Settings\Rene\Cookies\rene@ad.yieldmanager[1].txt
C:\Documents and Settings\Rene\Cookies\rene@overture[1].txt
C:\Documents and Settings\Rene\Cookies\rene@ar.atwola[1].txt
C:\Documents and Settings\Rene\Cookies\rene@www1.12finder[1].txt
C:\Documents and Settings\Rene\Cookies\rene@zanox[1].txt
C:\Documents and Settings\Rene\Cookies\rene@sevenoneintermedia.112.2o7[1].txt
C:\Documents and Settings\Rene\Cookies\rene@adtech[1].txt
C:\Documents and Settings\Rene\Cookies\rene@tradedoubler[1].txt
C:\Documents and Settings\Rene\Cookies\rene@content.yieldmanager[2].txt
C:\Documents and Settings\Rene\Cookies\rene@traffictrack[1].txt

Trojan.Dropper/Win-NV
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS#Type
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS#Start
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS#ErrorControl
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS#ImagePath
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS#DisplayName
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS#ObjectName
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters#ServiceDll
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Security
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Security#Security
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Enum
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Enum#0
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Enum#Count
HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Enum#NextInstance

Trojan.Agent/Gen-SSHNAS
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000#DeviceDesc
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000\Control
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS\0000\Control#ActiveService

Ich habe am Ende des checks alles in Quarantaene verschoben, aber leider laeuft Firefox immer noch nicht. Bennene ich Firefox um, funktioniert er!
__________________


Alt 14.02.2010, 23:28   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB - Standard

TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________
__________________

Alt 15.02.2010, 18:27   #4
renau65
 
TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB - Icon24

TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB



Hi Danke, fuer die Info.
Habe alles nach Beschreibung durchgefuehrt.
Mozilla scheint wieder zu funktionieren.
Anbei noch die logs:
http://www.file-upload.net/download-2262754/Dropper.zip.html

Gib bitte Bescheid, falls diese nicht mehr notwendig sind, bzw. von Dir gedownloaded, dass ich diese auf dem link loeschen kann.

Sollte jetzt alles erledigt sein, oder sind noch Nacharbeiten durchzufuehren?

Gruss
RA

Alt 16.02.2010, 16:58   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB - Standard

TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB



Sieht soweit ok aus oder sind noch weitere Probleme?
Wenn nicht, dann deinstalliere diese unsäglichen Toolbars (ICQ, SweetIM) der Kram ist einfach nur unnötiger Ballast. ICQ kann ich seit langem schon nicht mehr empfehlen, ein guter Ersatz ist Miranda oder Pidgin - beide unterstützen das ICQ-Protokoll (und andere).

Überprüf bitte auch die Updates:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.


PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.02.2010, 22:33   #6
renau65
 
TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB - Standard

TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB



Hi cosinus,
danke fuer die infos.
Mein eigentlicher fehler ist weg, von daher sehe ich das mit der Spyware auch als erledigt an. Danke.
Ich pers. vermute, dass genau mit einem MS-Patch der eigentliche Fehler verursacht wurde. Ich hatte "grossen Patchday".
D.h. auch ,dass ich soweit alle Patches mittlerweile installiert habe, AUSSER:
.Net Framework 3.5 SP1(KB951847),
Sicherheitsupdate XP SP3(KB973540)
die lassen sich beide nicht installieren.
Und auch IE 8 kann ich leider nicht installieren, wie ich auf deinen Rat versucht habe.
Warum auch immer. Aber das duerfte verm.ein anderes Thema sein,da muss ich jetzt mal noch intensiver bei MS in den Foren suchen.

Nochmals viiiielen Danke fuer deine Hilfe!
Gruss
René

Alt 16.02.2010, 22:41   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB - Standard

TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB



Probier mal das IE8-Setup herunterzuladen - installiere dann über dieses Setup den IE8 manuell.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB
0 bytes, absturz, agere systems, aktiv, avgnt.exe, avira, browseui preloader, einfach, firefox, forum, gestern, gservice, hoffe, information, jusched.exe, laufen, lws.exe, mozilla, neuinstallation, nicht mehr, nt.dll, ohne befund, probleme, restore, richtig, rthdcpl.exe, shortcut, starte, starten., suchlauf, system, system volume information, toolbars, tr/dropper.gen, trojaner dropper.gen firefox, versteckte objekte, verweise, virus gefunden, volume, win, win xp, _restore



Ähnliche Themen: TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB


  1. AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)
    Plagegeister aller Art und deren Bekämpfung - 15.02.2013 (11)
  2. Trojan.Agent/Gen-Kazy[Ico] in C:\SYSTEM VOLUME INFORMATION\_RESTORE{6037B4AE-60D5-4ABD-B660-DFA1EAAD6D52}\RP441\A0130476.EXE gefunden
    Log-Analyse und Auswertung - 14.10.2012 (28)
  3. Trojaner Funde in CC:\System Volume Information\_restore und andere Pfade
    Log-Analyse und Auswertung - 31.10.2011 (4)
  4. Trojanerfund TR/Eyestye.n.763 , Datei: C:\System Volume Information\_restore{E5C0502A-7E6B-48C6-820F
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (44)
  5. WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...
    Log-Analyse und Auswertung - 16.06.2011 (12)
  6. Externe Festplatte / TR/HORSE.LFM / System Volume Information\_restore
    Plagegeister aller Art und deren Bekämpfung - 26.02.2011 (3)
  7. Verschiedene Trojaner in C:\System Volume Information\_restore
    Log-Analyse und Auswertung - 06.01.2011 (19)
  8. gefunden: Adware.WidgiToolbar in "C:\System Volume Information\_restore..."
    Log-Analyse und Auswertung - 10.11.2010 (2)
  9. TR/Trash.Gen in 'C:\System Volume Information\_restore [...].DLL'
    Plagegeister aller Art und deren Bekämpfung - 30.07.2010 (6)
  10. Troja TR/Spy.79360.15 in C:\System Volume Information\_restore........A0082264.exe
    Log-Analyse und Auswertung - 10.02.2010 (4)
  11. "TR/Trash.Gen" in "C:\System Volume Information\_restore{5C62BAB0- [...]"
    Plagegeister aller Art und deren Bekämpfung - 30.10.2009 (3)
  12. C:\System Volume Information\_restore .... Trojaner, Quarantäne
    Plagegeister aller Art und deren Bekämpfung - 25.02.2009 (4)
  13. DataMiner in "C:System Volume Information\_restore\...
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (4)
  14. Was ist C:\System Volume Information\_restore{...}.dll oder .exe
    Antiviren-, Firewall- und andere Schutzprogramme - 20.01.2008 (10)
  15. Was ist C:\System Volume Information\_restore{...}.dll oder .exe
    Mülltonne - 14.01.2008 (0)
  16. trojaner in C:\ system volume information\_restore,...
    Plagegeister aller Art und deren Bekämpfung - 02.07.2007 (5)
  17. Application.Adware.NewDotNet.B.Dropper in System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 07.11.2006 (3)

Zum Thema TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB - Hi, ich hoffe hier Hilfe zu finden. Hatte gestern als erstes Probleme meinen Firefox zu starten. ( "Mozilla Absturz Melder") Auch Neuinstallation des FF brachte keine hilfe. Recherchen ergaben, dass - TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB...
Archiv
Du betrachtest: TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.