| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dropper.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.02.2010, 15:24
| #1 |
 |  TR/Dropper.Gen hallo, seit gestern meldet avira den trojaner TR/Dropper.Gen: In der Datei 'C:\Dokumente und Einstellungen\I Love Mami\Lokale Einstellungen\Temp\1B.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen sowie (dazugehörende ?) exploits: In der Datei 'C:\WINDOWS\system32\SysWoW32\mi1849280915v4' wurde ein Virus oder unerwünschtes Programm 'EXP/ASF.GetCodec.Gen' [exploit] gefunden. Ausgeführte Aktion: Zugriff verweigern weiters kam gerade beim öffnen der hotmail-seite noch eine meldung: In der Datei 'C:\Dokumente und Einstellungen\I Love Mami\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oyqqqt3h.default\Cache\10958FBBd01' wurde ein Virus oder unerwünschtes Programm 'DR/Script.212525.4' [dropper] gefunden. Ausgeführte Aktion: Datei löschen aufgetaucht ist der trojaner, bessergesagt zuerst nur die exploits, gestern das erste mal auf dem konto meiner mutter. bei ihr ging auch im minutentakt itunes von selbst auf, welcher aber eigentlich mein standardplayer ist (ihrer ist der real player). ihr konto ist übrigens administrator, meines nur eingeschränkt. als ich mich vorhin bei ihr anmelden wollte, um mal zu sehen was sich trojanermäßig bei ihr noch tut, oder ob er vielleicht doch wieder weg ist, hat mir windows gleich mal ne fehlermeldung gegeben, es würde sich weigern die datei explorer.exe aus sicherheitsgründen auszuführen (-> desktop hat nicht mehr geladen, lediglich das hintergrundbild) ich hoffe ich konnte das problem verständlich schildern ;D ich weiß nicht viel über diese dinger, aber dass dieser trojaner nicht wirklich harmlos ist, hat er mir ja heute schon zu verstehen gegeben. so und hier der HJT-logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:56:19, on 16.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\lexpps.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - {053675E2-F347-4ECC-94C2-FEC881645C13} - C:\WINDOWS\System32\GEARAspi32.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [LexPPS.exe] C:\WINDOWS\system32\lexpps.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} (Anark Client 4.0 ActiveX Control) - http://install.anark.com/client/version4/windows-ie/en/AMClient.cab O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://bitacademy.bitmedia.cc/content/bitmedia/de/pp04ag/awlm/awswax.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: C:\WINDOWS\System32\gdi3232.dll O20 - Winlogon Notify: 346393c9792 - C:\WINDOWS\System32\gdi3232.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 5019 bytes ich hoffe ihr könnt mir helfen, ich persönlich wäre ja für neu aufsetzen, aber da es nicht mein pc ist und meine mutter denkt, ich würde übertreiben, bin ich mal gespannt was ihr hier finden könnt. LG |
| Themen zu TR/Dropper.Gen |
| adobe, antivir, antivir guard, aus sicherheitsgründen, avira, bho, desktop, dropper.gen, einstellungen, erste mal, fehlermeldung, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, neu aufsetzen, object, plug-in, problem, programm, real player, server, sicherheitsgründe, sicherheitsgründen, software, system, tr/dropper.gen, trojaner, virus, von selbst, wieder weg, windows, windows xp |
Baum-Darstellung