Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.05.2010, 13:18   #1
Vorsicht
 
Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit - Standard

Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit



Hallo liebe Community,

folgendes Problem. Rechner Win7HP32. Gestern Routinescan von Norton Internet Security 2009:
findet 2X Trojan.Dropper im Thunderbird-Mailprogramm a)in der inbox b) im junk Order, wurde beides angeblich entfernt.
Einmal pro Woche wird kompletter Systemcheck von Norton NIS2009 gemacht. Angeblich seien diese Dateien, die lt Norton speicher-11.exe heißen, seit Mitte April auf dem Rechner (sagt Norton), trotzdem hat Norton NIS 2009 die erst gestern erkannt.

Beunruhigt, habe ich 1. Malewarebytes laufen lassen. Habe 2. CCleaner laufen lassen. Habe 3. GMER laufen lassen.
Hijackthis log füge ich auch an.
Der GMER log: rootkit?

Was ist zu tun? Ich bitte um Hilfe.

Vielen Dank und

LG


Malewarebytes log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Database version: 4076

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

08.05.2010 13:09:51
mbam-log-2010-05-08 (13-09-51).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 185047
Time elapsed: 35 minute(s), 3 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         
Hijackthis log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:43, on 08.05.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ccSvcHst.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\notepad.exe
D:\Software\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\IPSBHO.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coIEPlg.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2865652161-1144600585-1328617019-1003\..\Run: [EPSON Stylus SX400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\Windows\TEMP\E_SF142.tmp" /EF "HKCU" (User '***')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\System32\nvSCPAPISvr.exe

--
End of file - 4308 bytes
         
GMER Rootkit log - Zeitstempel ist älter als die beiden logs malewarebytes und HijackThis weil ich die nochmal scannen ließ.

Code:
ATTFilter
GMER 1.0.15.14966 - h**p://w*w.gmer.net
Rootkit scan 2010-05-08 12:13:24
Windows 6.1.7600 


---- System - GMER 1.0.15 ----

SSDT            85BB7250                                                                                  ZwAlertResumeThread
SSDT            85BDE150                                                                                  ZwAlertThread
SSDT            855AE488                                                                                  ZwAllocateVirtualMemory
SSDT            8577D350                                                                                  ZwAlpcConnectPort
SSDT            85BBBD28                                                                                  ZwAssignProcessToJobObject
SSDT            855B4770                                                                                  ZwCreateMutant
SSDT            8688FFC0                                                                                  ZwCreateSymbolicLinkObject
SSDT            855B0778                                                                                  ZwCreateThread
SSDT            8688E290                                                                                  ZwCreateThreadEx
SSDT            85BBA1E0                                                                                  ZwDebugActiveProcess
SSDT            855B21B0                                                                                  ZwDuplicateObject
SSDT            855AECB8                                                                                  ZwFreeVirtualMemory
SSDT            85BC37A8                                                                                  ZwImpersonateAnonymousToken
SSDT            85BC3CF8                                                                                  ZwImpersonateThread
SSDT            857A4238                                                                                  ZwLoadDriver
SSDT            855AEB98                                                                                  ZwMapViewOfSection
SSDT            85BC3A40                                                                                  ZwOpenEvent
SSDT            855AD710                                                                                  ZwOpenProcess
SSDT            85B96468                                                                                  ZwOpenProcessToken
SSDT            85BB9170                                                                                  ZwOpenSection
SSDT            855AD640                                                                                  ZwOpenThread
SSDT            8688E6F0                                                                                  ZwProtectVirtualMemory
SSDT            85BB6068                                                                                  ZwResumeThread
SSDT            85BC9150                                                                                  ZwSetContextThread
SSDT            855B04D8                                                                                  ZwSetInformationProcess
SSDT            85BB9450                                                                                  ZwSetSystemInformation
SSDT            85BB9728                                                                                  ZwSuspendProcess
SSDT            85BC9230                                                                                  ZwSuspendThread
SSDT            85B96B68                                                                                  ZwTerminateProcess
SSDT            85BDE3B0                                                                                  ZwTerminateThread
SSDT            85BC90B8                                                                                  ZwUnmapViewOfSection
SSDT            855AE278                                                                                  ZwWriteVirtualMemory

INT 0x1F        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E32AF8
INT 0x37        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E32104
INT 0xC1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E323F4
INT 0xD1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E1A634
INT 0xD2        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E1A898
INT 0xDF        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E321DC
INT 0xE1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E32958
INT 0xE3        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E326F8
INT 0xFD        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E32F2C
INT 0xFE        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)  82E331A8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                           82A4B599 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                    82A6FF52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!RtlSidHashLookup + 224                                                       82A77734 8 Bytes  [50, 72, BB, 85, 50, E1, BD, ...]
.text           ntkrnlpa.exe!RtlSidHashLookup + 23C                                                       82A7774C 4 Bytes  [88, E4, 5A, 85]
.text           ntkrnlpa.exe!RtlSidHashLookup + 248                                                       82A77758 4 Bytes  [50, D3, 77, 85] {PUSH EAX; SAL DWORD [EDI-0x7b], CL}
.text           ntkrnlpa.exe!RtlSidHashLookup + 29C                                                       82A777AC 4 Bytes  [28, BD, BB, 85]
.text           ntkrnlpa.exe!RtlSidHashLookup + 318                                                       82A77828 4 Bytes  [70, 47, 5B, 85]
.text           ...                                                                                       
.text           peauth.sys                                                                                994D0C9D 28 Bytes  [04, 35, 00, 1E, 37, 6C, 36, ...]
.text           peauth.sys                                                                                994D0CC1 28 Bytes  [04, 35, 00, 1E, 37, 6C, 36, ...]

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000052                                                         halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\tdx \Device\Tcp                                                                   SYMTDIV.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume8                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume9                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Udp                                                                   SYMTDIV.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\tdx \Device\RawIp                                                                 SYMTDIV.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                  fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

Alt 09.05.2010, 20:06   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit - Standard

Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit



Hallo und

Zitat:
findet 2X Trojan.Dropper im Thunderbird-Mailprogramm a)in der inbox b) im junk Order, wurde beides angeblich entfernt.
Im Inbox- und Junk-Ordner ist das kein Problem. Du empfängst ja u.a. auch Spammils mit schädlichen Anhängen und das landet alles dann in der mailboxdatei. Logisch, dass dann diese Datei von Norton angemeckert wird!

=> Mailwürmer: Fragen und Antworten

Zitat:
Frage: Mein Virenscanner hat im Profilordner bzw. in einer Mailbox-Datei meines eMail-Programmes einen Schädling entdeckt. Wie muss ich vorgehen?

Antwort: Nicht selten melden einige Virenscanner Schädlinge innerhalb von Mailbox-Dateien, z.B. bei Nutzung der eMailprogramme Mozilla (Thunderbird) oder Netscape, aber auch Outlook bzw. Outlook Express. Dies bedeutet zunächst einmal keine Gefahr, solange ein Schädling in einer Mail nicht durch den Nutzer selbst ausgeführt wird.

Der Schädling ist hierbei also nicht aktiv, er liegt vielmehr inaktiv in der Mailbox.

Einige Virenscanner bieten hier die Löschung der Datei an, was Sie jedoch nicht bestätigen sollten. Der Grund: Mehrere eMails eines Ordners, z.B. des Posteingangsordners ihres Mailrogrammes, werden innerhalb einer Datei abgelegt. Stimmen Sie nun der Löschung zu, würden mit ihr auch alle anderen eMails Ihres Posteingangs verlorengehen.

Es macht also prinzipiell keinen Sinn, Mailbox-Dateien durch einen Virenscanner überwachen zu lassen. Löschen Sie besser suspekte Mails sofort, und wählen von Zeit zu Zeit in Ihrem Mailprogramm "Datei >Ordner komprimieren". Damit werden auch alte, bereits nicht mehr offensichtliche Mails, endgültig aus der Mailbox-Datei entfernt.
__________________

__________________

Alt 10.05.2010, 08:01   #3
Vorsicht
 
Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit - Standard

Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit



Hallo cosinus,

herzlichen Dank für die Antwort bezüglich Mail-Ordnern und dort gefundener Plagegeister.

Was besagt dann die GMER Rootkit Meldung? Habe ich mir was eingefangen? Wenn ja, wie werde ich den/die Schädlinge wieder los?

LG
__________________

Alt 10.05.2010, 09:55   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit - Standard

Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit



Die Logs sind ok.

Antwort

Themen zu Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit
adobe, bho, dateien, detected, escan, excel, explorer, firefox, infected, internet, intrusion prevention, locker, log, micro, microsoft, mozilla, norton internet security, nvidia, plug-in, programdata, rootkit, rootkit?, rundll, security, software, symantec, system32, systemcheck, tcp, temp, trojan.dropper, udp



Ähnliche Themen: Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit


  1. Befall von Maleware nach Download (u.a. Serach.New.Tab). GMER meldet Rootkit
    Log-Analyse und Auswertung - 02.11.2013 (14)
  2. GMER meldet "hidden rootkit activity" & Rechner langsam
    Plagegeister aller Art und deren Bekämpfung - 14.02.2013 (19)
  3. Mit Gmer ein Rootkit gefunden, wie löschen?
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (3)
  4. TR/Atraps.Gen2 TR/Sirefef.AG.35 TR/Small.FI - Gmer meldet Rootkit Aktivität
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (8)
  5. Windows detected hard disc error - GMer meldet SSDT Rootkit
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (30)
  6. GMER hat Rootkit gefunden (vdrv1000.sys)
    Plagegeister aller Art und deren Bekämpfung - 15.02.2011 (5)
  7. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  8. Gmer meldet: service C:\WINDOWS\system32\svchost.exe? (*** hidden *** ) WSC <-- ROOTKIT !
    Plagegeister aller Art und deren Bekämpfung - 03.12.2010 (4)
  9. OSAM meldet Rootkit-Entry, Mawabytes/SuperAntiSpyware/GMER finden aber nichts
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  10. Gmer meldet Rootkit Verdacht: HIDDEN MSSQL Service
    Log-Analyse und Auswertung - 04.08.2010 (5)
  11. GMER hat Rootkit gefunden!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (1)
  12. Rootkit mit Gmer gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.03.2010 (5)
  13. Rootkit.Pakes-AA nicht vom GMER gefunden
    Plagegeister aller Art und deren Bekämpfung - 21.02.2010 (6)
  14. gmer meldet Rootkit activity svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 24.01.2010 (15)
  15. Rechner langsam / Gmer meldet "Rootkit/Malware"
    Log-Analyse und Auswertung - 20.04.2009 (14)
  16. Gmer meldet einen rootkit virus , msqpdxgeppfnhh.sys
    Log-Analyse und Auswertung - 18.01.2009 (3)
  17. Trojan Dropper.VB beseitigt jedoch immer noch Probleme....
    Log-Analyse und Auswertung - 07.09.2006 (3)

Zum Thema Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit - Hallo liebe Community, folgendes Problem. Rechner Win7HP32. Gestern Routinescan von Norton Internet Security 2009: findet 2X Trojan.Dropper im Thunderbird-Mailprogramm a)in der inbox b) im junk Order, wurde beides angeblich entfernt. - Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit...
Archiv
Du betrachtest: Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.