|
Tr/Dropper.gen noch entfernbar? Hallo, heute hat Anti-Vir folgende Meldung ausgespuckt - In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fysfw.VIR' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Mit SpyWare habe ich folgende Info erhalten. Rootkit/adware.win32.umqeqak Der Logfile ist folgender: Die Frage ist jetzt natürlich - ist der Trojaner noch entfernbar oder ist es besser, dass System neu aufzuspielen? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:25:27, on 24.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\OpenOffice.org 2.4\program\soffice.exe C:\Programme\OpenOffice.org 2.4\program\soffice.BIN C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\umqeqak.exe C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Spyware-Secure\Spyware-Secure_trial.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini20.com/ R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Spyware-Secure] C:\Programme\Spyware-Secure\Spyware-Secure_trial.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [umqeqak] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\umqeqak.exe" umqeqak O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{0D24189D-CA5F-4071-BA4E-88098774F571}: NameServer = 82.144.41.8 62.220.18.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{0D24189D-CA5F-4071-BA4E-88098774F571}: NameServer = 82.144.41.8 62.220.18.8 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 5788 bytes vielen Dank schon mal katrin |
ist übrigens ein windows xp Betriebssystem. |
Hi, bitte arbeite die folgende Anleitung ab: 1.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. 2.) MalwareBytes Anti-Malware:
|
Hallo, vielen Dank für die Antwort. ich habe jetzt bereits folgenden Link abgearbeitet. http://www.trojaner-board.de/62756-tr-dropper-gen-wurde-gefunden.html Hier ist der Log von Combofix und Navilog ComboFix 08-10-24.02 - Administrator 2008-10-25 12:57:09.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.161 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\umqeqak.dat C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\umqeqak.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\umqeqak_nav.dat C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\umqeqak_navps.dat C:\WINDOWS\system32\nvsvc32.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-09-25 bis 2008-10-25 )))))))))))))))))))))))))))))) . 2008-10-25 12:40 . 2008-10-25 12:40 <DIR> d-------- C:\Programme\CCleaner 2008-10-25 11:54 . 2008-10-25 11:57 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-25 11:54 . 2008-10-25 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-25 11:54 . 2008-10-25 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-10-25 11:54 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-25 11:54 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-23 21:00 . 2008-10-23 21:00 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-10-23 21:00 . 2008-10-23 21:00 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Yahoo! 2008-10-09 14:37 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys 2008-10-05 22:04 . 2008-10-24 18:00 <DIR> d-------- C:\muke . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-25 10:50 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2008-10-25 10:32 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2 2008-10-25 09:29 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM 2008-10-23 18:01 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-22 15:17 --------- d-----w C:\Programme\eMule 2008-09-22 14:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-08-28 08:06 --------- d-----w C:\Programme\eBay 2008-06-14 10:13 243,525 ----a-w C:\Dokumente und Einstellungen\Administrator\setup.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-04-23 22058792] "Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 4670704] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-11 266497] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-19 2372760] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 86016] "D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2006-11-17 1552384] "ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 49152] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_3"="advpack.dll" [2004-08-04 C:\WINDOWS\system32\advpack.dll] C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\ OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoResolveTrack"= 1 (0x1) "NoResolveSearch"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMHelp"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoResolveTrack"= 1 (0x1) "NoResolveSearch"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMHelp"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-02-22 04:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-umqeqak - c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\umqeqak.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z4umbqk3.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.yahoo.com/ FF -: plugin - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z4umbqk3.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07100121.dll FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-25 12:58:39 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2008-10-25 13:00:52 ComboFix-quarantined-files.txt 2008-10-25 10:59:49 Vor Suchlauf: 2.720.075.776 Bytes frei Nach Suchlauf: 2,716,475,392 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 120 Navilog Search Navipromo version 3.6.7 began on 25.10.2008 at 13:10:00,25 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Administrator" Updated on 22.10.2008 at 20h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 6.0.2900.2180 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** Bin ich das Ding los? Danke nochmals. viele Grüße Katrin |
Naja, von ComboFix war nicht die Rede und wäre bei dir auch nicht notwendig gewesen. Bitte in Zukunft an die Anleitung halten, Danke. :) Aber ich erkenne nichts schädliches mehr, du bist entlassen. ;) mfg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board