TR/Dropper.Gen bei mir entdeckt und brauche Hilfe
 

ein Hallo an alle hier

ich habe heute mehr durch Zufall den Trojaner TR/Dropper.Gen und den TR//Grypt.ZPACK.Gen bei mir gefunden und brauche eure Hilfe.

Angefangen hat alles damit als ich vor ca 3 Wochen mein Zonealarm aktuallisiert habe. Das Programm war aufeinmal in Englisch. Vorher hatte ich es immer in Deutsch. Mein AntiVir hat sich bei jedem Update aufgehangen. Aber das schlimmste war eigentlich das mein PC nicht mehr richtig starten wollte. Beim Hochfahren kam sehr oft aber nicht immer eine Meldung das eine Datei LSass.exe den Auftrag erhalten habe den PC wieder runter zu fahren. Brauchte zum Teil bis zu 10 Startversuche bis der PC endlich mal hoch gefahren ist. Mein FireFox ist ständig stehen geblieben und brauchte immer einige Augenblicke bis er weiter lief. Also hab ich heute nach dieser LSass.exe gesucht und bin bei euch gelandet. Als ich dann hier von diesem TR/Dropper gelesen habe hab ich mein System gescannt und habe 3 infizierte Dateien gefunden.

Ich hab dann hier die Schritte gemacht die unter "Für alle Hilfesuchenden" beschrieben sind. Also CC-Cleaner, Malwarebytes-Anti-Malware und HijackThis. Wobei ich das Hijack noch auf habe da ich überhaupt keine Ahnung habe welche Dateien ich da jetzt fixen soll oder muß oder was auch immer. Vielleicht könnt ihr mir sagen welche ich davon fixen muß.

Und da ich nun wirklich sehr wenig Ahnung von diesen Dingen habe hoffe ich sehr auf eure Hilfe.

Die Berichte von den Scans hänge ich hier mit rein. Habe bei dem HIjack alles durch geschaut um Links zu editieren. Ich hoffe ich habe nichts übersehen.

LG
Maria

Noch als Ergänzung dazu. Habe Zonealarm neu runter geladen und neu istalliert. Falls es überhaupt irgendwas damit zu tun hat und beim Scan mit dem Malware hat mein Antivir ganz schön protestiert :-). Hab da einfach immer auf igno gedrückt und hoffe das war richtig sonst hätt er ja nicht weiter gescannt.

Ich poste hier auch nochmal die Logdatei vom AntiVir. Ich versteh leider nur Bahnhof bei diesen ganzen Logdatein :confused:

Hier noch die Liste meiner installierten Programme.


Dann hab ich noch vergessen zu erwähnen das ich beim googlen immer weiter geleitet werde auf andere Seiten. Komischerweise nicht bei allen aber wenn ich nach Seiten google mit Virensoftware, onlinescanner usw komme ich einfach nicht auf diese Seiten sondern werde immer auf so eine Suchseite von KabelDeutschland weiter geleitet. Auch auf die Seite von AntVir ist es mir unmöglich zu gelangen.

Ich hoffe sehr das ihr mir helfen könnt.

LG
Maria


Nachtrag:

Ich habe gerade meine externe Platte gestartet und AntiVir hat sich gleich gemeldet das dort wohl dieser Dropper im Papierkorb sitzt. (Ich hab auf der Externen kein extra Betriebssystem laufen, nur Bilder, und kleinigkeiten zum sichern.) Ich hab ihn in Quarantäne geschoben. Hab dann nochmal Maleware laufen lassen und der hat glatt wieder 3 Einträge auf der externen gefunden. Auf der Hauptplatte diesmal nichts. Hab die Dateien im Maleware gelöscht. Dann Neustart gemacht. Dann hab ich mit dem CC-Cleaner gescannt und gereinigt und lasse jetzt grad nochmal Maleware laufen. Bis jetzt hat er nichts gefunden. Ich glaub allerdings nicht das mein ungebetener Gast nun weg ist.

Hallo,

ich an deiner Stelle würde Neuaufsetzen.

Hier ein Hilfelink zum richten Formatieren des PCs: http://www.trojaner-board.de/51262-a...sicherung.html

Nach dem neuaufsetzen ändere bitte alle Pass- und Kennwörter.

Hallo Angel

danke für Deine Antwort.

Ich hab hier schon gelesen das Neuaufsetzen das sicherste ist, nur das traue ich mir gerade nicht zu. Ich habe von dem ganzen Zeugs überhaupt keinen Plan :( Ich bin mir sicher das ich mein PC danach nicht mehr zum laufen kriege

kannst du mir vielleicht auch anders helfen ohne das ich neu installieren muß? Ich wäre dir wirklich sehr dankbar

LG
Maria

Hast du keine Freunde, die dir helfen könnten?

Ich weiß nicht ob da das bereinigen noch groß Sinn macht wer weiß was und wieviel nachgeladen wurde an Versteckten Schädlichen Datein. Es kann immer was übrig bleiben.

Als erstes solltest du die Dateien in der Quarantäne löschen,
dann musst du die Dateien
von

O1 - Hosts: 65.75.216.6 www.winmx.com err.winmx.com

bis

O1 - Hosts: 205.238.40.2 cache4.winmxgroup.com cache9.winmxgroup.com cache4.winmxgroup.net cache9.winmxgroup.net cache14.winmxgroup.net cache19.winmxgroup.net

fixen.

Das System neu aufsetzten find ich keine gute Sache,
weil das nicht immer hilft, da manche infizierte Dateien auf dem PC bleiben.
Danach solltest du noch mal mit den Programmen, die schon benutzt hast, scannen.

Hallo Maria,

Neuaufsetzen ist hier leider nötig, da dein PC mit dem aggresiven Conficker-Wurm infiziert ist und zudem in einem Netz voller Zombie-PC's ist.

Wende dich an einen der etwas mehr Ahnung von PC's hat und setze somit den PC neu auf ;)

@JJ-hilfe
So so und das System zu versuchen zu bereinigen wobei nicht sicher ist das alles gefunden wird ist sicherer? Mal ganz davon abgesehen das man die Änderungen am System nicht nachvollziehen kann.
Dein Post ist zum :headbang:
Hätte dein Post sinn, hätte Angel21 wohl auch eine Bereinigung vorgeschlagen und ich denke ma das Sie um einiges kompetenter ist als du:)


PS: Der Fehler in meinem Post tut mir sehr leid und ich hoffe mir wird noch einmal verziehen:)

Danke Kenny:)

PS: Ich bin immer noch ein Sie, hat sich bisher nichts verändert ;)

Euch ein Hallo und danke für eure antworten

Ich habe es gewagt und meinen Pc wirklich neu aufgesetzt und tatsächlich geschafft wieder zum laufen zu bringen hab allerdings die ganze Nacht dafür gebraucht :aplaus: Das wichtigste läuft erst mal wieder nach vielen nervenaufreibenden Versuchen. Hab auch gleich noch die wichtigsten Passwörter heut nacht geändert. Mein google läuft wieder ganz normal und ich kann auch wieder auf Virenseiten wie antivir, bitdender usw.

@ JJ-hilfe, ich weiß gar nicht warum diese WinMx-datein noch drauf waren, hab das Programm schon vor über 2 Jahren von der Platte geschmissen. Hab überhaupt bei den ganzen Scans so einiges an Uralt Datenmüll gefunden obwohl ich immer mit TunUp und CC-Cleaner (allerdings älltere Version, hab die neue erst hier bei euch geladen) gereinigt.

@ DeeWayne, du machst mir angst mit diesem Conficker-Wurm. Kannst du mir oder jemand anders kurz erklären was der macht bzw gemacht hat? Mir wird schlecht wenn ich dran denke. Ich hatte OnlineBanking und so Zeugs auf dem PC.

Und besonders wo fängt man sich sowas ein? ich öffne keine Emails mit fremden Anhängen, ich surfe nicht auf irgendwelchen Seiten, ausser ich suche was, ich lade nichts aus dem Inet was ich nicht wirklich brauche. Das einzige war das mein Sohn vor einer Weile mal im Inet so kleine Onlinespiele gespielt hat auf Spieleaffe de oder wie das heißt. Es lief alles normal bis zu dem Update von Zonealarm, damit fing das ganze Drama an. Nur kann ich mir irgendwie gar nicht vorstellen das bei nem Update von der Firewall so ein Wurm mit kommt.

Kann ich mir denn nun sicher sein das dieser Wurm, Trojanoer oder sonst was weg ist oder muß ich jetzt noch irgendwas tun um wirklich sicher sein zu können? Und kann ich noch irgendwas tun um meinen PC besser zu schützen? Habe jetzt die neuesten Versionen von Zonealarm, Antivir, Firefox, SP4 usw.

Und danke für eure Hilfe

P.S. Ich bin stolz auf mich, das war meine erste PCformatierung und N euinstallation und alles ganz allein geschafft :singsing:

Hallo Maria,

Erstmal Glückwunsch dass alles geklappt hat :Boogie:

Der Conficker Wurm existiert immoment in mehreren und aggresiveren Versionen.

Er verbreitet sich meist über offene Netzwerkfreigaben und über USB Sticks.

Das Problem ist leider dass er sich immer neuste Updates holt damit er von deinem Antiviren Programm nicht mehr erkennt wird.

Wenn du damit infiziert bist, hängst du in einem Botnetz zusammen und gerade Online Banking ist in dem Fall sehr schlecht durchzuführen da die Passwörter auch geklaut werden können.

http://de.wikipedia.org/wiki/Conficker

Kannst du dich weiter informieren ;o)

hallo an das forum!
als erstes möcht ich "SUNNY" sagen: hab in der aufregung den anhang nicht gecheckt dass private nachrichten nicht bearbeitet werden und man ans forum schreiben soll! sorry!!!

problem: TR/Dropper.Gen

hab mir - wie empfohlen - "malwarebytes" runtergeladen, das programm hat aber die infizierten datein auch nur in quarantäne gestellt...trau mich nicht diese von dort zu löschen da vielleicht dann das system nicht mehr richtig funktioniert?!

wer kann mir sagen was ich da am besten tun sollte?!

XP Prof./SP2, firefox, avira, malwarebytes, ad-aware

scanbericht von malwarebytes:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2322
Windows 5.1.2600 Service Pack 2

22.06.2009 19:10:12
mbam-log-2009-06-22 (19-10-12).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 135946
Laufzeit: 1 hour(s), 6 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{2f89df21-dec1-49a6-819d-2cf16c6cd532}\RP27\A0009038.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2f89df21-dec1-49a6-819d-2cf16c6cd532}\RP27\A0009039.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2f89df21-dec1-49a6-819d-2cf16c6cd532}\RP27\A0009041.exe (Trojan.Agent) -> Quarantined and deleted successfully.

scanbericht von avira:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 22. Juni 2009 14:05

Es wird nach 1479505 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: TU-8F349408944F

Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 11.12.2008 18:14:42
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 18:14:43
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 10:38:08
ANTIVIR2.VDF : 7.1.4.87 2982912 Bytes 12.06.2009 06:43:14
ANTIVIR3.VDF : 7.1.4.119 228352 Bytes 21.06.2009 12:05:50
Engineversion : 8.2.0.193
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 10:39:59
AESCRIPT.DLL : 8.1.2.9 409978 Bytes 18.06.2009 09:49:37
AESCN.DLL : 8.1.2.3 127347 Bytes 17.05.2009 09:37:31
AERDL.DLL : 8.1.1.3 438645 Bytes 11.12.2008 18:14:44
AEPACK.DLL : 8.1.3.18 401783 Bytes 29.05.2009 09:49:33
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 09:49:36
AEHEUR.DLL : 8.1.0.133 1798520 Bytes 18.06.2009 09:49:35
AEHELP.DLL : 8.1.3.6 205174 Bytes 12.06.2009 10:33:18
AEGEN.DLL : 8.1.1.46 348533 Bytes 21.06.2009 12:05:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 14:20:11
AECORE.DLL : 8.1.6.12 180599 Bytes 29.05.2009 09:49:32
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 14:20:08
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 22.04.2009 10:49:16
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 22. Juni 2009 14:05

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Setup Files\Live Update 3 v3.97\cache\LiveUpdate3v3.97.exe.wu
[0] Archivtyp: CAB SFX (self extracting)
--> \BIOSList.xml
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{2F89DF21-DEC1-49A6-819D-2CF16C6CD532}\RP44\A0012318.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6f7bc1.qua' verschoben!
C:\System Volume Information\_restore{2F89DF21-DEC1-49A6-819D-2CF16C6CD532}\RP44\A0012411.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6f7bd3.qua' verschoben!
C:\System Volume Information\_restore{2F89DF21-DEC1-49A6-819D-2CF16C6CD532}\RP47\A0012923.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6f7bfa.qua' verschoben!
C:\System Volume Information\_restore{2F89DF21-DEC1-49A6-819D-2CF16C6CD532}\RP47\A0013013.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6f7c01.qua' verschoben!


Ende des Suchlaufs: Montag, 22. Juni 2009 14:58
Benötigte Zeit: 52:36 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4493 Verzeichnisse wurden überprüft
304969 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
304963 Dateien ohne Befall
2043 Archive wurden durchsucht
7 Warnungen
4 Hinweise

danke im voraus und
lieben gruß
perquino

Na geht doch @Maria :)


@perquiono bitte eröffne ein eigenen Thread zu deinem Thema.

Da es sonst zu Verwirrungen kommen kann.

Ich danke euch allen für die Hilfe

und @ DeeWayne danke für den Tipp mit Wiki, hätt ich auch selber drauf kommen können *schäm*

Sollte ich denn jetzt noch was tun um wirklich sicher zu sein das die ungebetenen Gäste von der Platte sind oder kann ich erst mal beruhigt sein?

LG
Maria