|
Infizierter USB Stick (TR\Dropper.Gen) - mögliche Infizierung trotz aktivem Guard? Hallo, ich habe am Donnerstag meinen USB Stick mit Bilddateien ins Photolabor gebracht und mit 3 zusätzlichen Dateien zurückbekommen: - test1.exe - autorun.inf - log (ich kann leider nicht sagen, welcher Dateityp) Beim Anstecken des Sticks (ohne Shift - weiß ich leider erst seit meiner Lektüre hier im Forum) hat sich sofort Antivir Guard gemeldet, mit dem Hinweis: - In der Datei 'G:\test1.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Ich bin mit dem Stick ins Photolabor, wir haben ihn dort formatiert, nochmals an deren PC angesteckt, diesmal haben sich: - usblog.dat - autorun.inf - log draufgespielt. Usblog.dat habe ich bei Virustotal hochgeladen. Dort war die Datei schon früher als winlogexpl.ex1 untersucht worden: Ergebnis 16/41 h**p://www.virustotal.com/de/analisis/efaf8c3e414ae625c68cbf618d7f722c7ad8a0e4e49dc8854fbcd800b3a259fe-1249970902 Antivir (Personal Free) findet keine infizierte Datei auf meinem PC (Einstellung wie hier empfohlen), ebensowenig Panda Onlinescan und MBAM. Der PC läuft einwandfrei. Meine vermutlich sehr laienhafte Frage: Kann ich sicher sein, daß Antivir Guard den Trojaner *trotz* Autorun so rechtzeitig erkannt hat, daß die ausgeführte Aktion: "Zugriff verweigern" meinen PC vor einer Infektion geschützt hat? HJT Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:15:47, on 29.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\DeltTray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Trend Micro\HijackThis\***.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Six Engine] "C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe" -r O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ACSynchro] C:\Programme\ACSynchro\ACSynchro.exe -willkommen -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O23 - Service: Aciideartdi - Philips Semiconductors GmbH - (no file) O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5632 bytes GMER Logfile GMER 1.0.15.15077 [g9n9xexc.exe] - http://www.gmer.net Rootkit scan 2009-08-29 10:22:02 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F7B906DE ZwCreateKey SSDT F7B906D4 ZwCreateThread SSDT F7B906E3 ZwDeleteKey SSDT F7B906ED ZwDeleteValueKey SSDT F7B906F2 ZwLoadKey SSDT F7B906C0 ZwOpenProcess SSDT F7B906C5 ZwOpenThread SSDT F7B906FC ZwReplaceKey SSDT F7B906F7 ZwRestoreKey SSDT F7B906E8 ZwSetValueKey SSDT F7B906CF ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2FA0 8050483C 4 Bytes CALL 75480147 ---- EOF - GMER 1.0.15 ---- Herzlichen Dank im voraus, mauriz |
Hallo und :hallo: was ist denn das für ein Fotolabor? Hast Du da mal Bescheid gesagt, dass der Rechner dort ständig die USB-Sticks verseucht? Besser wäre ein Logfile des Laborrechners. ;) Deins ist unauffällig, Du solltest aber mal die Windowsupdate-Seite besuchen. Der IE liegt bei Dir noch in Version 6 vor, aktuell ist der 8er!! |
Zitat:
Danke für das Willkommen. :) Klar hab' ich im Photolabor Bescheid gesagt, das war mein erster Weg. Aber obwohl an das Labor ein PC-Fachhändler angeschlossen ist (oder vermutlich eher umgekehrt) hat man es dort sehr leicht genommen: Sie haben sich gemeinsam mit mir angeschaut, wie sich die drei Dateien auf meinem neu formatierten USB-Stick breit gemacht haben, versprochen, man würde sich der Sache annehmen, und am nächsten Tag hab' ich erfahren, sie hätten via Antivir die betreffende exe.Datei von Ihrem System gelöscht und damit sei das Problem erledigt ... Was den IE Explorer betrifft: Der Rechner ist ganz neu, der PC-Händler, von dem ich ihn mir habe zusammenstellen lassen, hat mir geraten, die Windows-Updates so einzustellen, daß sich der IE 8 nicht installiert! Ich benutze nur Opera, deswegen hat mir das kein Kopfzerbrechen verursacht. Trotzdem updaten? TIA, mauriz |
Zitat:
Tipp: Wenn Du dort weiterhin Dein USB-Stick hinbringst, würde ich den dann zu Hause nur noch mit der Kneifzange anfassen. Steck den nur noch ein, wenn Du in einem Benutzerkonto OHNE Adminrechte angemeldet bist, sonst ist die Gefahr einer Infektion einfach zu groß. Man sollte grundsätzlich nur mit Benutzerrechten unterwegs sein und sich Adminrechte holen, wenn die wirklich benötigt werden. Das ist ein Grundstein in jedem Sicherheitskonzept! Zitat:
Der Händler hat auch keine Ahnung. :balla: Der IE ist ein integraler Bestandteil von Windows, das nutzt immer die Kernkomponenten des IE. Den IE8 solltest Du auf jeden Fall installieren! Nur in manchen Spezialumgebungen darf das nicht passieren, das ist in manchen Firmen zB so. Da sind einige "doofe" Applets nur und ausschließlich für den IE6 da. Da haben die Programmierer ganze Arbeit geleistet :applaus: :mad: |
Danke, Arne. IE8 wird installiert. Ich hab' inzwischen Autorun auf meinem System deaktiviert und bring' meine Bilder ab jetzt per CD-R ins Labor. Was Benutzer- und Administratorrechte betrifft: Das habe ich bis jetzt völlig vernachlässigt, weil niemand außer mir meinen PC nutzt. Wird offenbar Zeit, daß ich mich damit befasse ... Gibt's noch irgend etwas, was ich tun kann, um herauszufinden, ob die betreffende Datei auf dem Stick trotz anschlagendem Virenguard Zeit hatte, mein System zu infizieren? Gruß, M. |
Ganz sicher kannst Du da nie sein, aber ich denke es ist ziemlich unwahrschein, dass sich das Teil breit gemacht hat. Sei froh, dass Avira angeschlagen hat, dank Adminrechte hätte sich der Schädling in nullkommanix ausbreiten können auf Deinen System. Einen Virenscanner als einzige Schutzkomponente ist da ziemlich witzlos, sobald der mal einen Schädling nicht erkennt und Du führst es aus, haste den Salat. Für weitere Analysen: bitte diese Liste beachten und abarbeiten. Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Arne, wär' Dir dankbar, wenn Du Dir die Logfiles von MBAM und RSIT anschauen würdest: File-Upload.net - Logs-20090829.zip Gruß, M. |
Hallo Arne, IE8 hab' ich noch gestern Nacht installiert und ein zweites Benutzerkonto mit eingeschränkten Rechten eingerichtet (und heute eine Reihe von Freunden damit genervt, das gleiche auf ihren Rechnern zu machen - es sollen sich schließlich nicht nur Viren und Trojaner verbreiten :-)) Im Avira Support Forum hab' ich noch eine Reihe guter Tipps vor allem zur Deaktivierung von Autorun bekommen, inklusive Hinweis, daß ein Link zum Thread in diesem Forum hier angebracht gewesen wäre - was ich in die umgekehrte Richtung jetzt zumindest nachholen möchte: PC-Infektion über USB-Stick trotz Alarm von AV Guard? - Viren und andere Sicherheitsrisiken - Avira Support Forum Sieht so aus, als hätte ich noch mal Glück gehabt, und dank Eurer Anleitungen bin ich für kommende Situationen sicher besser gewappnet. Herzlichen Dank nochmals, Mauriz |
Moin, werd erst heute Abend dazu kommen, die Logs durchzusehen. |
Die Logfiles sind alle unauffällig. :) Wenn noch was ist, einfach wieder hierrein posten! :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:36 Uhr. |
Copyright ©2000-2024, Trojaner-Board