Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Generic.89180 (https://www.trojaner-board.de/77166-trojan-generic-89180-a.html)

Angelsboy 06.09.2009 00:04
Trojan.Generic.89180
 
Hey alle zusammen,
das andere thema mit TR/Dropper.Gen war für meinen Kumpel, das hier ist jetzt für meinen Computer.
Mein G Data hat soeben den Virus TR/Dropper.Gen gefunden.
Er war in der Datei A0012480.exe. Sie lag im Verzeichnis: \\?\C:\System Volume Information\_restore{4B74D4BB-53AD-42BF-AC42-FC8CC66301A8}\RP33

Besteht da gefahr für mein System?
Hier noch ein HiJackThis Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:03:26, on 06.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\coretemp995\CoreTemp32\Core Temp.exe
C:\Programme\G DATA\TotalCare\AVK\AVK.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Vista & XP Virtual Desktops.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: Vista & XP Virtual Desktops.lnk = ? (User 'Default user')
O4 - Startup: Vista & XP Virtual Desktops.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91A6905A-3592-479F-A301-6C49169B0DDC}: NameServer = 192.168.178.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Programme\Apache Software Foundation\Apache2.2\bin\httpd.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: G Data Backup Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe
O23 - Service: G Data Tuner Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7949 bytes

cosinus 06.09.2009 09:32
Hallo,

das Logfile ist unauffällig.
Apache-Webserver und MySQL sind auf dem Rechner gewollt?

Code:
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
"Firewalls" von Drittanbietern kann ich nicht weiterempfehlen. Sie bieten keinen echten Mehrwert an Sicherheit, erhöhen aber die Komplexität des Systems, ich würde Dir daher empfehlen es zu deinstallieren und nur die Windows-Firewall zu verwenden, die reicht aus und erhöht nicht die Komplexität des Systems, denn sie ist integraler Bestandteil des IP-Stacks in Windows.

Angelsboy 06.09.2009 10:15
Erstmal danke für deine antwort :)
So zu Apache-Webserver und MySQL,
ja die habe ich mit absicht drauf und die brauche ich auch weiter hin.
Ist ja nichts illegales oder vertue ich mich da? Oo
Naja zur Firewall ich bin eigendlich ganz glücklich damit. Würdet ihr mir echt davon abraten? Soll ich sie Deaktivieren und Windows FIrewall wieder an machen? Ich weiß nich so Recht.
Naja zurück zum Problem. Meinst du mein Rechner hat nichts weiteres abbekommen? Soll ich noch irgendwelche Programme oder so durchlaufen lassen? oder ist jetzt gut?

Mfg
Till aka. Angelsboy

cosinus 06.09.2009 10:24
Zitat:
Zitat von Angelsboy (Beitrag 463050)
So zu Apache-Webserver und MySQL,
ja die habe ich mit absicht drauf und die brauche ich auch weiter hin.
Ist ja nichts illegales oder vertue ich mich da? Oo
Nein, das ist ganz und garnicht illegal, :) der Apache-Webserver ist OpenSource und m.W. der meisteingesetzte Webserver. MySQL ist ebenfalls OpenSource. :)

Zitat:
Naja zur Firewall ich bin eigendlich ganz glücklich damit. Würdet ihr mir echt davon abraten?
Ich würde davon abraten, ja.

Zitat:
Soll ich sie Deaktivieren und Windows Firewall wieder an machen? Ich weiß nich so Recht.
Wenn, dann diese Komponente deinstallieren und die Windows-Firewall aktivieren.
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Zitat:
Naja zurück zum Problem. Meinst du mein Rechner hat nichts weiteres abbekommen? Soll ich noch irgendwelche Programme oder so durchlaufen lassen? oder ist jetzt gut?
Du könntest mal unser Standardprogramm durchlaufen lassen :)
Dazu bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Angelsboy 06.09.2009 11:51
So,
habe nun die Logs:
Klick

Bei Malwarebytes Anti-Malware hatte ich keine Probleme.
Allerdings bei RSIT.
Als erstes habe ich firewall, wchter und allen anderen kram geschlossen. und plötzlich blieb das desktop bild hängen. Ich könnte nichts mehr machen. Der Bildschirm Fror sozusagen ein!
So habe ich den Pc ausgemacht. Und wieder gestartet. Wieder alles aus und dann RSIT gestartet. Das Programm scannte komplett und die logs wurden dann auch automatisch geöffnet. Also es war fertig. jedoch Froh etwa 10 sec nach dem die logs da waren mein Bildschirm wieder ein! Habe den Pc neu gestartet und die Logs waren zum glück noch da. Seid wieder alles an ist passiert das einfrieren nicht mehr! Woran kann es liegen? Vllt ein Virus er von meinem G Data geblockt wird? Bin grad ziemlich ratlos.

mfg
Til aka. Angelsboy

cosinus 06.09.2009 12:54
So, jetzt seh ich das erst!
Wieso machst Du einen neuen Strang auf, wenn Du bereits Hilfe bekommst? :twak:

http://www.trojaner-board.de/77156-tr-dropper-gen.html

Angelsboy 06.09.2009 12:56
Code:
das andere thema mit TR/Dropper.Gen war für meinen Kumpel, das hier ist jetzt für meinen Computer.
Sind 2 verschiedene Pc´s...
Wenn das nicht erlaubt ist dann tut es mir Leid :(
ich dachte nur es ist besser über 2 Pc´s in 2 Threats zu reden als wenn man über 2 in 1 redet...
Die Pc´s haben nichts miteinander zu tun. Deswegen halte ich es so für Sinnvoller. Tut mir echt Leid wenn das nicht erlaubt is..

Mfg
Till aka. Angelsboy

cosinus 06.09.2009 12:58
Oh sorry, dann nehm ich alles zurück!!
Ich dachte es war 2x der gleiche PC! Bei unterschiedlichen Systemen verschiedene Stränge zu machen ist ok!

Asche auf mein Haupt, sorry! :headbang:

Angelsboy 06.09.2009 13:03
Hm jeder macht fehler :)
Bin froh das mir überhaupt irgendwer hilft...
Naja is irgendwas in den Logs zu erkennen? Und wieso erstarrt mein Bildschirm plötzlich 2 mal. Habs ja unten geschrieben..
Ich hab meinen Pc erst vor 2 Monaten neu installiert. Da wurden meine kompletten daten nach sys.zief.pl [218.93.205.24] umgeleitet. Außerdem hatte ich da noch den Virus W32/Virut.gen. Damals habe ich alles komplett platt gemacht und nichtmal mehr ne Daten Sicherung gemacht.
Hab dann auf meinem System SP 3 und so installt. Zur Sicherheit. Mir dann noch G Data gekauft wegen der besten erkennungsrate.
Ich hoffe das ist nicht schon wieder sowas schlimmes..

Mfg
Till aka. Angelsboy

cosinus 06.09.2009 13:08
Hi Till,

die Logfiles dieses PC sind unauffällig. Bzgl des Funds:

Zitat:
Er war in der Datei A0012480.exe. Sie lag im Verzeichnis: \\?\C:\System Volume Information\_restore{4B74D4BB-53AD-42BF-AC42-FC8CC66301A8}\RP33
Das ist der Ort für die Dateien der Systemwiederherstellung. Du kannst deaktivieren, falls Du sie nicht brauchst, ich mach sie jedenfalls immer aus.

Angelsboy 06.09.2009 13:14
Hi,
das beruhigt mich.. Vielen dank :)
Die Systemwiederherstellung ist jetzt aus.
Aber gibt es eine erklärung für das einfrieren des Bildschirms?
Naja ist eigendlich nicht so wichtig. Ist ja nicht mehr passiert.
Auf jedenfall vielen Dank für deine Hilfe! Echt Top das Forum hier :daumenhoc
Falls ihr hier jemals spenden aktionen einführen solltet, spende ich ein wenig :)

mfg
Till aka. Angelsboy

cosinus 06.09.2009 13:21
Oh Du kannst meine Kontonummer haben!! Überweis mir was!! :applaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131