Trojan-Dropper.Win32.Mudrop.z

#1 Mein Virenscanner G DATA AVK2007 hat soeben "Trojan-Dropper.Win32.Mudrop.z" gefunden.
Dies betrifft "C:\Programmme\InstallShield Installation Information\{....}\setup.exe" soweit ich es verfolgen konnte, AVK selbst! Will sagen, die "Setup.exe" zum Deinstallieren des AVK in C:\D+E\AllUsers\Startmenü\Progs\GDATAAVK\Deinstall.ink (!)

Der Trojaner befindet sich jetzt in Quarantäne. Lässt sich nicht säubern.
Was tun ?????

Bitte dringend um Hilfe [2 neue Progs installiert +++ - noch kein Image erstellt - ich Dummerle!]
henriette
__________
W2K Pro SP4, AVK2007 Pro (G DATA), TuneUpUtilities 2006, Ad-Aware 1.06r1, RegSeeker, NT RegOpt, Spybot 1.4 (Teatimer deaktiviert), Panda Antirootkit, Regopt, Pagedefrag, uam.

#2 Bitte einmal die Punkte 1-3 von hier abarbeiten... http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Raman,

habe die Tools runtergeladen, doch (!) ich muss dann ja ZUERST die verseuchte file aus der Quarantäne "zurückbewegen", damit sie gefunden wird - oder wie ??
DABEI weiss ich allerdings nicht, wann AVK sie sich wieder schnappt - womöglich sofort! Auch bei ausgeschaltetem Virenwächter.
henriette
PS: habe Hijackthis Version 1.99.0.1 = ok ????
__________
W2K Pro SP4, AVK2007 Pro (G DATA), TuneUpUtilities 2006, Ad-Aware 1.06r1, RegSeeker, NT RegOpt, Spybot 1.4 (Teatimer deaktiviert), Panda Antirootkit, Regopt, Pagedefrag, uam.

#4 Nein, du kannst eigentlich alles so lassen wie es ist. Was du machen koenntest, wenn du die Datei zurueckschiebst, benenne sie um und teste sie bei Jotti VT um einen Fehlalarm auszuschliessen...
__________
MfG Ralf
SEO-Spam Hunter

#5 raman,

also definitiv zurückschieben ???
ojeh .. wie genau benennen ?


Danach Jotti VT ?
__________
W2K Pro SP4, AVK2007 Pro (G DATA), TuneUpUtilities 2006, Ad-Aware 1.06r1, RegSeeker, NT RegOpt, Spybot 1.4 (Teatimer deaktiviert), Panda Antirootkit, Regopt, Pagedefrag, uam.

#6 Du brauchst es nicht unbedingt zu machen. Ist eigentlich nicht so wichtig... Die Report5e aus dem Link sind wichtiger
__________
MfG Ralf
SEO-Spam Hunter

#7 ok, dann lasse ich's in Quarantäne und versuche die 3 Punkte mit den dort genannten Tools.
Ich hatte gefragt, ob Hijackthis version 1.99.0.1 richtig ist (habe ich nämlich runtergeladen - für W2K ok ? (weil in der Beschreibung steht fett - NUR v1.99.1!

Was meinst Du mit "report5e" von wo ? Reporte richtig ? von welchem tool oder was ? --> Combofix ?
__________
W2K Pro SP4, AVK2007 Pro (G DATA), TuneUpUtilities 2006, Ad-Aware 1.06r1, RegSeeker, NT RegOpt, Spybot 1.4 (Teatimer deaktiviert), Panda Antirootkit, Regopt, Pagedefrag, uam.

#8 Das was Hijackthis und Combofix als Ergebniss liefern, bitte hier posten. Hm, eine 1.99.0.1 sollte es von Hijackthis nicht geben. Nimm diesen Download: http://download.hijackthis.eu/hijackthis_199.zip
__________
MfG Ralf
SEO-Spam Hunter

#9 Hijackthis > rechtklick > Eigenschaften > beides Mal version 1.99.0.1, gleiche Grösse.
__________
W2K Pro SP4, AVK2007 Pro (G DATA), TuneUpUtilities 2006, Ad-Aware 1.06r1, RegSeeker, NT RegOpt, Spybot 1.4 (Teatimer deaktiviert), Panda Antirootkit, Regopt, Pagedefrag, uam.

#10 Interessant, da hat Merijn wohl etwas verwechselt. Die Version stimmt auf jeden Fall. Das siehst du nachher, wenn der Report erstellt wurde.
__________
MfG Ralf
SEO-Spam Hunter

#11 gut, dann fang ich mal an.
Falls Probs auftreten melde ich mich.
Was ich absolut NICHT verstehe ist, wie soll eine verseuchte file entdeckt werden, wenn sie in meinem Virenscanner in Quarantäne - und damit nicht mehr im System ist ?????
__________
W2K Pro SP4, AVK2007 Pro (G DATA), TuneUpUtilities 2006, Ad-Aware 1.06r1, RegSeeker, NT RegOpt, Spybot 1.4 (Teatimer deaktiviert), Panda Antirootkit, Regopt, Pagedefrag, uam.

#12 Nein, es geht nicht darum, die Datei zu finden. Es wird nur versucht entsprechende Hinweise auf die Infizierung, bzw ob zusaetzliche Infizierungen vorhanden sind.

Zum jetzigen Zeitpunkt gehe ich von einem Fehlalarm aus.
__________
MfG Ralf
SEO-Spam Hunter

#13 "DONALD" - 26.05.2007 18:32:41 Service Pack 4
ComboFix 07-05.26.3.V - Running from: "G:\Programs (exe) latest Jan 05\TrojanerEntferng-Protecus-Tools 26.05.07\Combofix\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-26 to 2007-05-26 ))))))))))))))))))))))))))))))))))


2007-05-26 18:35 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3ac.dat
2007-05-26 16:19 4,313,088 --a------ C:\Dokumente und Einstellungen\DONALD\NTUSER.DAT
2007-05-26 16:19 4,313,088 --a------ C:\DOKUME~1\DONALD\NTUSER.DAT
2007-05-25 17:28 <DIR> d-------- C:\Programme\IrfanView
2007-05-24 16:16 <DIR> d-------- C:\Programme\7-Zip
2007-05-04 18:01 <DIR> d-------- C:\Programme\Panda AntiRootkit


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-25 16:03:06 18,192 ----a-w C:\WINNT\system32\pgdfgsvc.exe
2007-05-15 15:31:33 33,554,432 ----a-w C:\VIRTPART.DAT
2007-05-04 15:59:34 -------- d-----w C:\Programme\ATI Technologies
2007-04-11 09:48:13 -------- d-----w C:\Programme\TuneUp Utilities 2004
2007-04-05 10:47:30 2,854,400 ----a-w C:\WINNT\system32\msi.dll
2007-03-13 09:44:36 246,032 ----a-w C:\WINNT\system32\WINSRV.DLL
2007-03-06 14:47:36 381,712 ----a-w C:\WINNT\system32\USER32.DLL
2007-03-06 11:17:34 38,160 ----a-w C:\WINNT\system32\mf3216.dll
2007-03-06 11:17:34 235,280 ----a-w C:\WINNT\system32\GDI32.DLL
2007-03-06 11:14:19 1,642,096 ----a-w C:\WINNT\system32\WIN32K.SYS


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [05-05-31 02:04 ]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [06-12-15 03:23 ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05 C:\WINNT\system32\mobsync.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [04-04-21 21:10 ]
"AVKTray"="C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe" [06-09-07 11:00 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" [04-11-11 19:51 ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
"ASUS Probe"=c:\programme\asus\probe\AsusProb.exe
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
WmdmPmSN

*Newly Created Service* -IPNAT

Contents of the 'Scheduled Tasks' folder
2006-03-12 20:03:05 C:\WINNT\tasks\1-Klick-Wartung.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-26 18:35:18
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\ATI2MTAG]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ati2mtag]
"ImagePath"="system32\DRIVERS\ati2mtag.sys"
[HKEY_LOCAL_MACHINE\system\ControlSet002\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\ATI2MTAG]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ati2mtag]
"ImagePath"="system32\DRIVERS\ati2mtag.sys"
[HKEY_LOCAL_MACHINE\system\ControlSet002\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\VGASAVE]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\VgaSave]
"ImagePath"="\SystemRoot\System32\drivers\vga.sys"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\ATI2MTAG]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ati2mtag]
"ImagePath"="system32\DRIVERS\ati2mtag.sys"
[HKEY_LOCAL_MACHINE\system\ControlSet002\Hardware Profiles\0001\System\ControlSet001\Services\ati2mtag]

Completion time: 2007-05-26 18:35:50 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-05-26 18:35

--- E O F ---
__________
W2K Pro SP4, AVK2007 Pro (G DATA), TuneUpUtilities 2006, Ad-Aware 1.06r1, RegSeeker, NT RegOpt, Spybot 1.4 (Teatimer deaktiviert), Panda Antirootkit, Regopt, Pagedefrag, uam.

#14 Poste bitte noch den Hijackthis Report.
__________
MfG Ralf
SEO-Spam Hunter

#15 Logfile of HijackThis v1.99.1
Scan saved at 18:52:24, on 26.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\WINNT\system32\tbctray.exe
G:\Programs (exe) latest Jan 05\TrojanerEntferng-Protecus-Tools 26.05.07\Combofix\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [TraySantaCruz] C:\WINNT\system32\tbctray.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O15 - Trusted Zone: *.adobe.com
O15 - Trusted Zone: *.amazon.de
O15 - Trusted Zone: *.support.asus.com
O15 - Trusted Zone: *.asus.de
O15 - Trusted Zone: *.cat-sound.com
O15 - Trusted Zone: *.cdspeed2000.com
O15 - Trusted Zone: *.druckerzubehoer.de
O15 - Trusted Zone: *.emisoft.de
O15 - Trusted Zone: *.gdata.de
O15 - Trusted Zone: *.hitachigst.com
O15 - Trusted Zone: *.hoverdesk.net
O15 - Trusted Zone: *.jpc.de
O15 - Trusted Zone: *.kcsoftwares.com
O15 - Trusted Zone: *.penny.de
O15 - Trusted Zone: *.quoka.de
O15 - Trusted Zone: *.seagate.com
O15 - Trusted Zone: *.sisoftware.net
O15 - Trusted Zone: *.sourgeforge.net
O15 - Trusted Zone: *.t-online.de
O15 - Trusted Zone: *.wintotal.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142431899156
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
__________
W2K Pro SP4, AVK2007 Pro (G DATA), TuneUpUtilities 2006, Ad-Aware 1.06r1, RegSeeker, NT RegOpt, Spybot 1.4 (Teatimer deaktiviert), Panda Antirootkit, Regopt, Pagedefrag, uam.