AntiVir verschiebt TR/Dropper.gen in Quarantäne - ist er illiminiert ?

#1 Hallo liebes Team,
ich habe mich auf eine user-empfehlung bei euch angemeldet, da ihr eine kompetente und schnelle Beratung bietet - ich bin also das erstemal dabei - leider mit wenig PC-Kenntnissen.

Für Eure Hilfe bedanke ich mich schon einmal im Voraus !

Gestern machte ich ein SystemCheck mit Antivir (wird alle 3 Tage abgedatet)
Er meldete den Trojaner Dropper der hier im Forum ja schon öfter diskutiert wurde. Deshalb habe ich bereits die Anweisung der Forenberater angewendet.

2x nach Quarantäne-Verschiebung durchlaufen von AntiVir dann:
Scan mit Hijack - Scan mit mbam - Scan und rep. mit ToolbarSD

Es ergeben sich noch 2 Fragen:

1. Wenn Antivir etwas lokalisiert und in Quarantäne verschiebt - ist der Teufel dann wirklich vom PC verschwunden.
(Soll man bei Aufforderung lieber in Q. verschieben oder direkt löschen ?)
2. Ist mein PC jetzt wirklich sauber ?
(wenn ihr die Daten unten bitte lesen und auswerten würdet ?

Hijack Scan:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:06:22, on 21.04.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Acrobat 7\Distillr\Acrotray.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 7\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Acrobat 7\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat 7\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136557248608
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155316463633
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?315
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\PowerNow!\GemServ.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: RadClock - Unknown owner - C:\Programme\RadLinker\RadClock.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 7789 bytes

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2016
Windows 5.1.2600 Service Pack 1

21.04.2009 00:15:51
mbam-log-2009-04-21 (00-15-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 68213
Laufzeit: 7 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 1
X86-based PC ( Uniprocessor Free : mobile AMD Athlon(tm) XP 1600+ )
BIOS : Version 1.00
USER : Besitzer ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:14 Go (Free:0 Go)
D:\ (Local Disk) - FAT32 - Total:3 Go (Free:0 Go)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 21.04.2009| 0:26 )

-----------\\ FIX

Geloescht ! - C:\WINDOWS\iun6002.exe

-----------\\ Suche nach Dateien - Ordnern ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.msn.de/"
"Default_Search_URL"="http://search.msn.de/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.msn.com/"


--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !


1 - "C:\ToolBar SD\TB_1.txt" - 20.04.2009|23:57 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 21.04.2009| 0:28 - Option : [2]

-----------\\ Scan beendet um 0:28:10,45

Nochmals lieben Dank für Eure Anlayse und Hilfe ![/b]

#2 Poste bitte den Antivir Report, in dem steht, welche Datei er als dropper.gen gemeldet hat.

Davon einla abgesehen ist dein System nicht gerade auf dem aktuellen Stand....
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

hier wie gewünscht:

Die Datei 'C:\Sophtemp\resolve.com'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5f602d.qua' verschoben!

Suchengine: 8.02.00.148
Virendefenitionsdatei: 7.01.03.77

Du hast sicher recht, vieles ist veraltet - aber der PC ist alt und hat kaum noch Platz für updates.

Ist den nach deiner Analyse der drei scanns noch irgendetwas drauf ?

Besten Gruss
Thomas

#4 Das hoert ich nach einem alten Tool von Sophos an. Du solltest dir ueberlegen, ob du deinen Rechner nicht mal neu aufsetzen und die Festplatte nicht mehr zu unterteilen.
In diesem Zustand ist dein Pc nicht sehr sicher.
__________
MfG Ralf
SEO-Spam Hunter

#5 erstelle doch mal mit hijackthis eine uninstallist, damit wir sehen was auf deinem pc so instaliert ist, sor wie dein rechner (ohne updates) unterwegs ist, kann er eine Gefahr für andere im Internet darstellen.
Antivir hat bereits version neun rausgebracht, hohl die dir bitte.

#6 Hallo Zusammen,

wie scan ich eine uninstalllist ?

Seht ihr den in den geposteten scanns noch irgend ein Virus od. TR zusehen ?

Besten Dank für Antwort
Thomas

#7 Starte Hijackthis, wähle "Open the Misc Tools section", oeffne "Open Uninstall Manager", drücke dort "Save list...". Sobald die Liste gespeichert wird,
öffnet sich ein Fenster mit den entsprechenden Eintraegen. Bitte diese auch in den eigenen Thread kopieren.
instaliere avira version neun!
stelle es nach dieser anleitung ein, aber noch nicht scannen. teile mit, wenn erledigt.
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html
da du die kostenlose version hast, lasse die punkte mail und webguard weg.

#8 hier schon mal die uninst-liste:

ACDSee for PENTAX
Ad-Aware SE Personal
Adobe Acrobat 7.0 Professional - English, Français, Deutsch
Adobe Download Manager 1.2 (Nur entfernen)
Adobe Flash Player 10 ActiveX
Adobe Photoshop 7.0
Adobe Reader 6.0.1 - Deutsch
Adobe Shockwave Player 11
AMD PowerNow! (tm) Technology Version 2.2.2
ArcSoft PhotoImpression
ATI Control Panel
ATI Display Driver (Omega 2.4.78)
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
CloneCD
ElsterFormular 2004/2005
EPSON Copy Utility
EPSON Photo Print
EPSON Scan
EPSON Smart Panel
Feurio! CD-Writer
FileMaker Pro 5.0
GetRight
HijackThis 2.0.2
HP Deskjet 5700
HP Software Update
Internet Explorer Q831167
Language pack for Ad-Aware SE
LiveReg (Symantec Corporation)
LiveUpdate 2.0 (Symantec Corporation)
Macromedia FreeHand 9
Malwarebytes' Anti-Malware
Microsoft .NET Framework (German)
Microsoft .NET Framework (German) v1.0.3705
Microsoft .NET Framework 1.1
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2005 Redistributable
MultiRes (remove only)
Nero - Burning Rom
Norton Ghost 9.0
Outlook Express Q837009
P1670 Referenzhandbuch
PENTAX USB DISK Device
PowerDVD
Putzi4Win 1.5-e
QuarkXPress Passport 4.0
QuickDraw 3D
QuickTime
RadClocker
Radeon Omega Drivers v2.4.78 Setup Files
RealPlayer Basic
Realtek AC'97 Audio
ScanToWeb
SiSoftware Sandra Standard MAX3! (OcPrices.com Edition)
Smart Link 56K Modem
Startmenu-Cleaner 2.6
SuperDJ(TM) ver 3.2
Sure Delete 5.1.0
T-Online 6.0
Trojancheck 6
TuneUp Utilities 2004
Viewpoint Media Player (Remove Only)
WinZip
xp-AntiSpy 3.94-1

Antivir neu inst folgt so gleich.

Gruss

Hallo Virenfinder,

beim update will er mit V9 nicht geben - er sagt ich bin auf neustem Stand wenn ich updaten will auch beim system-update !?

Was tun ?

Gruss und Dank

PS: der CCleaner hat gestern 170 mb zu entsorgen gefunden,
darf man den so einfach alles gefundene löschen lassen
hier vor allem die sachen in dem Ordner windows/.../Recent/ ???

#9 würde ich drauf verziechten, hat in letzter Zeit viele Fehlalarme, behalte stattdessen malwareBytes
Ad-Aware SE Personal
Adobe Reader 6.0.1 - Deutsch
Adobe Download Manager 1.2 (Nur entfernen)
ElsterFormular 2004/2005 brauchst du sicher net mehr
Language pack for Ad-Aware SE
Trojancheck 6
Viewpoint Media Player (Remove Only)
tuneup würde ich auch runter tun, es bringt keine Vorteile!

CCleaner bereinigung durchfüren.
gehe auf registerkarte windows setze überall häkchen außer bei eingabeverlauf.
erweitert nur bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner."
gehe nun zur registerkarte Anwendung hake alles an.
bei einstellung kookies kannst du bestimmte von der reinigung ausschließen.
zusätzliche ordner bereinigen. einstellungen benutzerdefiniert zu bereinigende dateien und ordner
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\DeinBenutzername\Lokale Einstellungen\Temp\*.*
C:\Windows\Temp\*.*
starte die bereinigung. wieviel platz hast du denn auf deiner platte?

#10 ja, du bist auf neustem stand das ist ok, mache erst mal die reinigung mit CCleaner, teile mir mit, wieviel bereinigt wurde und wieviel platz du auf deiner festplatte hast.

#11 Sorry, verstehe die beiden Antworten nicht zusammen:
Soll ich die o.g. einträge bzw. programme löschen elstar, trojancheck usw ?
in Antwort 1 räts du vom cleaner ab und statt dessen malware ?
in Antwort 2 cleaneranwendung wie beschrieben ?

bitte nochmal aufschlüsseln - Danke !

#12 ich rate von adaware ab.
alles runtertun, trojan chek ist net so besonders.