Home » Viren, Trojaner & Malware Forum » Was ist Dr/inor.m ??? » Themenansicht

Was ist Dr/inor.m ???
#0
14.03.2004, 12:29
Eddynator
Member

Beiträge: 21
#1 Also heut war ich wieder im Internet unterwegs und bekamm plötzlich von meinem antivir eine Meldung, dass ein DR/Inor.m auf meinem Computer sei! ;)
Die Datei hab ich sofort gelöscht, aber ich weiß nicht was ein dropper ist!! ???

Ich hab versucht mich unter google schlau zu machen, aber nix gefunden...

Hier ist ein HijackThis Log :
Logfile of HijackThis v1.97.7
Scan saved at 12:28:49, on 14.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
E:\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
E:\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iCounter\iCounter.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
f:\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Eddy\Desktop\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.malaks-site.de/
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - E:\0190WA~1\whelper1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [0190 Warner] E:\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [iCounter] C:\Programme\iCounter\iCounter
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37959.9019791667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AF16FAE-0712-4200-8BA1-589B1870F541}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F0B05EE-50CD-4420-8F9A-ACAB85889393}: NameServer = 217.5.114.141 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AF16FAE-0712-4200-8BA1-589B1870F541}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0AF16FAE-0712-4200-8BA1-589B1870F541}: NameServer = 192.168.122.252,192.168.122.253

Bitte helft mir!!!!!!
__________
MFG
Eddy
Seitenanfang Seitenende
14.03.2004, 12:41
raman
Moderator

Beiträge: 7805
#2 Ichhabe nur was zur h Variante gefunen. Aber wenn Antivir das gebockt hat, hatte das Script eh keine Zeit, schaden anzurichten:
http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=inor.h&product=2

Mit Diesem Programm kannst du VBS sowieso deaktivieren, bzw bei bedarf wieder aktiviern: Noscript.exe http://www.symantec.com/avcenter/noscript.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.03.2004, 12:47
Eddynator
Member

Themenstarter

Beiträge: 21
#3 Trotzdem Danke RAMAN !!!!

Bist echt klasse! ;)
__________
MFG
Eddy
Seitenanfang Seitenende
14.03.2004, 12:47
paff
Member

Beiträge: 1095
#4 HI Eddynator

DeinLog sieht gut aus. Dein Scanner scheint dich vor allem Schaden bewahrt zu haben.

Ein "dropper" ist kein Virus an sich, sondern er läßt nur eine Datei fallen "to drop" die ein Virus ist.

Das ist bei die aber scheinbar nicht der Fall, da der Scanner schon vorher eingeschritten ist.

Ich würde trotzdem mal im Abgesicherter Modus einen Fullscan machen.
Vorher Virenscanner updaten! ;)
Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm

Gruß paff

P.S.
Das kannst du Im HijackThis fixen
O4 - Global Startup: officejet 6100.lnk = ?
ist nur unötiger Ballast
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
15.03.2004, 11:56
Eddynator
Member

Themenstarter

Beiträge: 21
#5 @pfaff ich date mein antivir täglich up ;)
einen fullscan hab ich schon gemacht! ;)
__________
MFG
Eddy
Seitenanfang Seitenende
15.03.2004, 15:10
paff
Member

Beiträge: 1095
#6 @eddy

Dann ist ja alles OK ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1