| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Drop.Delf:DJ.3Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.10.2004, 12:33
| #1 |
| |  TR/Drop.Delf:DJ.3 Hallo zusammen, ich als Nichtprofi habe versucht, mich zu diesem anscheinend nicht neuen Thema schonmal ein wenig schlau zu machen - wie gesagt, ich bin alles andere als ein Experte, darum bitte ich um Nachsicht für dumme Fragen oder vergessene Angaben. Mein AntiVir Guard findet beim Start des Internet-Explorers den im Betreff genannten Trojaner, der sich temporär löschen läßt, aber anscheinend "wiederhergestellt" wird. E-Scan ist installiert und gelaufen, hijackthis sagt dies (auf dem Sytem herrscht leider aufgrund mehrerer Benutzer ziemliches Chaos): Logfile of HijackThis v1.98.2 Scan saved at 13:21:24, on 15.10.04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINNT\System32\nddeagnt.exe C:\WINNT\Explorer.exe C:\WINNT\System32\SysTray.Exe C:\WINNT\System32\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Exif Launcher\QuickDCF.exe C:\PROGRA~1\Plus!\MICROS~1\iexplore.exe D:\ROLAND\WinZip\winzip32.exe C:\TEMP\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...5.5&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...nal&plcid=1103 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local> F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRA~1\DAP\dapiebar.dll (file missing) O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\RECYCLED\DC12482\SrchAstt\1.bin\MYSRCHAS.DLL (file missing) O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: exif launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O13 - WWW. Prefix: http:// O16 - DPF: Win32 Classes - file://C:\WINNT\Java\classes\win32ie4.cab O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25c11135...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab Was kann ich tun? Falls die Systemwiederherstellung deaktiviert werden muss - wie funtioniert das unter NT?  Vielen Dank schon mal im voraus für eventuelle Hilfe.  |
|
15.10.2004, 23:31
| #2 |
| Gast | TR/Drop.Delf:DJ.3 Zuerst besuche mal www.windowsupdate.com und installiere dir alle
__________________Patches und Updates. Anschließend fixe mit HijackThis dies: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\RECYCLED\DC12482\SrchAstt\1.bin\MYSRCHAS.DLL (file missing O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing) O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O13 - WWW. Prefix: http:// O16 - DPF: Win32 Classes - file://C:\WINNT\Java\classes\win32ie4.cab O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25c1113...RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab Lösche deine Temp. Internet Files. |
|
15.10.2004, 23:45
| #3 |
  | TR/Drop.Delf:DJ.3 Hallo johncage77,
__________________MSIE: Internet Explorer v5.50 (5.50.4134.0600) - Du verwendest eine antike Version des IE, besuche bitte: www.windowsupdate.com Boote in den abgesicherten Modus, fixe mit Hijack This: C:\Programme\Exif Launcher\QuickDCF.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRA~1\DAP\dapiebar.dll (file missing) O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\RECYCLED\DC12482\SrchAstt\1.bin\MYSRCHAS.DLL (file missing) O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing) O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINNT\System32\ADV.dll (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O13 - WWW. Prefix: http:// O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe wenn Du diese Einträge nicht kennst/brauchst, bitte fixen: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1; F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O16 - DPF: Win32 Classes - file://C:\WINNT\Java\classes\win32ie4.cab O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe Boote in den normalen Modus. Beende: QuickDCF.exe Ich sehe leider keinerlei Spuren des eScan auf Deinem Rechner. Daher folgender Tipp: lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan 4.5.1: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es. SD |
|
18.10.2004, 11:59
| #4 |
| | TR/Drop.Delf:DJ.3 Vielen Dank für eure Antworten, ich mache mich mal an die Arbeit... Leider gibt es unter WIN NT anscheinend keinen abgesicherten Modus - un nu?  |
|
18.10.2004, 12:50
| #5 |
| | TR/Drop.Delf:DJ.3 @ johncage77 [Zitat http://www.trojaner-board.de/63335-w...s-starten.html] "Windows NT bis Version 4.0 kennt keinen Abgesicherten Modus. Es gibt jedoch zumindest einen VGA-Modus, der bei fehlerhaften Grafik-Treibern Abhilfe schaffen kann. Dieser VGA-Modus kann im Auswahl-Menü des Boot-Managers, das bei jedem Systemstart erscheint, ausgewählt werden." ( bitte obigen Link anklicken, dort wird dann erklärt, wie es weitergeht). SD |
|
18.10.2004, 15:48
| #6 |
| | TR/Drop.Delf:DJ.3 Soooooo... eScan sagt dies: File C:\TEMP\backups\backup-20041018-154659-662 infected by "Exploit. HTML.Mht" Virus. Action taken: File renamed. Hier das Hijack This Logfile: Logfile of HijackThis v1.98.2 Scan saved at 16:40:25, on 18.10.04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolss.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\cpqalert.exe C:\WINNT\CPQDIAG\CPQDFWAG.EXE C:\Programme\COMPAQ\CpqWebDMI\webdmi.EXE C:\Programme\Compaq\LCRMS\LCRMS.EXE C:\WINNT\system32\RpcSs.exe C:\WINNT\System32\esserver.exe c:\winnt\system32\pstores.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\SENS.EXE c:\dmi\win32\bin\Win32sl.exe C:\WINNT\System32\cpqdmi.exe C:\WINNT\Explorer.exe C:\WINNT\System32\SysTray.Exe C:\WINNT\System32\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE D:\ROLAND\WinZip\winzip32.exe C:\TEMP\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.200:3128 O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O13 - WWW. Prefix: http:// |
|
18.10.2004, 16:43
| #7 |
| | TR/Drop.Delf:DJ.3 @ johncage77, C:\WINNT\System32\cpqalert.exe C:\WINNT\System32\esserver.exe C:\WINNT\System32\SENS.EXE C:\WINNT\System32\cpqdmi.exe sind Prozesse, die ich nirgends finde. Kannst Du sie bitte noch mit dem Online-Scan von Kaspersky überprüfen? Teile uns bitte das Ergebnis mit und sende die Dateien an partytime-germany.ice@web.de mit Verweis auf diesen Thread. Fixe bitte noch mit Hijack This im VGA-Modus: O13 - WWW. Prefix: http:// SD |
|
18.10.2004, 17:04
| #8 |
| | TR/Drop.Delf:DJ.3 Erledigt, nochmals danke. Jetzt sieht´s so aus: Logfile of HijackThis v1.98.2 Scan saved at 17:59:55, on 18.10.04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolss.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\cpqalert.exe C:\WINNT\CPQDIAG\CPQDFWAG.EXE C:\Programme\COMPAQ\CpqWebDMI\webdmi.EXE C:\Programme\Compaq\LCRMS\LCRMS.EXE C:\WINNT\system32\RpcSs.exe C:\WINNT\System32\esserver.exe c:\winnt\system32\pstores.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\SENS.EXE c:\dmi\win32\bin\Win32sl.exe C:\WINNT\System32\cpqdmi.exe C:\WINNT\Explorer.exe C:\WINNT\System32\SysTray.Exe C:\WINNT\System32\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE D:\ROLAND\WinZip\winzip32.exe C:\TEMP\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...5.5&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.200:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min |
|
18.10.2004, 17:38
| #9 |
 | TR/Drop.Delf:DJ.3 @johncage77 Was hat denn die überprüfung der dir von Shadowdance genannten Dateien ergeben? Ausserdem solltest du www.windowsupdate.com besuchen und dir den aktuellen Internet Explorer, sowie alle patches herunterladen. |
|
19.10.2004, 07:09
| #10 |
| | TR/Drop.Delf:DJ.3 @ Lidius: Die Dateien sind laut Kaspersky alle ok. Heute mache ich mich an die Updates und Patches. Ein großes Dankeschön an alle Helfer!!! |
|
| Themen zu TR/Drop.Delf:DJ.3 |
| antivir, antivir guard, avg, bho, boot, button, ellung, file missing, frage, hijack, hijackthis, home, internet explorer, löschen, messenger, microsoft, msn messenger, neue, programme, software, system, system32, systemwiederherstellung, temporär, trojaner, unter, userinit, win32, windows |
Linear-Darstellung
