Trojaner Dropper.Delf.3.L

Michl1 · 27.12.2004, 21:00

Hallo zusammen,

habe ein Problemchen, ..
und zwar hab ich jeden Tag wieder probleme mit dem
Trojaner Dropper.Delf.3.L

hab schon den Onlinescan von Panda versucht, der brachte aber nix..
Der Kaspersky Online scan funktioniert erst gar nicht mehr vom meinem PC aus..

Kann mir irgendjemand damit weiterhelfen??
Bin schon kurz davor zu Formatieren..

Danke euch

Michl

Haui45 · 27.12.2004, 21:01

Wo wurde der Trojaner gefunden?
Leere deine Temporary Internet Files.
Poste ein HijackThis Logfile.

27.12.2004, 21:02

Welcher Kaspersky-OnlineScan?? Du kannst einzelne Dateien überprüfen.

1. Welcher Virenscanner meldet dir den Trojaner? Vom Namen her tippe ich auf Bitdefender.

2. Wo wird der Trojaner gefunden? Pfadangabe.

3. Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/

EDIT: Ok, Haui war wieder schneller.

Michl1 · 27.12.2004, 23:15

Also ...

Hab auf meinem Rechenr AVG-Antivirus der es gemeldet hat als Dropper.Delf.3.L

Pfad idt : c:Temp

HijackThis kommt morgen früh, wenn ich wieder zuhaus bin

Shadowdance · 27.12.2004, 23:18

@ Michl1

Zitat:

Zitat von Michl1

Pfad idt : c:Temp

Leere den Inhalt, wenn Du es nicht von Hand kannst, nimm das ClearProg.

SD

Michl1 · 27.12.2004, 23:23

Zitat:

Zitat von Shadowdance

@ Michl1

Leere den Inhalt, wenn Du es nicht von Hand kannst, nimm das ClearProg.

SD

Hab den Ordener die letzten 3 Tage immer geleert, konnt es auch Löschen..
Aber in c:Temp wird immer wieder ein Installer1.exe oder Installer2.exe gefunden.. jeden tag um die gleiche zeit fängt es wieder an...
Nach dem Löschen den PC gescannt mit AVG-Antivirus, und 2 anderen Progs, eins für Trojaner und Malware, wird nix gefunden..
Nächsten ag isses wieder da..

Poste morgen früh das Hijack

Michl1 · 27.12.2004, 23:25

Bevor ichs vergess..,
komm noch nichtmal auf die Kaspersky hp... von zuhause aus..

Cidre · 27.12.2004, 23:48

Dann überprüfe mal die hosts Datei, ob dort ein Eintrag bezüglich Kasperky vorhanden ist.
Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts

Michl1 · 28.12.2004, 09:50

Zitat:

Zitat von Cidre

Dann überprüfe mal die hosts Datei, ob dort ein Eintrag bezüglich Kasperky vorhanden ist.
Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts

Nein, Kaspersky.de ist kein eintrag drinne, nur Kaspersky.com

Michl1 · 28.12.2004, 09:58

So, hier mal der HijackThis für euch..
hoffe ihr könnt helfen..

Logfile of HijackThis v1.99.0
Scan saved at 09:56:16, on 28.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Windows ServeAd\WinServAd.exe
C:\WINDOWS\system32\SahAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a2\a2guard.exe
C:\Program Files\Windows ServeAd\WinServSuit.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Michl\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [windows] hkey.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\system32\SahAgent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [windows] hkey.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...92be6d71d48cd1
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1119.cab
O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Michl1 · 28.12.2004, 20:30

Kann ihn zwar Löschen, aber jeden morgen um 10.31 Uhr hab ich ihn wieder in C:Temp drinne...

Verzweifle so langsam

Haui45 · 28.12.2004, 20:33

Warum eröffnest du 2 Threads? -> http://www.trojaner-board.de/showthread.php?t=11326

27.12.2004, 21:02	#3
Christian Gast	Trojaner Dropper.Delf.3.L Welcher Kaspersky-OnlineScan?? Du kannst einzelne Dateien überprüfen. 1. Welcher Virenscanner meldet dir den Trojaner? Vom Namen her tippe ich auf Bitdefender. 2. Wo wird der Trojaner gefunden? Pfadangabe. 3. Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/ EDIT: Ok, Haui war wieder schneller. __________________

27.12.2004, 23:48	#8
Cidre Administrator, a.D.	Trojaner Dropper.Delf.3.L Dann überprüfe mal die hosts Datei, ob dort ein Eintrag bezüglich Kasperky vorhanden ist. Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Trojaner Dropper.Delf.3.L

Plagegeister aller Art und deren Bekämpfung: Trojaner Dropper.Delf.3.L