Hallo,
mein Wächter findet seit einiger Zeit einen TrojanDownloader:Win32/Delf.J. Dieser hing zunächst an einer Datei in C:\WINDOWS\SYSTEM32 und wurde hauptsächlich bei Neustarts entdeckt. Als ich versucht habe, die entsprechende exe-Datei zu verschieben, erhielt ich eine Fehlermeldung. Die Datei ist seitdem jedoch verschwunden. Das Problem schien gelöst. Weder beim Booten noch bei einem Komplettscan gab es noch eine Meldung. Einen halben Tag später ist das Mistvieh jedoch an einer anderen Stelle (jetzt im Verzeichnis C:\System Volume Information) wieder auferstanden. [img]graemlins/koch.gif[/img]

Kennt jemand ein geeignetes Removal-Tool oder hat sonst einen schlauen Rat?

Vielen Dank!!! [img]graemlins/knuddel.gif[/img]

Die entsprechende Datei kannst du nicht einfach verschieben, das sie ja im Hintergrund läuft. Sie wird über den Autostart automatisch beim Systemstart geladen. Das heißt, vorher müßte der Prozess beendet werden, erst dann könntest du die Datei entfernen und den Autostarteintrag löschen.

Welcher Virenscanner hat den Schädling gefunden?

Ich schau mal, ob ich irgendwo Infos zur Entfernung finde!

Hier gibt es Infos über Delf, leider nur in Englisch (gefunden mit Google, Suche nach "Delf").

Edit:

Infos in Deutsch:

Hier einfach Delf ins Suchfenster eingeben.

[ 05. Juli 2003, 12:20: Beitrag editiert von: Sagamore ]

</font><blockquote>Zitat:</font><hr />
...mein Wächter findet seit einiger Zeit einen TrojanDownloader:Win32/Delf.J....Als ich versucht habe, die entsprechende exe-Datei zu verschieben, erhielt ich eine Fehlermeldung...
</font>[/QUOTE]...klar, wenn der Trojaner aktiv ist, kannst du ihn nicht löschen.
</font><blockquote>Zitat:</font><hr />
...Die Datei ist seitdem jedoch verschwunden.
</font>[/QUOTE]..Seit was? Wie denn das:Hat den Selbstmord begangen oder wurde von einem Antivir/Antitrojan Scanner eliminiert? Wenn "ja" - von welchem?
</font><blockquote>Zitat:</font><hr />
Das Problem schien gelöst. Weder beim Booten noch bei einem Komplettscan gab es noch eine Meldung. Einen halben Tag später ist das Mistvieh jedoch an einer anderen Stelle (jetzt im Verzeichnis C:\System Volume Information) wieder auferstanden.
</font>[/QUOTE]...ich vermute sehr stark, dass du keinen kompletten Pfad zum "Mistvieh" gepostet hast
Wäre es C:\System Volume Informatio\_restore\..., so wäre es hier die Lösung gewesen.

Hallo, installier doch mal Trojancheck und poste mal eine Liste der laufenden Prozesse, damit man genau weiß, was so auf deinem PC im Hintergrund alles heimlich "abgeht"
Dann, den Trojanerprozess killen und versuchen die betroffenen Dateien zu löschen.
Gute AVs: KAV und AVK (gute Trojanererkennung)
Wenn die Prozesse beendet sind sollte aber auch ein normales AV wie Antivir in der Lage sein den Trojaner zu entfernen....sofern es nur dieser eine ist, denn wie gesagt, KAV und AVK erkennen die meisten.
Viel Glück

Wenn ich richtig gelesen habe, und mich auch nicht vertan hab, dann ist ein TrojanerWebDownloader ein Programm, was wenn es ausgeführt wurde, eine angegebene Datei aus dem INet runterlädt und ausführt. d.h. Theoretisch könnte man damit einen Trojaner downloaden und starten. Der Webdownloader kann wird oder löscht sich meiner Meinung nach, danach alleine wieder.

Wie gesagt ich bin mir jetzt nicht ganz sicher ob es das war.

/nachtrag: Ich habe gerade mal die Bezeichnung in Google eingegeben. Die einzigsten Seiten die die Bezeichnung so auf der Seite haben sind: KAV und RAV....
/nachtrag2: Eine andere Version. TrojanDownloaderelf.c ist es hier
http://vil.nai.com/vil/content/v_100057.htm

Björn

[ 05. Juli 2003, 14:09: Beitrag editiert von: Lucky ]

@ Lucky:
Du liegst richtig...bei mir war auch mal ein Trojan Downloader im Opera Cache und laut kaspersky.com lädt das Teil einen eigentlichen Trojaner und einen Dialer nach....jedenfalls beid er Variante, die ich mir mal eingefangen hatte.

[img]tongue.gif[/img] Apoll6060:
Hallo Rene-gad,
erst einmal vielen Dank für Deine Hilfe! Die offenen Punkten versuche ich im folgenden zu beantworten:

</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:
</font><blockquote>Zitat:</font><hr />
...mein Wächter findet seit einiger Zeit einen TrojanDownloader:Win32/Delf.J....Als ich versucht habe, die entsprechende exe-Datei zu verschieben, erhielt ich eine Fehlermeldung...
</font>[/QUOTE]...klar, wenn der Trojaner aktiv ist, kannst du ihn nicht löschen.

[img]tongue.gif[/img] Apollo6060:Ich hoffe, es ist noch kein Trojaner aktiv, da mein Wächter bisher das Laden eines solchen unterdrückt hat.

</font><blockquote>Zitat:</font><hr />
...Die Datei ist seitdem jedoch verschwunden.
</font>[/QUOTE]..Seit was? Wie denn das:Hat den Selbstmord begangen oder wurde von einem Antivir/Antitrojan Scanner eliminiert? Wenn "ja" - von welchem?

[img]tongue.gif[/img] Apollo6060: Das Antivirusprogramm ist AVK 11. Von diesem wurde jedoch der "Virus" nicht entfernt. Ich habe versucht, die infizierte Datei (AUPDATE.EXE) manuell per Ausschneiden und Einfügen aus dem Systembereich zu verschieben.


</font><blockquote>Zitat:</font><hr />
Das Problem schien gelöst. Weder beim Booten noch bei einem Komplettscan gab es noch eine Meldung. Einen halben Tag später ist das Mistvieh jedoch an einer anderen Stelle (jetzt im Verzeichnis C:\System Volume Information) wieder auferstanden.
</font>[/QUOTE]...ich vermute sehr stark, dass du keinen kompletten Pfad zum "Mistvieh" gepostet hast
Wäre es C:\System Volume Informatio\_restore\..., so wäre es hier die Lösung gewesen. </font>[/QUOTE] [img]tongue.gif[/img] Apollo6060: Die komplette Meldung lautet
"Beim Öffnen der Datei "C:System Volume Information_restoreFA0CEAAD-9AC9-4161-8426-57672CB9C5D3RP103A0021518.exe" wurde der Virus "TrojanDownloader:Win32/Delf.J" von der Engine "RAV-Engine" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja."

Ich komme zwar nicht in das geschützte Verzeichnis, entnehme jedoch aus Euren Kommentaren, dass es sich um eine Systemwiderherstellungsdatei handeln muss. Nach Möglichkeit möchte ich die Systemwiederherstellung jedoch nicht dauerhaft unterdrücken. Ich kann mir jedoch theoetisch vostellen, nur angegebene Datei zu löschen und dann ein neues Backup zu machen. Könnte das funktionieren? Und wie lösche ich eine geschützte Datei, wenn ich noch nicht einmal einen Lesezugriff auf das Verzeichnis erhalte?

[ 06. Juli 2003, 10:40: Beitrag editiert von: Apollo6060 ]

Moin,

</font><blockquote>Zitat:</font><hr />Ich komme zwar nicht in das geschützte Verzeichnis, entnehme jedoch aus Euren Kommentaren, dass es sich um eine Systemwiderherstellungsdatei handeln muss.</font>[/QUOTE]Das ist richtig, es handelt sich um die Systemwiederherstellung.
</font><blockquote>Zitat:</font><hr />Nach Möglichkeit möchte ich die Systemwiederherstellung jedoch nicht dauerhaft unterdrücken. Ich kann mir jedoch theoetisch vostellen, nur angegebene Datei zu löschen und dann ein neues Backup zu machen. Könnte das funktionieren?</font>[/QUOTE]Du musst sie nicht dauerhaft unterdrücken. Es reicht aus, die Systemwiederherstellung zu deaktivieren und danach erneut zu aktivieren (gelegentlich heißt es, zwischen deaktivieren und aktivieren solle man rebooten). Dadurch werden alle bisher gesetzten Wiederherstellungspunkte gelöscht. Jetzt kannst du dann gleich nach dem erneuten Aktivieren einen Systemwiederherstellungspunkt mit dem sauberen System erstellen.
</font><blockquote>Zitat:</font><hr />Und wie lösche ich eine geschützte Datei, wenn ich noch nicht einmal einen Lesezugriff auf das Verzeichnis erhalte?</font>[/QUOTE]Generell, indem du vorher den laufenden Prozess der betreffenden Datei deaktivierst oder im abgesicherten Modus löscht.

Gruß
Der

Der Trojaner etc ist im Systemwiederherstellungsverzeichnis? Dann kannst du ihn da ganz leicht löschen.

Einfach kurz die SW deaktivieren scannen und wieder aktivieren. Und weg sollte er sein, deine Wiederherstellungspunkte zwar auch, aber bei einem neustart werden die wieder neuangelegt, und diesmal hoffentlich ohne Trojaner.

Anleitung:
http://www.free-av.de/merestore.htm

Björn [img]smile.gif[/img]

Euch allen herzlichen Dank für die Hilfsbereitschaft!!!