Hallo erstmal,

ich hatte mir, vor ca. 2 Monaten, einen Trojaner eingefangen und habe daraufhin einen Format C gemacht (auf anraten von einigen Foren).

Jetzt bekomm ich seit ca. 3 Tagen einmal am Tag eine Warnung von meinem AntiVir das ich folgenden Trojaner habe:

C:\WINDOWS\SYSTEM32\TASKMGE.EXE
Ist das Trojanische Pferd TR/Delf.JO

Ich habe bis jetzt immer folgendes angeklickt:

Betroffene Datei löschen

aber leider hat es nix geholfen.

Tja also wenn ich ehrlich bin...ich weiss nicht mehr, was ich sonst noch machen kann. Hoffe nur, das der nicht wieder zur Folge hat, das ich einen Format C machen muss

Wäre super, wenn Ihr mir hier etwas helfen könntet

So dann sag ich schon mal Danke im voraus

Subway

Hallo,

poste bitte mal ein HijackThis-Logfile.

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

mach ich doch gerne, wenn du mir auch noch sagst, wo ich sowas finde :-(

sorry, kenn mich damit leider überhaupt nicht aus

einfach auf die unterstrichenen Wörter klicken, das sind Link's

man langsam komm ich mir ich dämlich vor

hab die .exe ausgeführt..in den fenster kann ich folgendes ausführen:

"Do a system scan and save a logfile"
"Do a system scan only"
"View the list of backups"
"Open the misc Tools section"
"Open online HijackThis QuickStart"

naja vielleicht is ja nochmal jemanden so dämlich und ich helf ihm hier mit *grins*

hatte dann eben das oberste versucht...hm da stehen aber verdammt viele infos drin..und sowas hier in die öffentlichkeit kopieren...komisches gefühl :-(

aber wenns hilft

Lies den von mir geposteten Link aufmerksam durch, damit sollte jede Frage beantwortet werden.

ok habs..hoffe ich hab alles raus, was mich persönlich betrifft

Logfile of HijackThis v1.99.1
Scan saved at 14:03:59, on 03.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmge.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Goto.Games\NetGammon8\NETGAMMON8.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\eMule\emule.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\WINDOWS\system32\defrag.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.**.de/**_fb3_1806/plugin/AXFOAM.CAB
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Zitat:

O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe

die Datei wird von einigen AV Herstellern als Backdoorvirus erkannt, da würde ich bald ein Neuaufsetzen empfehlen. Lasse nochmal die Datei hier scannen und teile das Ergebnis mit

Prozess vorher im Taskmanager beenden

ok habs gemacht, aber er kann die datei nicht scannen...jedesmal geht eine AV Warnung auf...

und von der scann-seite bekomm ich:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

hm und nu ?

schalte mal den Virenscanner ab und versuch es nochmal (hast du den Prozess im Taskmanager beendet?)

jepp dann ging es

Datei: taskmge.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir TR/Delf.JO gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Delf.JO gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan.Win32.Delf.jo gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Trojan.Win32.Delf.jo gefunden

hmm gut. der trojaner ist auf zerstören aus, nicht auf übernahme des rechners. deshalb ist eine bereinigung noch sinnvoll. er zerstört alle dokumente, also diese dateitypen:
CHM
DOC
GIF
JPEG
JPG
MDB
PDF
PPS
PPT
RAR
SWF
XLS
ZIP
quelle: http://www.sophos.de/virusinfo/analyses/trojdelfjo.html

also führe das aus:

1.escan
-lade dir escan runter und gehe genau nach dieser Anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe


3.dateien löschen
-lösche die datei taskmge.exe im ordner c:\windows\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

lade dir escan, Link und Anleitung siehe unten. Halte dich unbedingt an die Anleitung

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe

wenn du das nicht kennst auch fixen
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.**.de/**_fb3_1806/plugin/AXFOAM.CAB

lösche von Hand:
C:\WINDOWS\system32\taskmge.exe

solltest du das nicht kennen auch löschen gegebenenfalls vorher deinstallieren:
C:\Programme\Webshots\Launcher.exe
C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "C:\bases_x" . Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung .Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus (Haken setzen bei All Local Drives und All Scan Files).Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - das geht so:

Mittels Rechtsklick --> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten.Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)


neu booten neues HJT posten

ähm jep gigamail. das ist das ungefähr gleiche was ich gepostet hab....
nebenbei gehört webshots zum cameratreiber. aber ok, mehre hilfen sind ja umso besser