Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan Backdoor Win32.Delf.aml

Trojan Backdoor Win32.Delf.aml


Plagegeister aller Art und deren Bekämpfung: Trojan Backdoor Win32.Delf.aml

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.01.2006, 21:15   #1
Marlborough
 
Trojan Backdoor Win32.Delf.aml - Standard

Trojan Backdoor Win32.Delf.aml


Habe mir diesen Trojaner eingefangen, den Kaspersky zwar erkennt, aber nicht löschen kann, ohne dass das komplette System heruntergefahren wird. Bei Neustart taucht der Virus wieder auf - auch bei deaktivierter Systemwiederherstellung. Infiziert ist die winlogon.exe\msupdate32.dll. Hat jemand Erfahrung damit gemacht?

Hier kommt der Logfile

Logfile of HijackThis v1.99.1
Scan saved at 21:23:27, on 24.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Common Files\VCClient\VCClient.exe
C:\Programme\Common Files\VCClient\VCMain.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\INGOLF~1\LOKALE~1\Temp\Rar$EX00.781\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\oyaywi.exe reg_run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Programme\Common Files\VCClient\VCMain.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1123244373828
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\jybexec.dll (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
Geändert von Marlborough (24.01.2006 um 21:27 Uhr)

Alt 24.01.2006, 21:49   #2
chaosman
 
Trojan Backdoor Win32.Delf.aml - Standard

Trojan Backdoor Win32.Delf.aml


@Marlborough
du hast einiges im system
lasse diese datei: C:\WINDOWS\sysldr32.exe
hier überprüfen und poste das ergebnis

bereitete dich geistig auf ein Neuaufsetzen des systems vor
chaosman
__________________

__________________
Alt 24.01.2006, 22:02   #3
Marlborough
 
Trojan Backdoor Win32.Delf.aml - Standard

Trojan Backdoor Win32.Delf.aml


Zitat:
Zitat von chaosman
@Marlborough
du hast einiges im system
lasse diese datei: C:\WINDOWS\sysldr32.exe
hier überprüfen und poste das ergebnis

bereitete dich geistig auf ein Neuaufsetzen des systems vor
chaosman
C:\WINDOWS\sysldr32.exe?
Finde ich nicht auf meinem Rechner. Wie kommt's?
__________________
Alt 24.01.2006, 22:11   #4
chaosman
 
Trojan Backdoor Win32.Delf.aml - Standard

Trojan Backdoor Win32.Delf.aml


@Marlborough
muss doch irgendwo sein
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe

Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

chaosman
__________________
Bonus vir semper tiro

Alt 24.01.2006, 22:24   #5
Marlborough
 
Trojan Backdoor Win32.Delf.aml - Standard

Trojan Backdoor Win32.Delf.aml


Tja, was soll ich sagen, diese Optionen sind bei mir grundsätzlich auf die genannte Art und Weise freigeschaltet. Möglicherweise hat Kaspersky ja im Vorgriff die Sachen bereinigt oder Spybot hat Prozesse verhindert. In der hijack Liste beunruhigen mich folgende Einträge
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

sowie
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\jybexec.dll (file missing)

zudem habe ich heftigen Traffic auf meiner DSL/Lan Verbindung, pro Sekunde werden ca. 10.000 Bytes versendet. Keine schöne Vorstellung. Firewall ist aktiv & KAV wehrt Portscan Attacken ab

Geändert von Marlborough (24.01.2006 um 22:31 Uhr)

Alt 25.01.2006, 11:40   #6
chaosman
 
Trojan Backdoor Win32.Delf.aml - Standard

Trojan Backdoor Win32.Delf.aml


@Marlborough

hinter sysldr32.exe steckt wohl der gaobot, normalerweise würde das Neuaufsetzen des systems bedeuten.
Hier eine anleitung

sry
chaosman
__________________
--> Trojan Backdoor Win32.Delf.aml

Antwort

Themen zu Trojan Backdoor Win32.Delf.aml
1.exe, adobe, backdoor, bho, computer, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, kaspersky, logon.exe, mozilla, mozilla firefox, neustart, object, rundll, software, system, t-online, temp, trojan, trojaner, trojaner eingefangen, unknown file in winsock lsp, virus, windows, windows xp, winlogon.exe


« Reste von SPyAxe ??? | System fährt runter »


Ähnliche Themen: Trojan Backdoor Win32.Delf.aml


  1. Windwos 7: Backdoor.Agent.DCEGen, Trojan.Delf und noch ordentlich Malware
    Log-Analyse und Auswertung - 04.05.2014 (5)
  2. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  3. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  4. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  5. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  6. Virus.Win32.Protector.f & Trojan-Dropper.Win32.delf.eu
    Log-Analyse und Auswertung - 19.05.2010 (13)
  7. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  8. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  9. HELP...!!!!!!.....Trojan-psw.win32.delf..wurde von meinem vir-programm entdeckt..:-((
    Plagegeister aller Art und deren Bekämpfung - 17.11.2006 (7)
  10. Trojan-PSW.Win32.Delf.sp
    Plagegeister aller Art und deren Bekämpfung - 15.11.2006 (1)
  11. Trojan Backdoor win32.Delf.aml
    Mülltonne - 24.01.2006 (1)
  12. Was tut Trojan.Win32.Delf.nl?
    Plagegeister aller Art und deren Bekämpfung - 05.09.2005 (11)
  13. Trojan.Win32.Delf.gh
    Plagegeister aller Art und deren Bekämpfung - 03.02.2005 (4)
  14. HELP - trojan-dropper.win32.delf
    Plagegeister aller Art und deren Bekämpfung - 16.01.2005 (7)
  15. Problem: Backdoor.win32.delf.qh
    Plagegeister aller Art und deren Bekämpfung - 23.09.2004 (1)
  16. win32.delf.trojan.a
    Plagegeister aller Art und deren Bekämpfung - 02.09.2004 (8)
  17. Win32.delf.trojan.a
    Plagegeister aller Art und deren Bekämpfung - 13.08.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan Backdoor Win32.Delf.aml - Habe mir diesen Trojaner eingefangen, den Kaspersky zwar erkennt, aber nicht löschen kann, ohne dass das komplette System heruntergefahren wird. Bei Neustart taucht der Virus wieder auf - auch bei - Trojan Backdoor Win32.Delf.aml...
Archiv
Du betrachtest: Trojan Backdoor Win32.Delf.aml auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55