|
Log-Analyse und Auswertung: Bitte um Hilfe, delus.exe?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.02.2006, 12:33 | #1 |
| Bitte um Hilfe, delus.exe? Hallo, hab gestern antivir deinstalliert, damit ewido mal alleine arbeiten kann. Weil der PC während des updates von ZA gehangen ist, hab ich gestern mal wieder den PC bereinigt mit dem ClearProg (1.4.2Beta7) und dem RegSeeker (1.45 build 0505). Beim Ausschalten abends ist der PC nicht ganz runter gefahren, bzw musste ihn ausknipsen. so. Heut morgen nach dem Benutzeranmelden meldet Windoof: c:\dokumenteundeinstellungen\benutzerX\lokale~1\temp\delus.exe nicht gefunden und Spybot S&D bzw der TeaTimer meldet gleich danach und fragt, ob eine Registrierungsänderung zugelassen werden soll: global Start up: Eintrag delus.exe will gelöscht werden. Hab das "verweigert" und nun ergeht alle 2 sekunden eine Meldung vom ResidentTeaTimer (Spybot S&D), dass die Löschung in der Registry durch S&D verhindert wird. ich komm nicht dahinter, wer (prozess/Anwendung) diesen Eintrag ständig löschen will. irgendwas muss doch aktiv sein, was den fehlerhaften Eintrag löschen (verstecken) möchte??? Nach jedem PC-Neustart kommt immer wieder der Vesuch, den Registry-Eintrag (der weder mit HJT noch mit regedit zu sehen ist) zu löschen, was S&D automatisch verhindert. Ja, und das den ganzen lieben Morgen lang.... Mit regedit finde ich keinen hinweis auf delus.exe, auch nicht im angesicherten modus. Die Datei delus.exe wird vermutlich gestern nach Reinigen mit ClearProg verschwunden sein. HJT zeigt ebenfals kein delus.exe an. heut morgen hatte ich diese drei zeilen gefixt. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = und zwei 06-Einträge (die ich nichtmehr backupen kann zum hier zeigen) hier das aktuelle hjt Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 12:02:52, on 01.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\ZoneLabs\isafe.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\Dit.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\ScanWizard 5\ScannerFinder.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\cidaemon.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe D:\HijackThis\1-99-1\HJT.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2003\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2003\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2003\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 205.188.146.145 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Geändert von KaBa (01.02.2006 um 12:45 Uhr) |
01.02.2006, 13:04 | #2 |
| Bitte um Hilfe, delus.exe? Lade Dir Regmon. Filtereinstellungen:
__________________Include: * Exclude: Highlight: Delete Bei den Filtereinstellungen alle 5 Häkchen setzen. Die rot markierten Einträge sollten Dir zeigen, wer oder was versucht den Schlüssel zu löschen. €dit: Die Anzeige kann sehr sehr umfangreich ausfallen! Nicht irritieren lassen und nur nach den markierten Einträgen suchen. Zur Not hilft unter Umständen ein Klick auf "REQUEST" um die Einträge alphabetisch zu ordnen.
__________________ |
01.02.2006, 13:25 | #3 |
| Bitte um Hilfe, delus.exe? Antivirus schlecht deinstalliert?
__________________Diese gehört zu Antivirus und ist dafür zuständig, nach der Deinstallation von AV nach dem vorgeschriebenen Neustart die Reste zu entfernen. Gib einfach im AntiVirus Forum den Suchbegriff "delus.exe" ein. Zu beachten, daß du im alten Forum vielleicht mehr Treffer erhälst. http://forum.antivir-pe.de/
__________________ |
01.02.2006, 13:37 | #4 |
| Bitte um Hilfe, delus.exe? Aha, Danke euch beiden. den RegMon hab ich jetzt laufen lassen. lustig. Wenn ichs richtig versteh, werden da so 800 Änderungen angezeigt innerhalb einer Sekunde?!?!? Ich seh auch keine roten Einträge (Filter-Einstellungen wie angegeben) Antivir-Reste? ja könnte sein. Dann werd ich mal versuchen, S&D davon zu überzeugen, die Änderung zuzulassen.... egal wer das macht... Mahlzeit so long |
01.02.2006, 14:04 | #5 |
| Bitte um Hilfe, delus.exe? Hmmm vielleicht zeigt Regmon keinen Eintrag bei Delete, weil S&D dass blockiert. Mit deaktiviertem S&D (Teatimer war's, oder?) sollte sich da was finden lassen. Es könnte tatsächlich sein dass, wie rich20 bereits andeutete, AntiVir selbst versucht den Schlüssel zu löschen. Aber kontrollier das mal. Eigentlich sollte Regmon was finden. Wahlweise könntest Du auch folgendes machen [1]: Start -> Ausführen -> regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services In diesem Pfad nach Einträgen von AntiVir und der delus.exe suchen und von Hand löschen. Aber bitte vorher ein Sicherung dieses Zweiges anlegen [2] ! [1] CurrentControlSet\Services Subkey Entries [2] Exportieren von Registrierungsschlüsseln
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
01.02.2006, 14:23 | #6 | |
| Bitte um Hilfe, delus.exe?Zitat:
Nachtrag: Es ist dir schon bewußt, daß du, wenn du etwas De-oder Installierst, Veränderungen so lange zulassen mußt, bis nach einem Neustart die De/installation abgeschlossen ist?
__________________ --> Bitte um Hilfe, delus.exe? Geändert von rich20 (01.02.2006 um 14:38 Uhr) |
Themen zu Bitte um Hilfe, delus.exe? |
adobe, antivir, bho, bitte um hilfe, computer, excel, explorer, hijack, hijackthis, home, immer wieder, internet, internet explorer, kommt immer wieder, mssql, nvidia, programme, registry, security, security suite, sekunden, server, software, start up, system, temp, träge, updates, windows, windows xp |