Hallo @,

folgende Situation:

Meine Tochter, die räumlich getrennt von mir lebt, sagte mir heute, das sie vor einigen Tagen über das Antivirusprogramm "AntiVir" den Trojaner "TR/Click.Delf.DX" gefunden hat. Über die Quarantäne dann gelöscht. Nur, und da ist das Problem nun, nach dem sie sich eine neue Festplatte gekauft hat, WIN 98SE neu aufgespielt, hat sie nach wie vor das gleiche Problem, das ich selbst heute bei ihr bemerken konnte:

Über DSL Modem stellt sie eine Verbindung zum Provider her, ruft eine Homepage mit dem Firefox auf und nach wenigen Sekunden friert der ganze Bildschirm ein. Die Maus läßt sich nicht steuern, der "Affengriff" bleibt ohne Wirkung. Nur ein Kaltstart ist noch möglich. Merkwürdig aber ist nur, das am Rechner die Festplatte kurz immer wieder aufleuchtet, und die LED am Modem "Senden" blinkt.

Weiter hat sie keine Chance mehr, irgendeine Seite im Internet aufzurufen. auch besitzt sie keinen Brenner. Allerdings hat sie von der alten kaputten Festplatte noch soeben Daten retten können, die sie nun nach und nach neu benutzen will. Es sind wichtige Daten für das Studium. Partition C, also WIN 98SE, wurde heute neu formatiert und ebenfalls BS neu aufgespielt.

1. Frage: Was richtet der Trojaner "TR/Click.Delf.DX" alles so an?

2. Frage: Was kann getan werden, da ein Logfile ja nicht durch die Luft fliegen kann , damit ich ihn hier einstellen kann?

Klingt alles etwas diffus von mir, da kein Experte. Bitte daher um klare und deutliche Anmerkungen, damit ich auch ohne Englischkenntnisse damit zurecht kommen kann.

Vielen herzlichen Dank schon einmal im Vorraus

Reiner_R

Servus Reiner_R:
ad Frage 1 guck mal hier- Symantec bezeichnet das Teil als Backdoor-Trojaner, hauptsächlich sammeln diese Dinger aus der Familie aber Zugangsdaten, Passwörter und sind als keylogger aktiv - also eine ernste Sache.

ad Frage 2: HJT (=HighJackThis) am betroffenen Rechner im Admin-Account laufen lassen (zur Diagnose nicht im abgesicherten Modus oder eingeschränkten Benutzeraccount). Und dann wie beschrieben, das Log hier posten. Lies Dir dazu Cidres Anleitung durch! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen! Posten kannst Du, indem Du dein Logfile mit dem Mauszeiger markierst, kopierst und hier im Antwortfenster einfügst! Achte darauf, dass die aktiven Links wie unten in meiner Signatur beschrieben, deaktiviert sind und persönliche Infos wie Namen etc.. aus dem Log entfernt sind.

lg, stupormundi

Hallo,
@stupormundi

Hallo,
soweit ich weiß bezieht sich das Delf in den Virenbezeichnungen lediglich auf die Programmiersprache in der der Schädling geschrieben ist (Delphi), gibt jedoch keine Hinweise auf sein Schadpotenzial. Außerdem denke ich das es sich um eine Smitfraudinfektion handelt, ist aber bisher nur Spekulation.



Grüße Wildone

@wildone: Servus
Was die Backdoor-Bezeichnung von Symantec anbelangt, bin ich eh skeptisch (daher schrieb ich ja "Symantec bezeichnet ...")
~~Mittlerweile glaube ich, mit der Symantec Spur ohnedies am Holzweg zu sein. Da erscheint mir wildone's Mutmaßung schon wahrscheinlicher. Aber mal abwarten ...~~/edit~~

Was smitfraud anbelangt - nicht unwahrscheinlich, wir werden sehen!

schönen Tag, stupormundi

Hallo stupormundi,

zunächst recht herzlichen Dank für Deine Informationen. Es wird noch etwas dauern, bis die Tochter wieder zu Hause ist. Dann versuche ich mittels HJT ein Logfile zu machen. Problem ist nur, hoffentlich läßt uns der Trojaner, oder was auch immer es sonst noch so auf dem Rechner gibt, ins Internet. Gestern ging nach wenigen Sekunden nichts mehr!

Zitat:

Zitat von stupormundi

Servus Reiner_R:
ad Frage 1 guck mal hier- Symantec bezeichnet das Teil als Backdoor-Trojaner, hauptsächlich sammeln diese Dinger aus der Familie aber Zugangsdaten, Passwörter und sind als keylogger aktiv - also eine ernste Sache.

Mein Reden seid über zwei Wochen. Nur O-Ton: "AntiVir hat doch gelöscht!" Werde aber auf jedenfall zunächst mal in der Registry nach sehen.

Zitat:

ad Frage 2: HJT (=HighJackThis) am betroffenen Rechner im Admin-Account laufen lassen (zur Diagnose nicht im abgesicherten Modus oder eingeschränkten Benutzeraccount). Und dann wie beschrieben, das Log hier posten. Lies Dir dazu Cidres Anleitung durch! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen! Posten kannst Du, indem Du dein Logfile mit dem Mauszeiger markierst, kopierst und hier im Antwortfenster einfügst! Achte darauf, dass die aktiven Links wie unten in meiner Signatur beschrieben, deaktiviert sind und persönliche Infos wie Namen etc.. aus dem Log entfernt sind.

lg, stupormundi

Unter WIN 98SE biste immer Admin.:aplaus:

Alles andere habe ich verstanden und werde so verfahren. Bis später dann.

Herzlichen Gruß

Reiner_R

Hallo stupormundi,

jetzt wird es "lustug". Aber erst einmal den Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:16:23, on 27.03.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WIND98E\SYSTEM\KERNEL32.DLL
C:\WIND98E\SYSTEM\MSGSRV32.EXE
C:\WIND98E\SYSTEM\MPREXE.EXE
C:\WIND98E\SYSTEM\mmtask.tsk
C:\WIND98E\EXPLORER.EXE
C:\WIND98E\TASKMON.EXE
C:\WIND98E\SYSTEM\SYSTRAY.EXE
H:\LOIGETECH\SYSTEM\EM_EXEC.EXE
C:\WIND98E\SYSTEM\DDHELP.EXE
C:\WIND98E\SYSTEM\WMIEXE.EXE
H:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://xxx.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xxx.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://xxx.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F1 - win.ini: run=hpfsched
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIND98E\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WIND98E\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIND98E\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] H:\LOIGET~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIND98E\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mdac_runonce] C:\WIND98E\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIND98E\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIND98E\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://xxx.t-online.de/service/redir/ie_t-online.htm

Ich habe dort nichts verdächtiges gefunden, ihr vielleicht?

Aber, ich bin den Link nach Symantec gefolgt. Dort fand ich einige Dateinamen, nach denen ich dann gesucht habe. Fehlanzeige. Dafür aber gibt es in der Registry folgende Einträge im Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU

und auch

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU

folgende Einträge (Werte):

mprexe
netnt
netnt.dll
hap1
interdll
msgsrv16

Die letzten drei werden bei Symantec erwähnt. Sorry, mein Englisch ist da nicht so weit. Was meinst Du, meint ihr dazu?

Servus wieder!
In diesem Log ist ach für mich nichts Auffälliges zu entdecken.
Zu Deiner Frage wegen des Reg Eintrages

Zitat:

Zitat von Symantec

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU
Here are some commonly asked questions about this reference:
Q. Is this a Trojan, virus, or worm?
A. No, it is not. This key contains information on recent searches that were made from the "Find: All Files" window (Windows 95/98/NT 4.0) or the "Search for Files or Folders" window (Windows 2000/Me). These references are harmless, and can be removed if desired

Kurz gesagt: alles in Ordnung, ganz normaler Eintrag: Dieser Schlüssel in der Reg beeinhaltet nur Infos über die letzten Datei/Ordnersuchläufe auf diesem System - kann über das Menü der Startleiste (auch in Win98 - wie bin ich mir leider nicht ganz sicher, aber sicher nicht kompliziert) gelöscht werden.

Aber jetzt wäre mal ein Virenscan am betroffenen System fällig: Versuch mal escan am System Deiner Tochter im abgesicherten Modus laufen zu lassen - Dazu kannst Du escan auf Deinem Sys herunterladen, entpacken (steht alles in Cidres Beschreibung) und Updaten und dann den ganzen Ordner via CD oder USB Stick auf das Sys Deiner Tochter kopieren, um es dann dort im abgesicherten Modus laufen zu lassen. Nach erfolgtem Durchlauf die Funde mittels Haui45's 'find.bat' (siehe wieder Cidres Anleitung-ganz unten, Fußnoten) im sehr umfangreichen Logfile suchen und hier posten. Achte bei der Ausführung (entpacken nach 'C:\bases_x' [<-- diesen Ordner vorher anlegen und die heruntergeladene *.exe-Datei mittels Winrar oder Winzip dorthin entpacken-nicht einfach anklicken], Spracheinstellung leider 'English', Update)
Alles Gute und viel Spass dabei
stupormundi

Hallo stupormundi,

leider komme ich erst jetzt dazu, Dir zu antworten. Nach dem ich gestern abend kurz nach Erhalt einer Text-Mail meiner tochter nicht mehr ins Internet und auch ins LAN kam, gruselte es mich doch heftig. Kurz, als letzter Lösungsansatz ein neues Board, und nun funktioniert alles wieder. Ein Schuft wer da etwas böses bei denkt!

Zitat:

Zitat von stupormundi

Servus wieder!
In diesem Log ist ach für mich nichts Auffälliges zu entdecken.
Zu Deiner Frage wegen des Reg Eintrages Kurz gesagt: alles in Ordnung, ganz normaler Eintrag: Dieser Schlüssel in der Reg beeinhaltet nur Infos über die letzten Datei/Ordnersuchläufe auf diesem System - kann über das Menü der Startleiste (auch in Win98 - wie bin ich mir leider nicht ganz sicher, aber sicher nicht kompliziert) gelöscht werden.

In der ganzen Aufregung die Tage kam ich selbst nicht drauf. Logisch, ungefährlich. Aua! Die Fixierung war perfekt. Danke.

F-Prot im DOS-Modus brachte ebenfalls keine Meldung! Nun wird als letztes noch escan ausgeführt. Denke mal das dies meine Tochter besser kann als ich mit meinen paar Brocken Englisch.

Schließlich liest sie ja von der UNI hier auch mit. Melde mich dann wieder, wenn es durch ist.

Vielen Dank für Deine und der anderen Hilfe!

Bis bald.

Herzlichen Gruß

Reiner_R

Hallo stupormundi,

soeben bekam ich eine Mail von meiner Tochter. Ob sie alles so gemacht hat wie Du geschrieben hast, geht leider nicht daraus hervor.

Zitat:

Zitat von stupormundi

Aber jetzt wäre mal ein Virenscan am betroffenen System fällig: Versuch mal escan am System Deiner Tochter im abgesicherten Modus laufen zu lassen

Zitat:

Zitat von Aus der Mail

Hier die Funde:

Object "alexa Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "Ezula TopText Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Mware-iTouch.chm" refers to invalid object "H:\Loigetech\Mware-iTouch.chm". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{D3B1DE00-6B94-1069-8754-08002B2BD64F}" refers to invalid object "C:\WIND98E\SYSTEM\disktool.dll". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\Overview.Document" refers to invalid object "{DA23B9C9-6893-11D0-8534-00C04FD7AD0C}". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\.ppt" refers to invalid object "Powerpoint.Show.7". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\.POT" refers to invalid object "Powerpoint.Template". Action Taken: Keine Aktion vorgenommen.

Und nun?

Herzlichen Gruß

Reiner_R

Servus wieder, Reiner_R!

Nun - die von Dir geposteten Funde sind so jetzt mal Peanuts!

Aber es wäre schon gut, wenn das escan-Ergebnis insgesamt so gepostet werden würde, wie von Cidre beschrieben - also mit Hilfe der 'find.bat' oder mite der ebenfalls beschriebenen alternativen manuellen Suche (in den Fußnoten ganz unten) - die allgemeinen Infos zum Durchlauf sind insofern interessant, als dass man beurteilen kann, ob beim Scan selbst etwas schiefgegangen ist und damit die Aussagekraft der Funde eventuell eingeschränkt sein könnte. Von dem ursprünglichem "Tr/delf" ist ja hier nix zu finden.

Aber wenn sonst nix ist, gibt es von dieser Seite keinen Grund zu weiteren Veranlassungen. Wie geht's dem befallenen System jetzt überhaupt?

stupormundi

Hallo stupormundi,

Zitat:

Zitat von stupormundi

Aber wenn sonst nix ist, gibt es von dieser Seite keinen Grund zu weiteren Veranlassungen. Wie geht's dem befallenen System jetzt überhaupt?

Mit an Sicherheit grenzender 100%iger Wahrscheinlichkeit liegt das Problem an einem Treiberproblem. Das System friert immer wieder ein, und meine Tochter will es neu aufspielen. Da sie aber nicht nach Beschreibung gehandelt hat, sondern einen eigenen Weg beschritten hat, kann ich nichts weiteres mehr dazu schreiben.

Die letzten drei Haare auf dem Kopf habe ich mir fast ausgerissen, nun soll sie weiter machen.

Habe Du und die anderen ganz herzlichen Dank für die Hilfestellungen.

Herzlichen Gruß

Reiner_R