|
Plagegeister aller Art und deren Bekämpfung: Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDGWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.05.2007, 15:50 | #1 |
| Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Hallo zusammen, Antivir meldete TR/Drop.delf.DG.1 und TR/Agent.CDG. Ich habe es nach den gefundenen Beschreibungen versucht. Leider bekomme ich bei E-Scan immer noch das vorhandenseins von "Spionen" angezeigt. Könnt ihr mir bitte helfen? Danke. Gruß funny4u2 HJT Log-file: Logfile of HijackThis v1.99.1 Scan saved at 16:30:25, on 17.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16441) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Adobe\Distillr\Acrotray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.avm.de/fritzbox-firmware-update.php?hardware=94&oem=avm&language=de&country= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Adobe\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [C****Tray] "C:\Programme\S****oft\Cl***D\Cl***Tray.exe" /s O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [e***AutoStart] C:\Programme\e***\e***.exe -AutoStart O4 - Startup: AP Launch.lnk.disabled O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: h**p://www.kartfahrer-forum.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8FBA09F2-1B75-4226-873B-7D16502B8558}: NameServer = 192.168.122.252,192.168.122.253 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe e-Scan mit find.bat ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Thu May 17 15:50:03 2007 => Version 9.2.2 Thu May 17 16:09:43 2007 => Virus-Datenbank Datum: 5/15/2007 Thu May 17 16:17:17 2007 => Virus-Datenbank Datum: 5/15/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu May 17 15:50:49 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. Thu May 17 15:50:49 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. Thu May 17 15:50:49 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Thu May 17 15:50:49 2007 => Offending file found: C:\WINDOWS\system32\process.exe Thu May 17 15:50:49 2007 => Offending file found: C:\WINDOWS\system32\swreg.exe Thu May 17 15:50:49 2007 => Offending file found: C:\WINDOWS\system32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Thu May 17 15:50:57 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu May 17 16:09:43 2007 => Gefundene Viren: 4 Thu May 17 16:09:43 2007 => Anzahl Fehler: 4 Thu May 17 16:09:43 2007 => Dauer des Scans bisher: 00:19:39 Thu May 17 16:09:43 2007 => Gescannte Dateien: 54282 Thu May 17 15:50:03 2007 => Specherüberprüfung: Aktiviert Thu May 17 15:50:03 2007 => Registry Überprüfung: Aktiviert Thu May 17 15:50:03 2007 => System-Ordner Überprüfung: Aktiviert Thu May 17 15:50:03 2007 => Überprüfung der Systembereiche: Deaktiviert Thu May 17 15:50:03 2007 => Überprüfung der Dienste: Aktiviert Thu May 17 15:50:03 2007 => Überprüfung der Festplatten: Aktiviert Thu May 17 15:50:03 2007 => Überprüfung aller Festplatten eaktiviert |
17.05.2007, 16:28 | #2 |
Administrator > Competence Manager | Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Hallo und im Trojaner Board!
__________________Wo findet denn Antivi die besagten Trojaner, sieh mal im letzten Report nach, die genaue Pfadangabe ist dabei wichtig! Und wenn du schon einen eScan machst, dann poste doch auch mal den Report. Nutze dafür die find.bat..steht alles in der Anleitung. Dein Hijacklog ist auf jeden Fall clean. Sunny
__________________ |
17.05.2007, 16:49 | #3 |
| Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Hallo Sunny,
__________________erstmal danke für das schnelle Hilfeangebot. E-scan hängt unter dem HJT-File. Drop.delf.dg.1 C:\windows\system32\dvaudio.drv C:\windows\system32\thx32.acm C:\system Volume Information\_restore{9C161413-FD6E-4F30-8B6F-659ECE3AADCD}\PR268\A0041893.drv AGENT.CDG C:\windows\system32\usb496.dat verschoben in quarantäne. Sorgen machen mir die files aus dem find.bat Gruß Jürgen |
17.05.2007, 16:54 | #4 | |
Administrator > Competence Manager | Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles üb erprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Das dauert zwar etwas mit dem überprüfen, ich will/kann nicht einfach wahllos Dateien löschen. Vielleicht brauchst du diese ja noch?! Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
17.05.2007, 17:42 | #5 |
| Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Hallo sunny, 25 Min Wartezeit bei Virustotal. Anbei schonmal die Ergebnisse der gescannten Dateien. AV-Scanner läuft noch. Gruß funny4u2 Complete scanning result of "Process.exe", received in VirusTotal at 05.17.2007, 16:53:51 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.16.1 05.17.2007 Win-AppCare/PrcViewer.53248 AntiVir 7.4.0.23 05.17.2007 no virus found Authentium 4.93.8 05.16.2007 no virus found Avast 4.7.997.0 05.17.2007 no virus found AVG 7.5.0.467 05.16.2007 no virus found BitDefender 7.2 05.17.2007 no virus found CAT-QuickHeal 9.00 05.17.2007 no virus found ClamAV devel-20070416 05.17.2007 no virus found DrWeb 4.33 05.17.2007 no virus found eSafe 7.0.15.0 05.17.2007 no virus found eTrust-Vet 30.7.3639 05.17.2007 no virus found Ewido 4.0 05.17.2007 no virus found FileAdvisor 1 05.17.2007 no virus found Fortinet 2.85.0.0 05.17.2007 Misc/PrcViewer F-Prot 4.3.2.48 05.16.2007 no virus found F-Secure 6.70.13030.0 05.17.2007 no virus found Ikarus T3.1.1.7 05.17.2007 no virus found Kaspersky 4.0.2.24 05.17.2007 no virus found McAfee 5032 05.16.2007 potentially unwanted program PrcViewer Microsoft 1.2503 05.17.2007 no virus found NOD32v2 2274 05.17.2007 Win32/PrcView Norman 5.80.02 05.17.2007 no virus found Panda 9.0.0.4 05.17.2007 Application/Processor Prevx1 V2 05.17.2007 no virus found Sophos 4.17.0 05.16.2007 no virus found Sunbelt 2.2.907.0 05.17.2007 no virus found Symantec 10 05.17.2007 no virus found TheHacker 6.1.6.115 05.15.2007 Aplicacion/Processor.20 VBA32 3.12.0 05.16.2007 no virus found VirusBuster 4.3.7:9 05.17.2007 no virus found Webwasher-Gateway 6.0.1 05.17.2007 no virus found Aditional Information File size: 53248 bytes MD5: 7397f6ee4a9601a123b645c0cd428017 SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0 Complete scanning result of "swreg.exe", received in VirusTotal at 05.17.2007, 16:55:05 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.16.1 05.17.2007 no virus found AntiVir 7.4.0.23 05.17.2007 no virus found Authentium 4.93.8 05.16.2007 could be a corrupted executable file Avast 4.7.997.0 05.17.2007 no virus found AVG 7.5.0.467 05.16.2007 no virus found BitDefender 7.2 05.17.2007 no virus found CAT-QuickHeal 9.00 05.17.2007 no virus found ClamAV devel-20070416 05.17.2007 no virus found DrWeb 4.33 05.17.2007 no virus found eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm eTrust-Vet 30.7.3639 05.17.2007 no virus found Ewido 4.0 05.17.2007 no virus found FileAdvisor 1 05.17.2007 no virus found Fortinet 2.85.0.0 05.17.2007 suspicious F-Prot 4.3.2.48 05.16.2007 no virus found F-Secure 6.70.13030.0 05.17.2007 no virus found Ikarus T3.1.1.7 05.17.2007 no virus found Kaspersky 4.0.2.24 05.17.2007 no virus found McAfee 5032 05.16.2007 no virus found Microsoft 1.2503 05.17.2007 no virus found NOD32v2 2274 05.17.2007 no virus found Norman 5.80.02 05.17.2007 no virus found Panda 9.0.0.4 05.17.2007 Suspicious file Prevx1 V2 05.17.2007 no virus found Sophos 4.17.0 05.16.2007 no virus found Sunbelt 2.2.907.0 05.17.2007 no virus found Symantec 10 05.17.2007 no virus found TheHacker 6.1.6.115 05.15.2007 no virus found VBA32 3.12.0 05.16.2007 no virus found VirusBuster 4.3.7:9 05.17.2007 no virus found Webwasher-Gateway 6.0.1 05.17.2007 no virus found Aditional Information File size: 135168 bytes MD5: e417d888fdde9a2290c369c82a7aec3e SHA1: 54a6acf7ed038afc6a632ccd568c17fc31eac00e packers: UPX packers: UPX packers: UPX Complete scanning result of "swsc.exe", received in VirusTotal at 05.17.2007, 16:56:03 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.16.1 05.17.2007 no virus found AntiVir 7.4.0.23 05.17.2007 no virus found Authentium 4.93.8 05.16.2007 no virus found Avast 4.7.997.0 05.17.2007 no virus found AVG 7.5.0.467 05.16.2007 no virus found BitDefender 7.2 05.17.2007 no virus found CAT-QuickHeal 9.00 05.17.2007 no virus found ClamAV devel-20070416 05.17.2007 no virus found DrWeb 4.33 05.17.2007 no virus found eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm eTrust-Vet 30.7.3639 05.17.2007 no virus found Ewido 4.0 05.17.2007 no virus found FileAdvisor 1 05.17.2007 No threat detected Fortinet 2.85.0.0 05.17.2007 no virus found F-Prot 4.3.2.48 05.16.2007 no virus found F-Secure 6.70.13030.0 05.17.2007 no virus found Ikarus T3.1.1.7 05.17.2007 no virus found Kaspersky 4.0.2.24 05.17.2007 no virus found McAfee 5032 05.16.2007 no virus found Microsoft 1.2503 05.17.2007 no virus found NOD32v2 2274 05.17.2007 no virus found Norman 5.80.02 05.17.2007 no virus found Panda 9.0.0.4 05.17.2007 no virus found Prevx1 V2 05.17.2007 no virus found Sophos 4.17.0 05.16.2007 no virus found Sunbelt 2.2.907.0 05.17.2007 no virus found Symantec 10 05.17.2007 no virus found TheHacker 6.1.6.115 05.15.2007 no virus found VBA32 3.12.0 05.16.2007 no virus found VirusBuster 4.3.7:9 05.17.2007 no virus found Webwasher-Gateway 6.0.1 05.17.2007 no virus found Aditional Information File size: 40960 bytes MD5: c16b1595e3c2ffc875ef28bf66ec557f SHA1: 4da6d047e81fd13e0cfa4e390b85d35f9a136887 packers: UPX packers: UPX Bit9 info: Bit9 FileAdvisor - Search Results packers: UPX Complete scanning result of "dvaudio.drv", received in VirusTotal at 05.17.2007, 18:03:12 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.16.1 05.17.2007 no virus found AntiVir 7.4.0.23 05.17.2007 TR/Drop.Delf.DG.1 Authentium 4.93.8 05.16.2007 no virus found Avast 4.7.997.0 05.17.2007 no virus found AVG 7.5.0.467 05.16.2007 no virus found BitDefender 7.2 05.17.2007 Backdoor.Banito.Plugin.A CAT-QuickHeal 9.00 05.17.2007 no virus found ClamAV devel-20070416 05.17.2007 no virus found DrWeb 4.33 05.17.2007 no virus found eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm eTrust-Vet 30.7.3639 05.17.2007 no virus found Ewido 4.0 05.17.2007 no virus found FileAdvisor 1 05.17.2007 no virus found Fortinet 2.85.0.0 05.17.2007 no virus found F-Prot 4.3.2.48 05.16.2007 no virus found F-Secure 6.70.13030.0 05.17.2007 no virus found Ikarus T3.1.1.7 05.17.2007 Backdoor.Win32.Banito.Plugin.A Kaspersky 4.0.2.24 05.17.2007 no virus found McAfee 5032 05.16.2007 no virus found Microsoft 1.2503 05.17.2007 no virus found NOD32v2 2274 05.17.2007 no virus found Norman 5.80.02 05.17.2007 no virus found Panda 9.0.0.4 05.17.2007 Trj/Agent.CDG Prevx1 V2 05.17.2007 no virus found Sophos 4.17.0 05.16.2007 no virus found Sunbelt 2.2.907.0 05.17.2007 no virus found Symantec 10 05.17.2007 no virus found TheHacker 6.1.6.115 05.15.2007 no virus found VBA32 3.12.0 05.16.2007 no virus found VirusBuster 4.3.7:9 05.17.2007 no virus found Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Drop.Delf.DG.1 Aditional Information File size: 14336 bytes MD5: 4d302ad0dd3d451f5d294944b0d3b303 SHA1: eb9ecac1cc2bc9ba5a52a37d2c58ef563568df09 packers: UPX packers: UPX packers: UPX Complete scanning result of "thx32.acm", received in VirusTotal at 05.17.2007, 18:02:42 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.16.1 05.17.2007 no virus found AntiVir 7.4.0.23 05.17.2007 TR/Drop.Delf.DG.1 Authentium 4.93.8 05.16.2007 no virus found Avast 4.7.997.0 05.17.2007 no virus found AVG 7.5.0.467 05.16.2007 no virus found BitDefender 7.2 05.17.2007 Backdoor.Banito.Plugin.A CAT-QuickHeal 9.00 05.17.2007 no virus found ClamAV devel-20070416 05.17.2007 no virus found DrWeb 4.33 05.17.2007 no virus found eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm eTrust-Vet 30.7.3639 05.17.2007 no virus found Ewido 4.0 05.17.2007 no virus found FileAdvisor 1 05.17.2007 no virus found Fortinet 2.85.0.0 05.17.2007 no virus found F-Prot 4.3.2.48 05.16.2007 no virus found F-Secure 6.70.13030.0 05.17.2007 no virus found Ikarus T3.1.1.7 05.17.2007 Backdoor.Win32.Banito.Plugin.A Kaspersky 4.0.2.24 05.17.2007 no virus found McAfee 5032 05.16.2007 no virus found Microsoft 1.2503 05.17.2007 no virus found NOD32v2 2274 05.17.2007 no virus found Norman 5.80.02 05.17.2007 no virus found Panda 9.0.0.4 05.17.2007 Trj/Agent.CDG Prevx1 V2 05.17.2007 no virus found Sophos 4.17.0 05.16.2007 no virus found Sunbelt 2.2.907.0 05.17.2007 no virus found Symantec 10 05.17.2007 no virus found TheHacker 6.1.6.115 05.15.2007 no virus found VBA32 3.12.0 05.16.2007 no virus found VirusBuster 4.3.7:9 05.17.2007 no virus found Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Drop.Delf.DG.1 Aditional Information File size: 14336 bytes MD5: 4d302ad0dd3d451f5d294944b0d3b303 SHA1: eb9ecac1cc2bc9ba5a52a37d2c58ef563568df09 packers: UPX packers: UPX packers: UPX Complete scanning result of "usb496.dat", received in VirusTotal at 05.17.2007, 18:03:48 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.16.1 05.17.2007 no virus found AntiVir 7.4.0.23 05.17.2007 TR/Agent.CDG Authentium 4.93.8 05.16.2007 no virus found Avast 4.7.997.0 05.17.2007 Win32:Trojano-1503 AVG 7.5.0.467 05.16.2007 no virus found BitDefender 7.2 05.17.2007 Trojan.Agent.CDG CAT-QuickHeal 9.00 05.17.2007 TrojanSpy.Delf.ih ClamAV devel-20070416 05.17.2007 no virus found DrWeb 4.33 05.17.2007 no virus found eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm eTrust-Vet 30.7.3639 05.17.2007 Win32/Malum.CKHZ Ewido 4.0 05.17.2007 Logger.Delf.ih FileAdvisor 1 05.17.2007 no virus found Fortinet 2.85.0.0 05.17.2007 W32/Agent.FNH!tr F-Prot 4.3.2.48 05.16.2007 no virus found F-Secure 6.70.13030.0 05.17.2007 W32/Agent.PMI Ikarus T3.1.1.7 05.17.2007 no virus found Kaspersky 4.0.2.24 05.17.2007 no virus found McAfee 5033 05.17.2007 no virus found Microsoft 1.2503 05.17.2007 Backdoor:Win32/Delf!35EA (threat-c) NOD32v2 2274 05.17.2007 no virus found Norman 5.80.02 05.17.2007 W32/Agent.PMI Panda 9.0.0.4 05.17.2007 Trj/Agent.CDG Prevx1 V2 05.17.2007 no virus found Sophos 4.17.0 05.16.2007 no virus found Sunbelt 2.2.907.0 05.17.2007 Backdoor.Delf.gen Symantec 10 05.17.2007 no virus found TheHacker 6.1.6.115 05.15.2007 no virus found VBA32 3.12.0 05.16.2007 no virus found VirusBuster 4.3.7:9 05.17.2007 no virus found Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Agent.CDG Aditional Information File size: 11264 bytes MD5: ea355c5ddfbadb9421fb4aca1535f84b SHA1: 0a391eb89d8a1c4741e7bc1f91ed23bc5d122577 packers: UPX packers: UPX packers: UPX |
17.05.2007, 17:48 | #6 | |
Administrator > Competence Manager | Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Dann kannst du gleich hiermit weiter machen, bevor du den eScan startest: Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Gruß Sunny
__________________ --> Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG |
17.05.2007, 18:37 | #7 |
| Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Hallo sunny, da bin ich wieder. danke für die bisherige Hilfe. und jetzt? Gruß funny4u2 Avenger.txt Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\xcnxkbkc ******************* Script file located at: \??\C:\WINDOWS\system32\lqcmhhka.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\swreg.exe deleted successfully. File C:\WINDOWS\system32\swsc.exe deleted successfully. File C:\windows\system32\dvaudio.drv not found! Deletion of file C:\windows\system32\dvaudio.drv failed! Could not process line: C:\windows\system32\dvaudio.drv Status: 0xc0000034 File C:\windows\system32\thx32.acm not found! Deletion of file C:\windows\system32\thx32.acm failed! Could not process line: C:\windows\system32\thx32.acm Status: 0xc0000034 File C:\windows\system32\usb496.dat not found! Deletion of file C:\windows\system32\usb496.dat failed! Could not process line: C:\windows\system32\usb496.dat Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. find.bat ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Thu May 17 19:06:11 2007 => Version 9.2.2 Thu May 17 19:06:05 2007 => Virus-Datenbank Datum: 5/15/2007 Thu May 17 19:06:19 2007 => Virus-Datenbank Datum: 5/15/2007 Thu May 17 19:06:24 2007 => Virus-Datenbank Datum: 5/15/2007 Thu May 17 19:24:53 2007 => Virus-Datenbank Datum: 5/15/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu May 17 19:07:34 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Thu May 17 19:07:34 2007 => Offending file found: C:\WINDOWS\system32\process.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Thu May 17 19:07:38 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu May 17 19:06:19 2007 => Gefundene Viren: 0 Thu May 17 19:24:53 2007 => Gefundene Viren: 2 Thu May 17 19:06:19 2007 => Anzahl Fehler: 0 Thu May 17 19:24:53 2007 => Anzahl Fehler: 5 Thu May 17 19:06:19 2007 => Dauer des Scans bisher: 00:00:08 Thu May 17 19:24:53 2007 => Dauer des Scans bisher: 00:17:57 Thu May 17 19:06:19 2007 => Gescannte Dateien: 569 Thu May 17 19:24:53 2007 => Gescannte Dateien: 54652 Thu May 17 19:06:11 2007 => Specherüberprüfung: Aktiviert Thu May 17 19:06:56 2007 => Specherüberprüfung: Aktiviert Thu May 17 19:06:11 2007 => Registry Überprüfung: Aktiviert Thu May 17 19:06:56 2007 => Registry Überprüfung: Aktiviert Thu May 17 19:06:11 2007 => System-Ordner Überprüfung: Aktiviert Thu May 17 19:06:56 2007 => System-Ordner Überprüfung: Aktiviert Thu May 17 19:06:11 2007 => Überprüfung der Systembereiche: Deaktiviert Thu May 17 19:06:56 2007 => Überprüfung der Systembereiche: Deaktiviert Thu May 17 19:06:11 2007 => Überprüfung der Dienste: Aktiviert Thu May 17 19:06:56 2007 => Überprüfung der Dienste: Aktiviert Thu May 17 19:06:56 2007 => Überprüfung der Festplatten: Aktiviert Thu May 17 19:06:56 2007 => Überprüfung aller Festplatten eaktiviert |
17.05.2007, 19:17 | #8 | |
Administrator > Competence Manager | Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Was mir komisch vorkommt ist diese Datei: Zitat:
Es kann sein das es ein Fehlalarm ist, oder aber die Systemdatei wurde manipuliert! Habe gerade auf meinem System die Process.exe mit deiner Größen- und HASH-Angabe verglichen, sie stimmen also überein! Ich denke das sollte es dann gewesen sein! Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
17.05.2007, 20:22 | #9 |
| Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG Hallo sunny, dann hoffen wir mal das beste. Nochmals danke für Deine Unterstützung. Bei Bedarf werde ich dann wieder hier auftauchen. Gruß funny4u2 |
17.05.2007, 20:35 | #10 | |
Administrator > Competence Manager | Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDGZitat:
Du weisst ja wo du uns hier finden kannst...
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu Anfänger in Spionageabwehr TR/Drop.delf.DG.1 und TR/Agent.CDG |
adobe, avg, avira, bho, drivers, dsl, excel, explorer, fehler, festplatte, google, helfen, hijack, hijackthis, internet, internet explorer, konvertieren, log-file, object, pdf, pdf-datei, programme, registry, rundll, shockwave, software, system, unknown file in winsock lsp, urlsearchhook, viren, windows, windows xp |