Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister

motegi · 25.08.2007, 12:05

Hallo Leute,

erst mal hallo zu diesem Super Board!!!!

Gott sei Dank mußte ich es noch nicht in Anspruch nehmen, doch seit gestern Abend ist es soweit.
Habe folgendes Problem, wenn ich den IExplorer aufrufe, erscheinen die seiten nicht, das Adressfeld zur eingabe der Seite bleibt leer, die Seite wird jedoch im Hintergrund geladen, das habe ich bei einer Seite gemerkt, die Musik abspielt (aus der Favoritenliste). Desweiteren fehlt die untere Informationsleiste beim IExplorer, vermutlich, damit man das laden der Seite nicht sehen kann.
Gibt man in das Adressfeld eine beliebige Internetseite ein kommt eine Fehlermeldung z. B. "http://www.bild.de/" ist im Moment nicht verfügbar.

Habe schon Kaspersky laufen lassen, zich mal Adaware und XoftSpy, aber alles ohne erfolg, der Virus ist immer wieder da nach em Neustart, und dem IExplorer kann auch nicht geholfen werden.
XoftSpy meldet auch das der Browser gehijacked ist. Habe beim Scannen auffällig lange wartezeiten beim scannen des Ordners c:\programme\zipclix + der Datei c:\windows\system32\zipfldr.dll festgestellt, könnt ihr damit was anfangen?

Weiß leider nicht wie ich nun vorgehen muß, und welche Programme ich benötige, ich hoffe ihr könnt mir weiterhelfen!!!

PS: Mit Mozilla Firefox klappt es ohne Probleme

motegi · 25.08.2007, 15:36

Hier mein HijackThis und escan:

Logfile of HijackThis v1.99.1
Scan saved at 15:13:37, on 25.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Torsten\Desktop\12345\12345.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10.0\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\Video_deluxe_2007_PLUS\TrayServer.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20060912/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.27.44.33//activex/AMC.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Aber escan ist doch viel zu groß zum posten???? Da steht ja jede Datei drinne, die gescannt wurde. Habe auf jeden Fall diesen Smitfrau oder wie der heißt gesehen.

Könnt ihr mir bitte helfen

myrtille · 25.08.2007, 15:39

Hi,
hast du den eScan entsprechend unserer Anleitung gemacht? Wenn ja, kannst du dir die find.bat aus der Anleitung herunterladen und ausführen, dann wird das ganze zusammengefasst, sodass du es hier im Forum gut posten kannst.

lg myrtille

motegi · 25.08.2007, 16:37

So, habe ich gemacht, hier nun das Ergebniss:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sat Aug 25 13:53:22 2007 => *** Datei C:\Dokumente und Einstellungen\Torsten\Desktop\Down Emule\Tiziano Ferro - Stop..dimentica ( original version cd).mp3 in Grösse beschränkt ***. Filesize 8860 kb
Sat Aug 25 13:40:02 2007 => Virus-Datenbank Datum: 8/23/2007
Sat Aug 25 13:40:32 2007 => Virus-Datenbank Datum: 8/25/2007
Sat Aug 25 13:50:04 2007 => Virus-Datenbank Datum: 8/25/2007
Sat Aug 25 14:46:56 2007 => Virus-Datenbank Datum: 8/25/2007
Sat Aug 25 15:04:41 2007 => Virus-Datenbank Datum: 8/25/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Aug 25 13:51:19 2007 => System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat Aug 25 14:25:38 2007 => Scanne Datei C:\Programme\Half_Life_2\hl2\sound\npc\combine_soldier\vo\wehavenontaggedviromes.wav
Sat Aug 25 14:25:46 2007 => Scanne Datei C:\Programme\Half_Life_2\hl2\sound\npc\metropolice\vo\non-taggedviromeshere.wav
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sat Aug 25 13:51:09 2007 => Offending Folder found: C:\WINDOWS\system32\1024
Sat Aug 25 13:51:10 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\netpumper
Sat Aug 25 13:51:17 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\netpumper
Sat Aug 25 13:51:18 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\netpumper
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sat Aug 25 13:51:00 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\netpumper_is1 !!!
Sat Aug 25 13:51:07 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\netpumper_is1 !!!
Sat Aug 25 13:51:07 2007 => Offending Key found: HKLM\Software\netpumper !!!
Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\Software\netpumper !!!
Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\software\microsoft\internet explorer\menuext\download with netpumper !!!
Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\netpumper !!!
Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\spyaxe !!!
Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\gambling !!!
Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\\.xnpd !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Aug 25 14:46:56 2007 => Gefundene Viren: 17
Sat Aug 25 14:46:56 2007 => Anzahl Fehler: 117
Sat Aug 25 14:46:56 2007 => Dauer des Scans bisher: 00:56:25
Sat Aug 25 14:46:56 2007 => Gescannte Dateien: 206345
Sat Aug 25 13:50:25 2007 => Specherüberprüfung: Aktiviert
Sat Aug 25 13:50:25 2007 => Registry Überprüfung: Aktiviert
Sat Aug 25 13:50:25 2007 => System-Ordner Überprüfung: Deaktiviert
Sat Aug 25 13:50:25 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Aug 25 13:50:25 2007 => Überprüfung der Dienste: Aktiviert
Sat Aug 25 13:50:25 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Aug 25 13:50:25 2007 => Überprüfung aller Festplatten :Aktiviert

Finde nur nucht die Meldung von diesem Smitfrau, oder wie das Ding hieß.

Ist mein System noch zu retten?????

Außerdem, wenn ich mit der rechten Taste auf Start gehe, und den Explorer aufrufe, meldet Kaspersky immer folgendes (siehe Anhang)

Desweiteren geht die Suche nicht, wenn ich auf Start gehe, und dann auf suchen. über den Explorer funktioniert es.

25.08.2007, 15:39	#3
myrtille /// TB-Ausbilder	Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister Hi, hast du den eScan entsprechend unserer Anleitung gemacht? Wenn ja, kannst du dir die find.bat aus der Anleitung herunterladen und ausführen, dann wird das ganze zusammengefasst, sodass du es hier im Forum gut posten kannst. lg myrtille __________________

Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister

Plagegeister aller Art und deren Bekämpfung: Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister