|
Plagegeister aller Art und deren Bekämpfung: Hilfe!!!! Virus.Win32.delf.ak und andere PlagegeisterWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.08.2007, 12:05 | #1 |
| Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister Hallo Leute, erst mal hallo zu diesem Super Board!!!! Gott sei Dank mußte ich es noch nicht in Anspruch nehmen, doch seit gestern Abend ist es soweit. Habe folgendes Problem, wenn ich den IExplorer aufrufe, erscheinen die seiten nicht, das Adressfeld zur eingabe der Seite bleibt leer, die Seite wird jedoch im Hintergrund geladen, das habe ich bei einer Seite gemerkt, die Musik abspielt (aus der Favoritenliste). Desweiteren fehlt die untere Informationsleiste beim IExplorer, vermutlich, damit man das laden der Seite nicht sehen kann. Gibt man in das Adressfeld eine beliebige Internetseite ein kommt eine Fehlermeldung z. B. "http://www.bild.de/" ist im Moment nicht verfügbar. Habe schon Kaspersky laufen lassen, zich mal Adaware und XoftSpy, aber alles ohne erfolg, der Virus ist immer wieder da nach em Neustart, und dem IExplorer kann auch nicht geholfen werden. XoftSpy meldet auch das der Browser gehijacked ist. Habe beim Scannen auffällig lange wartezeiten beim scannen des Ordners c:\programme\zipclix + der Datei c:\windows\system32\zipfldr.dll festgestellt, könnt ihr damit was anfangen? Weiß leider nicht wie ich nun vorgehen muß, und welche Programme ich benötige, ich hoffe ihr könnt mir weiterhelfen!!! PS: Mit Mozilla Firefox klappt es ohne Probleme Geändert von motegi (25.08.2007 um 12:26 Uhr) Grund: Hilfe!!!!! |
25.08.2007, 15:36 | #2 |
| Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister Hier mein HijackThis und escan:
__________________Logfile of HijackThis v1.99.1 Scan saved at 15:13:37, on 25.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5700.0007) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Torsten\Desktop\12345\12345.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10.0\uvPL.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\Video_deluxe_2007_PLUS\TrayServer.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: WISO Urteilsmonitor.lnk = ? O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20060912/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.27.44.33//activex/AMC.cab O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing) O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe Aber escan ist doch viel zu groß zum posten???? Da steht ja jede Datei drinne, die gescannt wurde. Habe auf jeden Fall diesen Smitfrau oder wie der heißt gesehen. Könnt ihr mir bitte helfen |
25.08.2007, 15:39 | #3 |
/// TB-Ausbilder | Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister Hi,
__________________hast du den eScan entsprechend unserer Anleitung gemacht? Wenn ja, kannst du dir die find.bat aus der Anleitung herunterladen und ausführen, dann wird das ganze zusammengefasst, sodass du es hier im Forum gut posten kannst. lg myrtille |
25.08.2007, 16:37 | #4 |
| Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister So, habe ich gemacht, hier nun das Ergebniss: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Sat Aug 25 13:53:22 2007 => *** Datei C:\Dokumente und Einstellungen\Torsten\Desktop\Down Emule\Tiziano Ferro - Stop..dimentica ( original version cd).mp3 in Grösse beschränkt ***. Filesize 8860 kb Sat Aug 25 13:40:02 2007 => Virus-Datenbank Datum: 8/23/2007 Sat Aug 25 13:40:32 2007 => Virus-Datenbank Datum: 8/25/2007 Sat Aug 25 13:50:04 2007 => Virus-Datenbank Datum: 8/25/2007 Sat Aug 25 14:46:56 2007 => Virus-Datenbank Datum: 8/25/2007 Sat Aug 25 15:04:41 2007 => Virus-Datenbank Datum: 8/25/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Aug 25 13:51:19 2007 => System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sat Aug 25 14:25:38 2007 => Scanne Datei C:\Programme\Half_Life_2\hl2\sound\npc\combine_soldier\vo\wehavenontaggedviromes.wav Sat Aug 25 14:25:46 2007 => Scanne Datei C:\Programme\Half_Life_2\hl2\sound\npc\metropolice\vo\non-taggedviromeshere.wav ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Sat Aug 25 13:51:09 2007 => Offending Folder found: C:\WINDOWS\system32\1024 Sat Aug 25 13:51:10 2007 => Offending Folder found: C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\netpumper Sat Aug 25 13:51:17 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\netpumper Sat Aug 25 13:51:18 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\netpumper ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Sat Aug 25 13:51:00 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\netpumper_is1 !!! Sat Aug 25 13:51:07 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\netpumper_is1 !!! Sat Aug 25 13:51:07 2007 => Offending Key found: HKLM\Software\netpumper !!! Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\Software\netpumper !!! Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\software\microsoft\internet explorer\menuext\download with netpumper !!! Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\netpumper !!! Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\spyaxe !!! Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\gambling !!! Sat Aug 25 13:51:07 2007 => Offending Key found: HKCU\\.xnpd !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Aug 25 14:46:56 2007 => Gefundene Viren: 17 Sat Aug 25 14:46:56 2007 => Anzahl Fehler: 117 Sat Aug 25 14:46:56 2007 => Dauer des Scans bisher: 00:56:25 Sat Aug 25 14:46:56 2007 => Gescannte Dateien: 206345 Sat Aug 25 13:50:25 2007 => Specherüberprüfung: Aktiviert Sat Aug 25 13:50:25 2007 => Registry Überprüfung: Aktiviert Sat Aug 25 13:50:25 2007 => System-Ordner Überprüfung: Deaktiviert Sat Aug 25 13:50:25 2007 => Überprüfung der Systembereiche: Deaktiviert Sat Aug 25 13:50:25 2007 => Überprüfung der Dienste: Aktiviert Sat Aug 25 13:50:25 2007 => Überprüfung der Festplatten: Deaktiviert Sat Aug 25 13:50:25 2007 => Überprüfung aller Festplatten :Aktiviert Finde nur nucht die Meldung von diesem Smitfrau, oder wie das Ding hieß. Ist mein System noch zu retten????? Außerdem, wenn ich mit der rechten Taste auf Start gehe, und den Explorer aufrufe, meldet Kaspersky immer folgendes (siehe Anhang) Desweiteren geht die Suche nicht, wenn ich auf Start gehe, und dann auf suchen. über den Explorer funktioniert es. Geändert von motegi (25.08.2007 um 16:55 Uhr) |
Themen zu Hilfe!!!! Virus.Win32.delf.ak und andere Plagegeister |
aufrufe, browser, datei, fehlermeldung, festgestellt, firefox, folge, heulen, hilfe!!, hilfe!!!, hintergrund, immer wieder, immer wieder da, internetseite, kaspersky, leer, mozilla, mozilla firefox, musik, neustart, plagegeister, problem, probleme, programme, scan, seite, seiten, super, system, system32, virus, windows |