| |
| |||||||
Log-Analyse und Auswertung: Spy.Delf.ago.1Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.09.2007, 08:08
| #1 |
| |  Spy.Delf.ago.1 Hallo! AntiVir hat gestern den Trojaner Tr/Spy.Delf.ago.1 auf meinem System gefunden und seiner Auskunft nach gelöscht. Ich habe im abgesicherten Modus mit AntiVir und Stinger nochmal einen Scan durchgeführt und dabei 'DR/Softomate.AA.19' entfernt. Hier ein Scan von HijackThis nach der Prozedur: Logfile of HijackThis v1.99.1 Scan saved at 08:10:29, on 26.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\sstray.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\pdf24\PDF24Updater.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\****\Desktop\Weiche Ware\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.bearshare.com/sidebar.html?src=ssb R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://1/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDF24Updater.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: LAN-Verbindung.lnk = ? O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: CAPIControl.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Würde gerne wissen ob da noch was rumgeistert.. Ist der Scan in Ordnung? Vielen herzlichen Dank für eure Hilfe Flufur |
|
26.09.2007, 09:38
| #2 |
| /// AVZ-Toolkit Guru   |  Spy.Delf.ago.1 Hallo Flufur.
__________________Von Bearshare solltest du die Finger lassen  da kommen Schädlinge mit..Deinstalliere es bitte über die Systemsteuerung. Danach Deaktivierst du die Systemwiederherstellung auf allen Laufwerken und suchst wie in meiner Signatur beschrieben nach folgender Datei: " UAService7.exe " sie sollte hoffentlich nicht vorhanden sein. Fixe dann mit HJT folgende Einträge: * R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb * * R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.bearshare.com/sidebar.html?src=ssb * * R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.bearshare.com/sidebar.html?src=ssb * * R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb * * O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) * * O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing * Räume gleich danach mit CCleaner auf. Starte den Rechner neu und führe einen eScan nach der Anleitung aus meiner Signatur durch.. Gruß Undoreal
__________________ |
|
27.09.2007, 08:23
| #3 |
| |  Spy.Delf.ago.1 Hallo Undoreal!
__________________vielen Dank für deine prompte Antwort! tja, bei Bearshare hab ich nicht gut genug auf meine lieben Geschwister aufgepasst....argh ....   Was mache ich wenn die Datei UAService7.exe aber doch zu finden ist?? Sie nennt sich 'UAService7.exe.q_804E001_q und war unter: C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/SecTaskMan zu finden. hehe... nicht gut?  Die gehört natürlich nicht wirklich zum Security Task Manager? oder doch? Ich habe die anderen Schritte bis auf den eScan trotzdem durchgeführt.  das Ergebnis vom eScan werde ich gleich posten. und harre dem post der dann da kommen mag. Gruß Flufur |
|
27.09.2007, 10:14
| #4 | ||
| /// AVZ-Toolkit Guru | Spy.Delf.ago.1Zitat:
 nein, nicht gut.Zitat:
Lade die Datei bitte auf VT und poste das Ergebnis. Gruß Undo
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
27.09.2007, 10:31
| #5 |
| |  Spy.Delf.ago.1 so erstmal noch das prächtige Ergebnis des eScan........  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 9/27/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File D:\Software + Dokumentation\BSINSTALLDE.exe//WiseSFX Dropper//WISE0025.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCR\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{**************************}). Deleting Registry Key {*************************}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_4679034d\engine\avewin32.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_468e4bd8\engine\avewin32.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPDATE\AVUPDATE_46d2c5b8\engine\avewin32.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Musicmatch\Musicmatch Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Musicmatch\Musicmatch Update\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 135678 Gefundene Viren: 5 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 64 Dauer des Scans bisher: 01:19:54 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 11:24:18,15 Batchende: 11:24:36,79 Was soll das eigentlich heißen: Deleting Registry Key {*******}... ? Und sollte ich den codieren oder nicht? Man muss sich nur davor hueten, die Abwesenheit von Anomalien als Beweis fuer die Sauberkeit des Systems zu werten.--- Jürgen Schmidt @ heise.de ....wie wahr .... mir wird schlecht. Gruß Flufur |
|
27.09.2007, 11:03
| #6 |
| |  Spy.Delf.ago.1 ausgeführt ! Datei UAService7.exe.q_804E001_q empfangen 2007.09.27 11:38:23 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.27.0 2007.09.27 - AntiVir 7.6.0.15 2007.09.27 - Authentium 4.93.8 2007.09.27 - Avast 4.7.1043.0 2007.09.26 - AVG 7.5.0.488 2007.09.26 - BitDefender 7.2 2007.09.27 - CAT-QuickHeal 9.00 2007.09.26 - ClamAV 0.91.2 2007.09.26 - DrWeb 4.33 2007.09.27 - eSafe 7.0.15.0 2007.09.23 - eTrust-Vet 31.2.5168 2007.09.27 - Ewido 4.0 2007.09.27 - FileAdvisor 1 2007.09.27 - Fortinet 3.11.0.0 2007.09.27 - F-Prot 4.3.2.48 2007.09.26 - F-Secure 6.70.13030.0 2007.09.27 - Ikarus T3.1.1.12 2007.09.27 - Kaspersky 7.0.0.125 2007.09.27 - McAfee 5128 2007.09.26 - Microsoft 1.2803 2007.09.27 - NOD32v2 2554 2007.09.26 - Norman 5.80.02 2007.09.27 - Panda 9.0.0.4 2007.09.27 - Prevx1 V2 2007.09.27 - Rising 19.42.32.00 2007.09.27 - Sophos 4.21.0 2007.09.27 - Sunbelt 2.2.907.0 2007.09.26 - Symantec 10 2007.09.27 - TheHacker 6.2.6.072 2007.09.27 - VBA32 3.12.2.4 2007.09.26 - VirusBuster 4.3.26:9 2007.09.26 - Webwasher-Gateway 6.0.1 2007.09.27 - weitere Informationen File size: 122880 bytes MD5: 7764d99877e27436e95e4734624c9b45 SHA1: 4b4a2838fe770abae9625e83a9ab8f86a3c05adb Uff, das sieht doch ganz gut aus...  Wie soll ich die bei dem eScan gefundenen Dateien entfernen? Gruß Flufur |
|
27.09.2007, 14:02
| #7 | ||
| /// AVZ-Toolkit Guru | Spy.Delf.ago.1 Hmmmm. Ich traue dem VT Ergebniss nicht so ganz über den Weg. http://www.file.net/prozess/uaservice7.exe.html -> Der Dateipfad den du angegeben hast ist absolut untypisch. Welche Größe hat die Datei? Du könntest den SecTaskMang. einfach mal deinstallieren und danach mal gucken ob die Datei sich noch auf dem Rechner findet.. Zitat:
Solltest du sie nicht gelöscht bekommen nutze Killbox. Aber eigentlich sollte das funktionieren. Zitat:
Gruß Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
27.09.2007, 18:42
| #8 | ||||
| | Spy.Delf.ago.1Zitat:
1. UAService7.exe.q_804E001_q vom Dateityp "Konfigurationseinstellung" 338 Byte 2.UAService7.exe.q_804E001_q "Unbekannte Anwendung" 120 KB Zitat:
Kann ich die Dateien nicht einfach löschen? Zitat:
Zitat:
Gruß Flufur |
|
27.09.2007, 19:12
| #9 | |
| /// AVZ-Toolkit Guru | Spy.Delf.ago.1Zitat:
Ich meinte natürlich den hier: " C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/SecTaskMan" Lösche am besten den ganzen Ordner im abgesicherten Modus. Du könntest aber eigentlich echt vorher beide Dateien mal per e_mail an virustotal und/oder support@kaspersky.de -Betreff: NewVirus -Passwort: Infected -Text: Password: infected . Bitte um kurze Rückmeldung. Packe die Dateien vorher und belege sie mit dem Passwort " infected ". Damit hilfst du dann anderen und das wäre ein feiner Schachzug. Außerdem bin ich echt gespannt was dabei rauskommt. Gruß Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
27.09.2007, 19:14
| #10 |
| | Spy.Delf.ago.1 File D:\Software + Dokumentation\BSINSTALLDE.exe//WiseSFX Dropper//WISE0025.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". ist tot....  Stelle ich mich blöd an oder gibt mir escan einfach nicht die Dateipfade für die restlichen Dateien an???? Steht der im Protokoll?? Habe sie nicht gefunden. GRuß Flufur |
|
27.09.2007, 19:31
| #11 |
| /// AVZ-Toolkit Guru | Spy.Delf.ago.1 Lass dich von eScan nicht verwirren. Wenn du die BSINSTALLDE.exe gelöscht hast sollte dein Rechner sauber sein. Gruß Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
27.09.2007, 20:06
| #12 | |
| |  Spy.Delf.ago.1Zitat:
uff.... done. Hab sie beide an Kaspersky geschickt. Bin ebenfalls gespannt!!  h:fein!! Vielen herzlichen Dank auch für die nette und kompetente Hilfe! also dann: Gruß Flufur |
|
27.09.2007, 20:12
| #13 | ||
| /// AVZ-Toolkit Guru | Spy.Delf.ago.1Zitat:
melde dich mal wieder hier wenn was zurückgekommen ist.. Zitat:
lg Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu Spy.Delf.ago.1 |
| abgesicherten modus, adobe, avira, bho, computer, desktop, einstellungen, explorer, firefox, herzlichen dank, hijack, hijackthis, internet, internet explorer, microsoft, monitor, mozilla, mozilla firefox, pdf, programme, scan, software, system, thomas, trojaner, usb, windows, windows xp, yahoo |
Linear-Darstellung
