Guten Morgen,

ich habe, wer hätte es gedacht ein Problem mit einem Trojaner.

Seit ein paar Tagen meldet mir AVG Anti-Spyware (täglich upgedated und in der bezahlten Version) jedes mal wenn ich den Explorer benutzte (Arbeitsplatz oder Systemsteuerung und Co) Malware gefunden zu haben. Name: Downloader.Delf.dbo ; Speicherort: system 32/devenu.dll.
Wenn ich auf Entfernen & Quarantäne klicke werde ich aufgefordert das System neu zu starten um die Säuberung abzuschließen. Aber wenn ich das tue und wieder den Explorer benutzte habe ich das Problem wieder.

Daraufhin habe ich Spybot-Search & Destroy runtergeladen und durchlaufen lassen, es hat zwar einiges gefunden aber das Mistding nicht...

Dann habe ich es versucht mit Systemwiederherstellung zu einem früheren Zeitpunkt - ging nicht. Egal welches Datum ich nehme, es meldet einen Fehler.

Ich habe die von AVG genannte Datei bei http://www.virustotal.com/de/ hochgeladen und das Ding wurde unter mehreren Namen gefunden:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.29.0 2007.11.28 -
AntiVir 7.6.0.34 2007.11.28 -
Authentium 4.93.8 2007.11.28 -
Avast 4.7.1074.0 2007.11.27 -
AVG 7.5.0.503 2007.11.28 -
BitDefender 7.2 2007.11.28 -
CAT-QuickHeal 9.00 2007.11.28 TrojanDownloader.Delf.dbo
ClamAV 0.91.2 2007.11.28 -
DrWeb 4.44.0.09170 2007.11.28 Trojan.DownLoader.37340
eSafe 7.0.15.0 2007.11.28 -
eTrust-Vet 31.3.5333 2007.11.28 -
Ewido 4.0 2007.11.28 Downloader.Delf.dbo
FileAdvisor 1 2007.11.28 -
Fortinet 3.14.0.0 2007.11.28 -
F-Prot 4.4.2.54 2007.11.28 -
F-Secure 6.70.13030.0 2007.11.28 Trojan-Downloader.Win32.Delf.dbo
Ikarus T3.1.1.12 2007.11.28 Trojan-Downloader.Win32.Agent.aww
Kaspersky 7.0.0.125 2007.11.28 Trojan-Downloader.Win32.Delf.dbo
McAfee 5173 2007.11.28 -
Microsoft 1.3007 2007.11.28 Trojan:Win32/Boaxxe.B
NOD32v2 2691 2007.11.28 probably a variant of Win32/Adware.BHO.NBI
Norman 5.80.02 2007.11.28 W32/Delf.BCCW
Panda 9.0.0.4 2007.11.26 Adware/AVSystemCare
Prevx1 V2 2007.11.28 SPYWARE.BZUB.NGP
Rising 20.20.21.00 2007.11.28 -
Sophos 4.23.0 2007.11.28 -
Sunbelt 2.2.907.0 2007.11.27 -
Symantec 10 2007.11.28 -
TheHacker 6.2.9.144 2007.11.28 -
VBA32 3.12.2.5 2007.11.27 -
VirusBuster 4.3.26:9 2007.11.28 -
Webwasher-Gateway 6.6.2 2007.11.28 -

Aber auch damit und mit meinem Freund google bin ich nicht wirklich weiter gekommen

Daher die Frage: Gibt es eine Möglichkeit das Ding zu entfernen oder muss ich nun tatsächlich das System neu aufsetzen? Das würde ich nämlich eigentlich gern vermeiden... Nicht zuletzt wegen der angesammelten Giveawy of the day Programme und Spiele, die ich dann nicht nochmal aktivieren kann Aber eine andere Lösung habe ich noch nicht gefunden - ich wäre zutiefst dankbar, wenn jemandem etwas einfällt!

Das Hijack-This-File ist folgendes:
Logfile of HijackThis v1.99.1
Scan saved at 11:59:23, on 01.12.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\MULTIM~1\install\WALLPA~1.90\WALLPA~1.EXE
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\QIP\qip.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\multimedia\install\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {D2552667-7842-4D56-9DB0-24A4FB078D4E} - C:\WINDOWS\System32\devenu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [WallPaper] E:\MULTIM~1\install\WALLPA~1.90\WALLPA~1.EXE /h
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ich bedanke mich schon mal fürs Lesen!

Liebe Grüße!
jesse

Hallo.

Hier sitzt schon mal ein dickes Problem:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Warum hast du das SP2 noch nicht eingespielt? Ein ungepatchtes System ist ein hervorragender Nährboden für Schädlinge aller Art...

Zitat:

Daher die Frage: Gibt es eine Möglichkeit das Ding zu entfernen oder muss ich nun tatsächlich das System neu aufsetzen?

Wird sich bei späteren Analysen zeigen, ob das Risiko, die eine Bereinigung mit sich bringt, noch hinnehmbar ist. Zuerst aber sollten wir die besagte Datei löschen:


1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete: 
C:\WINDOWS\System32\devenu.dll
         

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {D2552667-7842-4D56-9DB0-24A4FB078D4E} - C:\WINDOWS\System32\devenu.dll
         

Die Eintrag in HijackThis fixen, am besten im abgesicherten Modus von Windows. Starte dann das System neu und erstelle und poste ein neues HJT-Log. Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix