Hallo,
ich sitz grad am PC meines Schwagers ("der Rechner macht so komische Sachen... könntest du bitte mal schauen?"). Da kam immer in kurzen Abständen eine Windows-Fehlermeldung, dass eine Datei nicht gelöscht werden könne - ohne Angabe, um welche Datei es sich handelt.
Virenscanner aktualisiert (der arme Mann hat kein DSL oder so, dauert alles ewig), und tatsächlich wurde dieser Trojaner gefunden und entfernt: TR/Dldr.Delf.edl

Dann hab ich zur SIcherheit nochmal nachgeforscht und u.a. den Hinweis auf HijackThis gefunden. Das gibt mir unten stehendes Protokoll aus: Wäre nett, wenn da mal jemand drüber schauen könnte, ob noch irgendwas verdächtiges zu finden ist. Besten Dank schonmal,

-Lothar

------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:20:16, on 23.03.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
c:\dos\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\WINNT\System32\WScript.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Discountsurfer\discountsurfer.exe
C:\WINNT\slrundll.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144957370177
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9949163B-9CE2-4BE0-8966-0C9149273F7D}: NameServer = 195.50.140.114 145.253.2.203
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Remote Procedure Call (RPC) Remote (RpcRemote) - Unknown owner - C:\WINNT\system32\remote.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O23 - Service: Window Event Server (windowneters) - Unknown owner - c:\Recycled\svchost.exe (file missing)
O23 - Service: NVIDIA Display Drivers (WyDNS) - Unknown owner - c:\dos\svchost.exe

Hallo

könnt ihr alle versteckten Dateien und Ordner sehen?

Diese Dateien

Zitat:

c:\dos\svchost.exe
C:\WINNT\system32\remote.exe
c:\Recycled\svchost.exe

bitte hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti überprüfen lassen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde.

MFG

Guten Morgen,

Zitat:

Zitat von nochdigger

könnt ihr alle versteckten Dateien und Ordner sehen?

Ja, ist alles auf sichtbar eingestellt. Die Files

C:\WINNT\system32\remote.exe
c:\Recycled\svchost.exe

sind tatsächlich nicht mehr da, auch eine Suche nach remote.exe brachte kein Ergebnis.

Das File

c:\dos\svchost.exe

hab ich zu VirusTotal hochgeladen. Ergebnis:
================
Datei svchost.exe empfangen 2008.03.24 09:19:48 (CET)

Ergebnis: 6/31 (19.36%)

AhnLab-V3 2008.3.22.1 2008.03.24 -
AntiVir 7.6.0.75 2008.03.23 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.23 -
AVG 7.5.0.516 2008.03.23 -
BitDefender 7.2 2008.03.24 BehavesLike:Win32.Malware
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.24 -
DrWeb 4.44.0.09170 2008.03.23 Trojan.DownLoader.origin
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.23 -
F-Prot 4.4.2.54 2008.03.23 -
F-Secure 6.70.13260.0 2008.03.24 -
FileAdvisor 1 2008.03.24 -
Fortinet 3.14.0.0 2008.03.24 -
Ikarus T3.1.1.20 2008.03.24 BehavesLikeWin32.Malware
Kaspersky 7.0.0.125 2008.03.24 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.24 -
NOD32v2 2968 2008.03.24 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.23 Suspicious file
Prevx1 V2 2008.03.24 Heuristic: Suspicious File With Outbound Communications
Rising 20.36.62.00 2008.03.23 -
Sophos 4.27.0 2008.03.24 Mal/Behav-053
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.24 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.23 -
Webwasher-Gateway 6.6.2 2008.03.24 -
weitere Informationen
File size: 202752 bytes
MD5: b621186df540ca4e723b59fa55ccf3a4
SHA1: 9df62e5b417bf91f67630cccf47f6054ab4a24b8
PEiD: -
packers: UPX
packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5A74011700A10E63183803F8C128BB00B6AB97C4

==========================
Ich werd jetzt mal versuchen, die Datei unschädlich zu machen, notfalls löschen., da mein Besuch hier heute zu Ende ist und ich meinen Schwager nicht mit einem Virus alleine lassen möchte. Besten Dank auf jeden Fall schonmal für Deine Hilfe.

Grüße,
-Lothar

Nachtrag:

ich habe jetzt die entsprechenden Dienste in der Services-Liste deaktiviert, dann in der Registry gesucht und dort rausgeworfen (die Dateien waren ja eh schon weg). Diese lästigen Fehlermeldungen ("Datei kann nicht gelöscht werden...") scheinen jetzt auch nicht mehr zu kommen.

Bei den Services ist mir dabei noch einer mit sehr abstrusem Namen aufgefallen:

"P1ug and P1ay" (ja, eine EINS anstelle des kleinen L). Dazu eine Beschreibung in unleserlichem Kauderwelsch, keine Dateiangabe dazu.

In der Registry gab es dazu einen Service-Eintrag, den ich auch löschen könnte. Außerdem gibt es dort aber auch noch einen Eintrag, den ich nicht entfernen kann, auch im abgesicherten Modus nicht.

Unter HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\root\ (analog unter ..\ControlSet002\..) gibt es den Schlüssel

LEGACY_P1UGP1AY mit Wert "NextInstance = 1"
Darunter in Subschlüssel "0000" mit den Werten
Class = LegacyDriver
ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
ConfigFlags = 0
DeviceDesc = P1ug and P1ay
Legacy = 1
Service = P1ugP1ay

Die Suche nach der Klasse {8ECC055D-047F-11D1-A537-0000F8753ED1} bringt Folgendes:

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{Schlüssel}:

Class = LegacyDriver
EnumPropPages32 = SysSetup.Dll,LegacyDriverPropPageProvider
Icon = -19
NoDisplayClass = 1
NoInstallClass = 1
SilentInstall = 1

Frage 1: sagt das jemandem etwas?
Frage 2: müssen wir uns Sorgen machen? Ich meine, der Service selbst ist ja jetzt erstmal weg...
Frage 3: warum kann ich den Schlüssel und seine Unterelemente nicht entfernen?


Wenn Ihr mir Frage 2 mit NEIN beantwortet bin ich im Grunde natürlich schon zufrieden...

Schöne Rest-Ostern,

-Lothar

Lass das bitte bei www.virustotal.com prüfen und poste uns das Ergebnis:

c:\dos\svchost.exe

Zitat:

Zitat von Vista_User

Lass das bitte bei www.virustotal.com prüfen

Ist doch bereits erledigt (Post3)
Die svchost.exe im Recycled-Ordner deute auf Papierkorbeintrag. Vieleicht mal den Papierkorb leeren.
das die C:\WINNT\system32\remote.exe (file missing) als solche angezeigt wird, ist wiederum kein gutes Zeichen.
Könnte von einem Rootkid versteckt sein.
Den Rechner mal mit F-Secure scannen lassen.

Zitat:

Zitat von blow-in

Ist doch bereits erledigt (Post3)

Eben

Zitat:

Zitat von blow-in

Die svchost.exe im Recycled-Ordner deute auf Papierkorbeintrag.

Nein, das ist auf dem Rechner der Name des Quarantäne-Ordners für Antivir; keine Ahnung, warum der so heißt.

Zitat:

Zitat von blow-in

das die C:\WINNT\system32\remote.exe (file missing) als solche angezeigt wird, ist wiederum kein gutes Zeichen.
Könnte von einem Rootkid versteckt sein.
Den Rechner mal mit F-Secure scannen lassen.

Ja, das könnte natürlich sein. Dummerweise hab ich den Rechner jetzt nicht mehr im Zugriff, der steht 250 km von mir entfernt im tiefsten Bayerischen Wald - kein DSL (gibts da noch nicht), also auch kein Remote-Access und so. Die nächste Untersuchung muss wohl bis zu den Pfingstferien warten. Hoffen wir das Beste, dass bis dahin nichts Schlimmes passiert Er hat mir hoch und heilig versprochen, den Rechner derweilen nicht mehr für Homebanking etc. zu nutzen.

Nochmal besten Dank für Eure Hilfe