|
Log-Analyse und Auswertung: TR/Dldr.delf.RWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.04.2008, 10:38 | #1 |
| TR/Dldr.delf.R Antivir hat den Trojaner TR/Dldr.delf.R in windows\key2.txt gefunden. Ich bin mit Hijachthis wenig vertraut und brauche Hilfe, was ich machen muss!!! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:37:04, on 17.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\USB FlashDisk\UFD Utility 2004\ufdlmon.exe C:\Programme\USB FlashDisk\UFD Utility 2004\UFDTool.exe C:\Programme\USB FlashDisk\UFD Utility 2004\UFDMon.exe C:\Programme\USB FlashDisk\UFD Utility 2004\USBTD.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\EbatesMoeMoneyMaker4\EbatesMoeMoneyMaker.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file) O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [UFD Monitor9382] C:\Programme\USB FlashDisk\UFD Utility 2004\ufdlmon.exe O4 - HKLM\..\Run: [UFD Utility9382] C:\Programme\USB FlashDisk\UFD Utility 2004\UFDTool.exe O4 - HKLM\..\Run: [UFD Monitor] C:\Programme\USB FlashDisk\UFD Utility 2004\UFDMon.exe O4 - HKLM\..\Run: [UFD Utiility] C:\Programme\USB FlashDisk\UFD Utility 2004\USBTD.exe O4 - HKLM\..\Run: [xfjqoiy] C:\WINDOWS\System32\psudhb.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [- ] C:\WINDOWS\ucbbii.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [EbatesMoeMoneyMaker] "C:\Programme\EbatesMoeMoneyMaker4\EbatesMoeMoneyMaker.exe" O4 - HKLM\..\Run: [Á³# K"h'þ9Óœ÷3rÅWC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ucbbii.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Device Detection] C:\Programme\fotokasten comfort\dd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Device Detection] C:\Programme\fotokasten\dd.exe O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Desktop Calendar Reminder.lnk = C:\Programme\Desktop Calendar Reminder\Desktop Calendar Reminder.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Ebates. - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm (HKCU) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\System32\angelex.exe (file missing) O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE -- End of file - 8240 bytes Bitte gebt mir Infos für einen Laien! Danke! |
17.04.2008, 11:53 | #2 | ||
| TR/Dldr.delf.R Hallo sandrabruns
__________________1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat:
------------------------------------------------------- 2. OTMoveIt by OldTimer öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Zitat:
3. scanne mit Counterspy, lasse alles entfernen, was gefunden wird... ziemlich viel wird es sein CounterSpy 4. poste ein neues Log vom HijackThis
__________________ |
18.04.2008, 06:08 | #3 |
| TR/Dldr.delf.R Das hat alles super gut funktioniert! Vielen Dank! Schon erschreckend, welch Trojaner und sonstige Viren auf meinem PC waren! Würdest du CounterSpy als Virenscanner empfehlen? Wie kann ich mich bestmöglich schützen? Antiviravira scheint nicht sinnvoll zu sein...
__________________Das ist jetzt das aktuelle Log vom HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:04:20, on 18.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\USB FlashDisk\UFD Utility 2004\ufdlmon.exe C:\Programme\USB FlashDisk\UFD Utility 2004\UFDTool.exe C:\Programme\USB FlashDisk\UFD Utility 2004\UFDMon.exe C:\Programme\USB FlashDisk\UFD Utility 2004\USBTD.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [UFD Monitor9382] C:\Programme\USB FlashDisk\UFD Utility 2004\ufdlmon.exe O4 - HKLM\..\Run: [UFD Utility9382] C:\Programme\USB FlashDisk\UFD Utility 2004\UFDTool.exe O4 - HKLM\..\Run: [UFD Monitor] C:\Programme\USB FlashDisk\UFD Utility 2004\UFDMon.exe O4 - HKLM\..\Run: [UFD Utiility] C:\Programme\USB FlashDisk\UFD Utility 2004\USBTD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Device Detection] C:\Programme\fotokasten comfort\dd.exe O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Device Detection] C:\Programme\fotokasten\dd.exe O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Desktop Calendar Reminder.lnk = C:\Programme\Desktop Calendar Reminder\Desktop Calendar Reminder.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm (file missing) (HKCU) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE -- End of file - 6772 bytes Viele Grüsse von Sandra. |
18.04.2008, 09:47 | #4 |
| TR/Dldr.delf.R Hallo Sandra, der Antivirus ist gut gegen VIREN, was du geladen hast, sind Programme, die Spyware und Adware mit sich bringen, der Antivirus erkennt einiges, aber nicht alles. Dafür gibt es dann Spyware-Scanner, wie Counterspy. Man darf nicht alles laden, was da so blinkt im Internet, manche Software ist nicht empfehlenswert. Ich schau noch mal nach: 1. CCleaner anwenden CCleaner 2. wende Combofix an (Warnmeldung wegklicken) « poste hier den Report, der erstellt wird combofix
__________________ MfG Sabina |
18.04.2008, 13:54 | #5 |
| TR/Dldr.delf.R Hallo Sabina, ich habe 1. und 2. so ausgeführt wie du es beschrieben hast. War mein log vom HijackThis nicht o.k.? Nachfolgend das log vom combofix: ComboFix 08-04-17.1 - Sandra 2008-04-18 14:40:43.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.48 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Sandra\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 )))))))))))))))))))))))))))))) . 2008-04-18 14:11 . 2008-04-18 14:11 <DIR> d-------- C:\Programme\CCleaner 2008-04-17 14:49 . 2008-04-17 14:49 0 --a------ C:\WINDOWS\system32\SBRC.dat 2008-04-17 14:49 . 2008-04-17 14:49 0 --a------ C:\WINDOWS\system32\SBFC.dat 2008-04-17 14:44 . 2008-04-17 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\Sandra\Anwendungsdaten\Sunbelt Software 2008-04-17 14:44 . 2008-04-17 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software 2008-04-17 14:42 . 2008-04-17 14:42 <DIR> d-------- C:\Programme\Sunbelt Software 2008-04-17 14:27 . 2008-04-17 14:27 <DIR> d-------- C:\_OTMoveIt 2008-03-28 16:13 . 2008-03-28 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Eigene Dateien 2008-03-27 15:50 . 2008-03-27 16:15 <DIR> d-------- C:\Programme\Picasa2 2008-03-27 15:50 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-03-27 15:50 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 3 Datei(en) . 4,330 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-18 12:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-04-13 08:50 --------- d-----w C:\Programme\StarMoney 4.0 S-Edition 2008-02-29 14:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-02-23 02:38 43,872 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys 2008-01-12 15:25 17,797 ----a-w C:\Dokumente und Einstellungen\Sandra\Anwendungsdaten\mdb.bin 2007-10-13 11:16 4 ----a-w C:\Programme\ENCQUEUE.DAT 2007-10-13 11:14 2,442 ----a-w C:\Programme\CDQUEUE.DAT 2007-10-13 11:06 387 ----a-w C:\Programme\CDDB.DAT 2006-12-05 11:42 11,009,397 ----a-w C:\Programme\fotokasten_Comfort_2.0.exe 2005-03-22 14:22 0 ----a-w C:\Programme\CDFILES.DAT 2004-03-15 13:58 2,150,139 ----a-w C:\Programme\edg26.exe 2004-02-27 09:51 474,816 ----a-w C:\Programme\GoogleToolbarInstaller.exe 2003-05-11 20:59 2,570,240 ----a-w C:\Programme\EAC.exe 2003-05-11 20:49 10,607 ----a-w C:\Programme\News.rtf 2003-04-22 17:49 3,411,317 ----a-w C:\Programme\MY-PLAYLIST-INSTALLER.exe 2003-04-22 15:50 10,221 ----a-w C:\Programme\Legal.rtf 2003-04-17 23:57 14,336 ----a-w C:\Programme\ShowInfo.exe 2003-04-01 12:36 111,099 ----a-w C:\Programme\WME9.vbs 2003-02-04 09:43 15,491,408 ----a-w C:\Programme\AcroReader51_DEU_full.exe . ((((((((((((((((((((((((((((( snapshot@2008-04-18_14.30.37,95 ))))))))))))))))))))))))))))))))))))))))) . - 2008-04-18 12:01:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-18 12:38:20 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] "Device Detection"="C:\Programme\fotokasten\dd.exe" [ ] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE] "NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 11:50 155648] "Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 04:19 69632] "UFD Monitor9382"="C:\Programme\USB FlashDisk\UFD Utility 2004\ufdlmon.exe" [2004-07-02 17:56 45056] "UFD Utility9382"="C:\Programme\USB FlashDisk\UFD Utility 2004\UFDTool.exe" [2004-09-01 11:38 417792] "UFD Monitor"="C:\Programme\USB FlashDisk\UFD Utility 2004\UFDMon.exe" [2004-07-02 17:46 45056] "UFD Utiility"="C:\Programme\USB FlashDisk\UFD Utility 2004\USBTD.exe" [2003-06-09 16:19 421888] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-10-11 14:54 241704] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24 286720] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792] "Device Detection"="C:\Programme\fotokasten comfort\dd.exe" [ ] "SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360] "MSSWINHELP"="wuadampr.exe" [] "MOJNPluginSrIvcs"="neomonap23.exe" [] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-07-07 13:23:58 110592] Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-10-19 14:10:12 125624] Microsoft Office OneNote 2003 Schnellstart.lnk - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2003-08-06 14:23:32 51776] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:54 65588] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R0 TwkMs;CHIPDRIVE Maus Adapter;C:\WINDOWS\system32\drivers\TwkMs.sys [2002-06-17 03:14] R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;C:\WINDOWS\system32\drivers\TwkPCSC.sys [2002-06-17 03:14] R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;C:\WINDOWS\SCARDS32.EXE [2002-06-17 03:14] R3 ELSAWAN;ELSA NDISWAN;C:\WINDOWS\system32\DRIVERS\ELSAWAN.sys [2001-07-16 16:44] R3 TWKPNP;CHIPDRIVE Plug and Play driver;C:\WINDOWS\system32\DRIVERS\TWKPNP.SYS [2002-06-17 03:14] S3 AlcrFilt;Alcor Micro Corp;C:\WINDOWS\System32\Drivers\AlcrFilt.sys [2004-07-02 17:56] S3 ELSACAPI;ELSA CAPI 2.0;C:\WINDOWS\system32\DRIVERS\elsacapi.sys [2001-08-07 13:37] S3 TICalc;TICalc;C:\WINDOWS\system32\drivers\TICalc.sys [1999-08-30 15:51] . Inhalt des "geplante Tasks" Ordners "2007-09-15 12:29:21 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-18 14:44:46 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-18 14:49:24 ComboFix-quarantined-files.txt 2008-04-18 12:49:12 ComboFix2.txt 2008-04-18 12:31:09 29 Verzeichnis(se), 20,806,422,528 Bytes frei 31 Verzeichnis(se), 20,796,051,456 Bytes frei . 2008-04-13 08:49:02 --- E O F --- Ist jetzt alles i.O.? Was muss ich langfristig tun, um mich vor Spyware und Adware zu schützen? Viele Grüsse von Sandra. |
18.04.2008, 14:48 | #6 |
| TR/Dldr.delf.R Hallo, auf dem Rechner ist/war mehr als Spyware... - neomonap23.exe - W32/SDBOT WORM! Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Code:
ATTFilter Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Device Detection"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Device Detection"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "MSSWINHELP"=- "MOJNPluginSrIvcs"=- cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten ----------- «« scanne online mit F-secure/Onlinescan + poste den scanreport Online Virenscanner »» wende windsdoorcleaner an - alles auf grün setzen Windows Worms Doors Cleaner «
__________________ --> TR/Dldr.delf.R Geändert von Sabina (18.04.2008 um 14:54 Uhr) |
19.04.2008, 17:15 | #7 |
| TR/Dldr.delf.R Hallo Sabina, hat alles gut geklappt! Ich hoffe, dass der Wurm jetzt entfernt ist. Kann ich das jetzt noch überprüfen? Vielen Dank für deine Hilfe! Viele Grüsse von Sandra. |
Themen zu TR/Dldr.delf.R |
adobe, antivir, avg, avira, bho, brauche hilfe, canon, desktop, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, monitor, mozilla, mozilla firefox, pdf, picasa, programme, rundll, software, system, trojaner, usb, windows, windows xp |