Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
win32.delf.uc immer immer wieder

win32.delf.uc immer immer wieder


Log-Analyse und Auswertung: win32.delf.uc immer immer wieder

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.03.2009, 11:15   #1
alexknattert
 
win32.delf.uc immer immer wieder - Standard

win32.delf.uc immer immer wieder


Hi,

erstmal hallo! bin neu hier und gleich mal mit einem Log.

bitte helft mir dieses win32.delf.uc zu entfernen! bei jedem Spybot scann taucht es wieder auf:





Ganz unten ist mein HJT Log!

und hier sind die
bis jetzt ausgefürhte Aktionen

Spybot:
nach erfolgreichem Löschen ist es beim Neustart wieder da, ausserdem muss ich die regestry reparieren mit regestry repair 2.7

Maylwarebites Anti-Mailware (findet keine fehler

Viper (findet keine Fehler)

DR.Web findet keine Fehler

SDfix
mit log:

SDFix: Version 1.240
Run by AlexanderSP on 05.03.2009 at 16:35

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\alexandersp.SEDES\Eigene Dateien\privat\Programme\Virenfix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 17:02:45
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :
Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Panda Software\\Panda Administrator 3\\Pav_Agent\\Pagent.exe"="C:\\Programme\\Panda Software\\Panda Administrator 3\\Pav_Agent\\Pagent.exe"
"C:\\WINDOWS\\system32\\igfxsrvc.exe"="C:\\WINDOWS\\system32\\igfxsrvc.exe:*:enabled:@shell32.dll,-1"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Panda Software\\Panda Administrator 3\\Pav_Agent\\Pagent.exe"="C:\\Programme\\Panda Software\\Panda Administrator 3\\Pav_Agent\\Pagent.exe"
Remaining Files :

Files with Hidden Attributes :
Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 26 Jan 2009 2,144,088 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Finished!






und jetzt das HJT LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:36:37, on 06.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PANDA SOFTWARE\AVTC\PavSrv51.exe
C:\Programme\PANDA SOFTWARE\AVTC\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Firewall Client 2004\FwcAgent.exe
C:\Programme\PANDA SOFTWARE\AVTC\PsCtrlS.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\PANDA SOFTWARE\AVTC\PsImSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\SN0XRCV.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\PANDA SOFTWARE\AVTC\PSCtrlC.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATnotes\ATnotes.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Firewall Client 2004\FwcMgmt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SN0XRCV] C:\WINDOWS\system32\spool\drivers\w32x86\3\SN0XRCV.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Panda Controller Client] "C:\Programme\PANDA SOFTWARE\AVTC\PSCtrlC.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\PANDA SOFTWARE\AVTC\PsCtrlS.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software International - C:\Programme\PANDA SOFTWARE\AVTC\PavSrv51.exe
O23 - Service: Panda AntiSpam Engine (PMShellSrv) - Panda Software International - C:\Programme\PANDA SOFTWARE\AVTC\PSKMsSvc.exe
O23 - Service: Panda IManager Service (PsImSvc) - Panda Software International - C:\Programme\PANDA SOFTWARE\AVTC\PsImSvc.exe

--
End of file - 6297 bytes
Geändert von alexknattert (06.03.2009 um 11:39 Uhr)

Alt 06.03.2009, 12:56   #2
Redwulf
 
win32.delf.uc immer immer wieder - Standard

win32.delf.uc immer immer wieder


Au Backe....

Das ist einer von der ganz üblen Sorte.

das ist ein backdoor Trojaner und Hacker Programm. Es befällt deine exe Dateien und ist in der Lage alle deine Passwörter auszuforschen.

Ich befürchte du musst dein System neu aufsetzen. Keine Chance......

Du solltest kein Onlinebanking machen, Ebay, payPal, etc.
Ändere von einem sicheren PC alle deine Passwörter, am besten berichtest du deiner Bank vorab das du diesen Befall hattest. ( falls du online Banking machst ) Falls ja, checke zusätzlich dein Konto ( nicht an diesem PC )

Es gibt zwar Removal tools von Spyware Doctor und XoftSpy.....aber dein System bleibt potentiell gefährdet.

Nimm den Rechner alsbald vom Netz bevor noch irgendwas passiert...
__________________

Geändert von Redwulf (06.03.2009 um 12:58 Uhr) Grund: Dicke Finger.Schreibfälla

Alt 06.03.2009, 14:02   #3
myrtille
/// TB-Ausbilder
 
win32.delf.uc immer immer wieder - Standard

win32.delf.uc immer immer wieder


Wo wird denn der Delf gefunden?

lg myrtille
__________________
__________________
Alt 09.03.2009, 09:52   #4
alexknattert
 
win32.delf.uc immer immer wieder - Standard

win32.delf.uc immer immer wieder


Finale Lösung!!!! bei mir halt!!! ER ist weg!!!

aber vorweg alles was ihr nachmacht ist auf eigene Gefahr!!! und es gibt keine Garantie, dass es sich um die selbe Version handelt.

folgendes Vorgehen hat ihn geschaft:

im normalen Modus mit Spybot scannen und ihn entfernen, dannach braucht ihr einen Regedit Repair weil er sich in den Logon des explorers schreibt und Spybot den löscht.
Regedit Repair so oft ausfürhen bis keine Fehler mehr gefunden werden.

runter fahren und im Abgesicherten Modus starten (achtet darauf, dass ihr wenn ihr im Netzwerk arbeitet auch mit Netzwerkunterstüzung starten müsst sonst geht nix oder ihr habt keine admin Rechte) hier lädt ihr euch
Dr. Web Cure it! http://www.freedrweb.com/
Es muss neu geladen werden, da sonst Win32.Virut.56 sich dort wider reinschreibt. Bei mir war das der verteiler des Delf.
Dr. Web Cure it laufen lassen und alles desinfizieren Win32.Virut.56 sollte in fast jeder exe vorkommen.
Erst den Schnellscan, dann den Komplett scann.

Ganz wichtig ist nun die befallenen Daten zu löschen, die Dr. web nicht von alleine desinfizieren konnte. Ich hab nicht lange gefackelt ich habe gleich gelöscht (notfalls mit einem Killprogramm) er hat bei mir eine Meldung mit vielleicht ein Bachvirus geschrieben und die hab ich gelöscht.

Danach Neustart wieder im Abgesicherten Modus (achtet darauf, dass ihr wenn ihr im Netzwerk arbeitet auch mit Netzwerkunterstüzung starten müsst sonst geht nix oder ihr habt keine admin Rechte) Nochmal Dr. Web. Nix gefunden? Super! Ladet jetzt Sp2 oder Sp3 solltet ihr das noch nicht haben.

Wenn ihr jetzt im normalen Modus startet und nochmal spybot laufen lasst, dann solltet ihr keine gefahren mehr finden.

Nicht geholfen hat:

SDfix
Malewarebytes Antimailware
Superantimaleware
ComboFix
Virusfighter (vorsicht vor dem!)

Nicht probieren konnte ich (weil ich nicht voller Admin bin)
Spyware Doctor (sollte sehr zuverlässig entfernen)
Sunbelt Viper
http://www.scanforfree.com/08/trojan...c-removal.html (sollte 100% wirken)
oder den neuen Sophos

Also alles auf eigene Gefahr beim Nachmachen, vor allem beim Löschen der von dr. web erkannten wahrscheinlichen Viren.

lg
Alex

Alt 09.03.2009, 11:27   #5
myrtille
/// TB-Ausbilder
 
win32.delf.uc immer immer wieder - Standard

win32.delf.uc immer immer wieder


Wenn du einen Virut aufm Rechner hast, dann hattest du noch ganz andere Probleme.

Ändere auf jedenfall noch all deine Passwörter von einem sauberen Rechner aus und informiere evtl auch deine Bank, falls du Online-Banking betreibst und vor allem den Besitzer des Rechners. Sinnvoll wäre eigentlich vor allem ein Neuaufsetzen, hat DrWeb eine Datei nicht identifiziert oder nicht korrekt bereinigt, dann ist dein Rechner bald wieder komplett infiziert.
Außerdem hast du, wie du selbst sagst, alle Dateien gelöscht die DrWeb nicht desinfizieren konnte: Damit hast du sehr wahrscheinlich Systemdateien aus Windows gelöscht, die das System instabil machen können.
Dabei handelt es sich nicht nur um .exe sondern auch um zip-archive und html-Dateien.

Zudem lädt Virut eigentlich auch alles nach was nicht heilig ist.
Einem derartigen System, würde ich mich nicht anvertrauen wollen, selbst wenn DrWeb glaubt alles gefunden zu haben.

SDFix, Combofix sind Tools für bestimmte Malware, und keine Allheilmittel.
MBAM und SUPERAntiSpyware bereinigen ebenfalls keine Viren.

Ich würde dennoch gern noch wissen wo Spyware Doctor diesen Delf gefunden haben will, in deinem Log gibt es keinerlei anzeichen dafür.

Wenn dein Rechner derart infiziert war, würde ich den Rest des Netzwerks auch überprüfen, die Chancen stehen sehr gut, dass da auch alles infiziert ist.

lg myrtille

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Antwort

Themen zu win32.delf.uc immer immer wieder
administrator, adobe, antivirus, bho, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logon.exe, malware, mozilla, neustart, registry, scan, security, shell32.dll, software, system, temp, trojan, windows, windows xp, winlogon.exe


« Rechner startet sehr langsam und Programme brauchen ewig zum öffnen | Rechner stürzt regelmäßig ab »


Ähnliche Themen: win32.delf.uc immer immer wieder


  1. Win32:Malware-gen taucht immer wieder auf
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (15)
  2. Windows 7: Avira meldet immer wieder ADWARE/Adware.Gen4 bzw. .Gen7, zudem taucht Optimizer Pro immer wieder auf
    Log-Analyse und Auswertung - 14.12.2014 (9)
  3. Win32.Packed.VMProtect.AAH kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 22.06.2014 (5)
  4. Windows 7 , PC stürzt immer wieder ab, nach säuberung mit Vipre immer noch viele verdächtig Datein im Autorun
    Log-Analyse und Auswertung - 15.01.2014 (12)
  5. Musik Player harkt immer, die Seiten bauen sich langsam auf, immer wieder scheint der PC insgesamt zu harken
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (3)
  6. GVU, Polizei, BKA Trojaner kommt immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (3)
  7. TR/Spy.59392.133 wird immer und immer wieder gefunden...
    Plagegeister aller Art und deren Bekämpfung - 30.10.2011 (11)
  8. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  9. win32/cycbot auf Windows 7 kehrt immer wieder zurück..
    Plagegeister aller Art und deren Bekämpfung - 29.01.2011 (33)
  10. IE öffnet immer wieder werbefenster sowie geht immer wieder der ton aus
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (2)
  11. Firefox startet automatisch (immer und immer wieder)
    Log-Analyse und Auswertung - 09.01.2010 (9)
  12. immer wieder Trojaner, immer gleiches Verzeichnis
    Log-Analyse und Auswertung - 10.09.2009 (10)
  13. win32.delf.uc zertört rechner immer wieder
    Plagegeister aller Art und deren Bekämpfung - 09.02.2009 (1)
  14. Media Player öffnet sich selbstständig immer und immer wieder
    Log-Analyse und Auswertung - 30.10.2008 (0)
  15. Win32.Trojan.Spy kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 16.03.2008 (16)
  16. win32.agent.qt kommt immer wieder! :(
    Plagegeister aller Art und deren Bekämpfung - 08.02.2008 (1)
  17. Backdoor.Win32.Small.or kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 06.07.2007 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema win32.delf.uc immer immer wieder - Hi, erstmal hallo! bin neu hier und gleich mal mit einem Log. bitte helft mir dieses win32.delf.uc zu entfernen! bei jedem Spybot scann taucht es wieder auf: Ganz unten ist - win32.delf.uc immer immer wieder...
Archiv
Du betrachtest: win32.delf.uc immer immer wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130