![]() |
|
Log-Analyse und Auswertung: Lavasoft Adaware erkennt Malware Family // Probleme mit WIN32.TrojanDelfWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() ![]() | ![]() Lavasoft Adaware erkennt Malware Family // Probleme mit WIN32.TrojanDelf Hallo Board- Experten, ich wende mich hier an die Community, weil ich hoffe, das ich kein Problem mehr habe... ![]() Ich bin durch Lavasoft Adaware aufmerksam geworden auf WIN32.TrojanDelf, der wurde von Adaware mit TAI 10 klassifiziert. Die Entfernung lief problemlos, den Ursprung zu der auslösenden Datei weiss ich allerdings nicht mehr. Um dann noch mit einem anderen Malware Scanner testen zu lassen, habe ich bei w*w.malware-scanner.soft-ware.net/download.asp den Malware Scanner 3.1.0.1 heruntergeladen. Dieser liess sich allerdings nicht starten, angeblich lief bereits ein anderer Malware Scanner im hintergrund?! Bei einem erneuten Durchlauf mit Adaware wurde die gerade geladene Datei "Malware Scanner.exe" als Ursprung angezeigt für WIN32.FraudTo (TAI Klasse 3). Die Entfernung lief wieder problemlos. Beide Dateien habe ich gegoogelt und hier in der Boardsuche gechekt. Bisher gibt es insgesamt wenig Interessantes (oder besser garnichts) dazu zu lesen. Nach einem weiteren Durchlauf von Adaware (keine weiteren Ergebnisse) habe ich den McAfee Avert Stinger und Avira AntiVir Premium im abgesicherten Modus durchlaufen lassen, auch hier keinerlei Beanstandungen. Um mich an den Board Regeln zu orientieren, Thread von [GC]Sunny... Punkt 2.a) CCleaner durchlaufen lassen b) Malwarebytes Antimalware durchlaufen lassen Ergebnis: Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1923 Windows 5.1.2600 Service Pack 3 31.03.2009 12:02:11 mbam-log-2009-03-31 (12-01-56).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 93563 Laufzeit: 15 minute(s), 46 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) c) HijackThis durchlaufen lassen Ergebnis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:06:16, on 31.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\Avira Premium Security Suite\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\Avira Premium Security Suite\sched.exe C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\spoolsv.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min O4 - HKLM\..\Run: [Zboard] C:\Programme\Ideazon\ZEngine\Zboard.exe O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing) -- End of file - 4659 bytes d) eine Liste der installierten Software erstellt Ergebnis: 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 2007 Microsoft Office Suite Service Pack 1 (SP1) 7-Zip 4.65 Ad-Aware Ad-Aware Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Ashampoo Burning Studio 6 ATI - Software Uninstall Utility ATI Catalyst Control Center ATI Catalyst Registration ATI Display Driver Avira Premium Security Suite Battlefield 2: Special Forces Brother MFL-Pro Suite Catalyst Control Center - Branding CCleaner (remove only) Choice Guard EA Download Manager FormatFactory 1.70 Foxit Reader FoxyTunes for Firefox Free Extended Task Manager Google Gears Google Update Helper HijackThis 2.0.2 IMAPSize 0.3.6 Malwarebytes' Anti-Malware Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU Microsoft .NET Framework 3.0 Service Pack 1 Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 Language Pack - deu Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Office Access MUI (German) 2007 Microsoft Office Enterprise 2007 Microsoft Office Enterprise 2007 Microsoft Office Excel MUI (German) 2007 Microsoft Office Groove MUI (German) 2007 Microsoft Office InfoPath MUI (German) 2007 Microsoft Office OneNote MUI (German) 2007 Microsoft Office Outlook MUI (German) 2007 Microsoft Office PowerPoint MUI (German) 2007 Microsoft Office Proof (English) 2007 Microsoft Office Proof (French) 2007 Microsoft Office Proof (German) 2007 Microsoft Office Proof (Italian) 2007 Microsoft Office Proofing (German) 2007 Microsoft Office Publisher MUI (German) 2007 Microsoft Office Shared MUI (German) 2007 Microsoft Office Word MUI (German) 2007 Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 MozBackup 1.4.9 Mozilla Firefox (3.0.8) MSVCRT Nuclear Coffee - VideoGet Password Depot 2 Personal Backup 4.3 ProgDVB PunkBuster Services Realtek High Definition Audio Driver Security Update for 2007 Microsoft Office System (KB951550) Security Update for 2007 Microsoft Office System (KB951944) Security Update for 2007 Microsoft Office System (KB958439) Security Update for Microsoft Office Excel 2007 (KB958437) Security Update for Microsoft Office OneNote 2007 (KB950130) Security Update for Microsoft Office PowerPoint 2007 (KB951338) Security Update for Microsoft Office Publisher 2007 (KB950114) Security Update for Microsoft Office system 2007 (KB954326) Security Update for Microsoft Office system 2007 (KB956828) Security Update for Microsoft Office Word 2007 (KB956358) Segoe UI ShutDownPro Sicherheitsupdate für Windows XP (KB923789) Total Uninstall 5.2.0 TrueCrypt TuneUp Utilities 2009 Update for Microsoft Office Outlook 2007 (KB952142) Update for Office 2007 (KB946691) Update for Outlook 2007 Junk Email Filter (kb962871) Visual C++ 2008 x86 Runtime - (v9.0.30729) Visual C++ 2008 x86 Runtime - v9.0.30729.01 Winamp Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Media Player 11 XML Paper Specification Shared Components Language Pack 1.0 (aktive Links sollten alle entschärft bzw. Ergebnisse alle anonymisiert sein) Die Frage die sich also stellt, ist: Hab ich die ganze Familie vor die Tür gesetzt? Das Betriebssystem (Windows XP Pro) ist relativ neu aufgesetzt. Wenn also die genannten Programme nichts weiter aufspüren ist dann Ruhe oder wie sind die erkannten Trojaner zu bewerten? Ich hoffe, ich konnte alle relevanten Informationen mitgeben um eine Bearbeitung zu erleichtern. Ich würde mich freuen, von Euch zu lesen... mfg Al Borland p.s. das Ergebniss von MBAM (Stichwort "HijackThis Start Menue" und "HijackThis Help") sollte hoffentlich nicht weiter beunruhigen??? Geändert von al_borland (31.03.2009 um 12:07 Uhr) |
Themen zu Lavasoft Adaware erkennt Malware Family // Probleme mit WIN32.TrojanDelf |
abgesicherten modus, ad-aware, antivir, antivir premium, avgnt, avgnt.exe, avira, avira antivir premium, bearbeitung, bho, components, email, explorer, firewall, flash player, frage, google, helper, hijack.help, hijack.startmenu, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware, nicht starten, office 2007, problem, registrierungsschlüssel, rundll, scan, scanner.exe, security, security suite, service pack 1, software, starten, stichwort, studio, system, trojaner, ups.exe, windows xp |