AntiVir hat auf meinem Rechner den Trojaner TR/delf.dy gefunden, in C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP197\A0037217.exe, konnte die Datei aber nicht löschen. Nach Beendigung der Virenprüfung hat AntiVir einen Neustart verlangt, um die Datei entfernen zu können.
Nach diesem Neustart hat die nächste Antivirenprüfung keine Funde mehr ergeben, auch die am nächsten Tag und die heutige scheinen sauber. Wie kann ich aber sichergehen, daß alles entfernt ist? (Die beanstandete Datei ist weg, im Taskmanager finde ich keine Prozesse, die nicht immer schon laufen)

Hier das Hijack This-Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 09:23:37, on 12.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\katz\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B25D8C8F-98C9-4F18-957E-7BC8BF8B50BB}: NameServer = 195.34.133.10,195.34.133.11

Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

AntiVir hat auf meinem Rechner den Trojaner TR/delf.dy gefunden, in C:\System Volume Information\_restore{9C6B7676-178B-4A6D-9DA8-82A94D80E817}\RP197\A0037217.exe

klingt auch nach fehlalarm!
systemwiederherstellung ausschalten, pc neustart. das war's eigentlich, und der eintrag ist weg.

in letzter zeit wieder öfters fehlalarme bei antivir pe , speziell Tr/Delf.

hab erst gestern eine datei von kazaa eingesendet (KSIG.exe), weil antivir pe sie auch als Trojaner DELF bemängelt.

besten gruss
rock

Sun Sep 12 12:33:30 2004 => ***** Scanning complete. *****

Sun Sep 12 12:33:30 2004 => Total Number of Files Scanned: 2277
Sun Sep 12 12:33:30 2004 => Total Number of Virus(es) Found: 1
Sun Sep 12 12:33:30 2004 => Total Number of Disinfected Files: 0
Sun Sep 12 12:33:31 2004 => Total Number of Files Renamed: 0
Sun Sep 12 12:33:31 2004 => Total Number of Deleted Files: 0
Sun Sep 12 12:33:31 2004 => Total Number of Errors: 1
Sun Sep 12 12:33:31 2004 => Time Elapsed: 00:02:41
Sun Sep 12 12:33:31 2004 => Virus Database Date: 2004/09/08
Sun Sep 12 12:33:31 2004 => Virus Database Count: 103467

Sun Sep 12 12:33:31 2004 => Scan Completed.

Der gefundene Virus war: Sun Sep 12 12:31:13 2004 => File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
und der Error das hier: Sun Sep 12 12:31:02 2004 => ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\Drivers\SYMIDSCO.SYS in SYSTEM\CurrentControlSet\Services\SYMIDSCO...

Was ist nun zu tun?

sorry eva,

um was geht es? ich glaub du hast den falschen thread erwischt. eventuell ZU DEINEM problem ein neues thema aufmachen mit näheren angaben zum betriebsystem. und software/virenschutz..etc..

rock

Nein, ich bin im richtigen Thread. Christian hat nach einem Virenscan im abgesichterten Modus gefragt, und das ist das logfile dazu.

ach ja, sory...so ein schmarren....wo bin ich schon wieder...ich seh auf allen ecken und enden nur antivir pe restore meldungen, da kann man sich schon verwirren/verirren...

na dann schalt mal die swh aus, und starte den pc neu wie gesagt.

besten gruss
rock

Hallo Eva,

- fixe bitte im abgesicherten Modus mit Hijack This folgende Einträge:

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

- poste bitte danach ein neues Logfile.

SD

javadateien müssen nicht gelöscht werden, wenn sie den Bell Pc hat auch nicht den eintrag davon.., und My Search Bar/My way...(etc.) wird von einigen spytools nicht beantstandet, manche schon...wenn man weis zu welcher software/von welcher software es ist am rechner dann soll man sich das vorher anschauen bevor der eintrag fliegt!

sind sonderfleisaufgaben!

hat aber alles NICHTS mit dem TR/Delf zu tun.

rock

edit: wieso fliegt auch der ms-eintrag? den haben doch so ziemlich alle am rechner?
ich misch mich da besser nimmer ein, und "BITTEN" tue ich schon niemand etwas zu löschen!

Zitat:

Zitat von rock

javadateien müssen nicht gelöscht werden, wenn sie den Bell Pc hat auch nicht den eintrag davon.., und My Search Bar/My way...(etc.) wird von einigen spytools nicht beantstandet, manche schon...wenn man weis zu welcher software/von welcher software es ist am rechner dann soll man sich das vorher anschauen bevor der eintrag fliegt!

sind sonderfleisaufgaben!

hat aber alles NICHTS mit dem TR/Delf zu tun.

rock

@ rock,

dann werde ich mich wohl mit Sonderfleissaufgaben befassen müssen ... und was den TR/Delf anbelangt, kann man wohl als sicher annehmen, dass es ihn auf Eva's PC nicht gibt.

@ eva,

tu, was rock schreibt ...

SD

[edit]

Zitat:

edit: wieso fliegt auch der ms-eintrag? den haben doch so ziemlich alle am rechner?

ich habe mittlerweile etliche Male gelesen, dass dieser Eintrag den Computer langsam machen würde und dass es besser sei, ihn zu löschen? Wenn dem nicht so ist, schreib's bitte.

Zitat:

ich misch mich da besser nimmer ein, und "BITTEN" tue ich schon niemand etwas zu löschen!

doch bitte, misch Dich ein .. immerhin bist Du Fachmann in diesen Dingen! "BITTEN" ...

also was jetzt? entfernen oider nicht?
was dieses search-bar ist, weiß ich, das verwendet der ie6.0, ich hab einen packard-ball-pc, und was hat's mit den java-dateien auf sich? (java runtime 1.4 ist installiert, weil es anwendungen gibt, die das brauchen)

ich will mir jetzt nicht, ohne es zu wissen, ein bisher recht gut funktionierendes system zerschießen, das isses...

(systemwiederherstellung deaktiviert und neugestartet hab ich übrigens jetzt grad)

shadow, sorry...heut ist nicht mein tag...

diese einträge soll man sich schon anschauen!
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

am besten halt mit ad aware mal scannen oder pestscan...wenn eva NICHT weis zu welcher software sie sich das "mitgenommen" hat, dann raus damit! hast ja recht!

aber ansonsten java, microsoft office, Backard Bell...nicht wirklich NOTWENDIG!

besten gruss
rock

Zitat:

Zitat von eva

(systemwiederherstellung deaktiviert und neugestartet hab ich übrigens jetzt grad)

sorry wenn du jetzt verwirrt bist.

wenn du jetzt soweit bist, dann scan nochmal nach, der eintrag in der systemwiederherstellung sollte WEG SEIN!

bzgl. der genannten MY BAR einträge wie gesagt mit einem Spytool prüfen, wenn anschlägt, dann raus damit!

rock

diese beiden einträge hab ich jetzt doch entfernt, weil ich dieses add-on ja nicht mal wirklich brauch, aber der eine
C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
kommt noch immer.

das ist merkwürdig, wenn du die systemwiederherstellung schon aus hast.

wer bringt diese meldung?

an deine hijackthislog sieht man auch ausser den mybar einträgen keine weitere spyware oder dialer...

du solltest dennoch dein system mit einem tool wie ad aware oder spybot machen. (systemwiederherstellung ausgeschalten lassen)

ich hab ebengleiche einträge gerade in einem anderen forum gesehen:
File C:\WINDOWS\Downloaded Program Files\gsda.dll tagged as not-a-virus:RiskWare.Downloader.SpyGame. No Action Taken.
File C:\WINDOWS\EPlugin.ocx tagged as not-a-virusornWare.Dialer.SexGate. No Action Taken.
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
_________
da ist aber noch kein abschluss..war auch schon länger her. statt dem smilie im text wird wohl porn gemeint sein.
_________
wie gesagt, prüfe den rechner unbedingt nochmal nach.
eventuell onlinescan auch in betracht ziehen:
http://www.pandasoftware.com/actives..._principal.htm

schau auch mal in den ordner Downloaded Programm Files ob da seltsame plugins drin hocken!

viel erfolg.

besten gruss
rock