DR/Delf.AY gefunden

Moritz009 · 19.11.2009, 16:58

Hallo Forengemeinde,

ich muss euch leider Gottes mit einem Problem belästigen

. Und zwar wollte ich von w*w.chip.de ein (Scherz)programm herunterladen (der Link folg im EDIT). Dies tat ich auch, doch dann meldete sich antivir 2 mal. Und zwar zuerst
hiermit:

Code:

ATTFilter

 In der Datei 'C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\7qejr9fi.default\Cache\A6B93F97d01'
wurde ein Virus oder unerwünschtes Programm 'DR/Delf.AY' [dropper] gefunden.

.Und dann hiermit:

Code:

ATTFilter

 In der Datei 'C:\Users\***\AppData\Local\Temp\sZWXRW8L.exe.part'
wurde ein Virus oder unerwünschtes Programm 'DR/Delf.AY' [dropper] gefunden.

Meine Frage nun: Ist das ein ernsthaftes Problem, oder nur ein False/Positive ? Weil die Downloadseite doch eigentlich seriös ist, oder? Ich habe die Dateien daraufhin in Quarantäne verschoben und zu Virustotal hochgeladen: Dort fanden ca. 20 Scanner etwas, (fast) alle diesen DR/delf. Allerdings habe ich die Dateien daraufhin aus der Quarantäne gelöscht... (Ich weiß, Asche auf mein Haupt

) Hier folgt mein HijackThis Log

Code:

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:13, on 19.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Prevx\prevx.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\notepad.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32.exe" "C:\Users\Moritz\AppData\Local\Temp\nos_uninstall_helper.dll",Uninstall /Get1noarp
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 3574 bytes

Wie gesagt, der Link folgt im EDIT.
Grüße Moritz

EDIT: Wie versprochen, hier der Link: h**p://www.chip.de/downloads/ComputerSchock_15234557.html

undoreal · 21.11.2009, 11:46

Ich denke das Tool ist "harmlos".

Musst dir keine Sorgen machen.

Das Chip.de sowas hostet finde ich weniger toll.

Moritz009 · 21.11.2009, 12:29

Hi,

Puuh, danke für die Entwarnung...

Aber: Lohnt es sich vielleicht, deswegen eine E-Mail an chip zu schicken? Mich wundert nur: Beim Download steht ja immer "Virengeprüft durch Kaspersky" . Aber als ich die Datei bei Virustotal hochgeladen habe, fand auch Kaspersky etwas

. Wie ist das zu verstehen? Ich meine: sowas verunsichert doch auch die Leute, die dies runterladen. ^^

Naja, aber trotzdem ein Riesen Dankeschön!

undoreal · 21.11.2009, 13:31

Ich hab schon so viele Schädlinge bei Chip gesehen...

Da hattest du in diesem Fall nochmal Glück.
Aber ich würde in der Tat mal eine Mail schicken. Ich würde sowas an deren Stelle nicht hosten.

Moritz009 · 22.11.2009, 15:57

Hi,

Ich habe gerade einfach mal so einen GMER Scan gemacht, doch der bleib bei " \Device\HarddiskVolumeShadowCopy1" stehen... Ich habe als der genannte Pfad kam, beim 3. Mal auf Stop gedrückt und das Log bis dahin gespeichert (folgt). Allerdings kommt auch in unregelmäßigen Abständen beim Starten von GMER ein bluescreen!?
Hier der GMER log bis zu dem Pfad:

Code:

ATTFilter

 GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-22 15:36:52
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\Moritz\AppData\Local\Temp\fwryypod.sys


---- System - GMER 1.0.15 ----

SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwAssignProcessToJobObject [0x913511CC]
SSDT   9B70B5C4                                                                ZwCreateThread
SSDT   9B70B5B0                                                                ZwOpenProcess
SSDT   9B70B5B5                                                                ZwOpenThread
SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwProtectVirtualMemory [0x91351292]
SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwSetContextThread [0x9135118E]
SSDT   9B70B5BF                                                                ZwTerminateProcess
SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwTerminateThread [0x91351316]
SSDT   \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)  ZwWriteVirtualMemory [0x9135134E]

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeSetEvent + 191                                           81CB68D4 4 Bytes  CALL B6DD355A 
.text  ntkrnlpa.exe!KeSetEvent + 221                                           81CB6964 1 Byte  [C4]
.text  ntkrnlpa.exe!KeSetEvent + 221                                           81CB6964 4 Bytes  [C4, B5, 70, 9B]
.text  ntkrnlpa.exe!KeSetEvent + 3F1                                           81CB6B34 4 Bytes  [B0, B5, 70, 9B] {MOV AL, 0xb5; JO 0xffffffffffffff9f}
.text  ntkrnlpa.exe!KeSetEvent + 40D                                           81CB6B50 4 Bytes  [B5, B5, 70, 9B] {MOV CH, 0xb5; JO 0xffffffffffffff9f}
.text  ...                                                                     

---- User code sections - GMER 1.0.15 ----

.text  C:\Windows\Explorer.EXE[2724] ntdll.dll!NtWriteFile                     77095644 5 Bytes  JMP 72395C30 C:\Windows\system32\PxSecure.dll (Prevx Security Library/Prevx)
.text  C:\Windows\Explorer.EXE[2724] kernel32.dll!CreateThread

21.11.2009, 11:46	#2
undoreal /// AVZ-Toolkit Guru	DR/Delf.AY gefunden Ich denke das Tool ist "harmlos". Musst dir keine Sorgen machen. Das Chip.de sowas hostet finde ich weniger toll. __________________ __________________

21.11.2009, 13:31	#4
undoreal /// AVZ-Toolkit Guru	DR/Delf.AY gefunden Ich hab schon so viele Schädlinge bei Chip gesehen... Da hattest du in diesem Fall nochmal Glück. Aber ich würde in der Tat mal eine Mail schicken. Ich würde sowas an deren Stelle nicht hosten. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

DR/Delf.AY gefunden

Plagegeister aller Art und deren Bekämpfung: DR/Delf.AY gefunden