TR/Dldr.Delf.R und seine Freunde

Shadowdance

@ Nervking

Platform: Windows XP SP1 (WinNT 5.01.2600): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

(kein Explorer Fenster darf jetzt mehr geöffnet sein, alles schliessen ausser Hijackthis) Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken):

R3 - Default URLSearchHook is missing
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32z.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_f...818bc5bfdd9b511
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - h**p://jpedownload.joltid.com/wi/p2p.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - h**p://akamai.downloadv3.com/binari...thv32_EN_XP.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - h**p://secure2.comned.com/signuptem...iveSecurity.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - h**p://akamai.downloadv3.com/binari...tpe32_EN_XP.cab

wenn Du folgende Einträge nicht kennst/brauchst bitte fixen:

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://www.ipswitch.com/_installs/wsftp_le/setup.exe

boote in den normalen Modus.

beende:

twink64.exe
defragfat32z.exe

lösche:

C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
C:\WINDOWS\system32\defragfat32z.exe

Aktiviere die Systemwiederherstellung,

Überprüfe mit virusscan.jotti.dhs.org:

C:\Program Files\Win Comm\WinComm.exe
C:\Programme\VIA\RAID\raid_tool.exe

--> Ergebnis?

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan ab Version 4.5.1 löscht gefundene Malware nicht, das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

bitte beachten:

ClearProg - Security-Tools - IE sicher konfigurieren - compromise