|
Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich? Hallo, ich sitz grad am PC meines Schwagers ("der Rechner macht so komische Sachen... könntest du bitte mal schauen?"). Da kam immer in kurzen Abständen eine Windows-Fehlermeldung, dass eine Datei nicht gelöscht werden könne - ohne Angabe, um welche Datei es sich handelt. Virenscanner aktualisiert (der arme Mann hat kein DSL oder so, dauert alles ewig), und tatsächlich wurde dieser Trojaner gefunden und entfernt: TR/Dldr.Delf.edl Dann hab ich zur SIcherheit nochmal nachgeforscht und u.a. den Hinweis auf HiJackThis gefunden. Das gibt mir unten stehendes Protokoll aus: Wäre nett, wenn da mal jemand drüber schauen könnte, ob noch irgendwas verdächtiges zu finden ist. Besten Dank schonmal, -Lothar ------------------ Logfile of HijackThis v1.99.1 Scan saved at 11:20:16, on 23.03.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\slserv.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe c:\dos\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\internat.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\HP\hpcoretech\comp\hptskmgr.exe C:\WINNT\System32\WScript.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\0190 Warner\Warn0190.exe C:\Programme\Discountsurfer\discountsurfer.exe C:\WINNT\slrundll.exe C:\Programme\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe" O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144957370177 O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9949163B-9CE2-4BE0-8966-0C9149273F7D}: NameServer = 195.50.140.114 145.253.2.203 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe O23 - Service: Remote Procedure Call (RPC) Remote (RpcRemote) - Unknown owner - C:\WINNT\system32\remote.exe (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe O23 - Service: Window Event Server (windowneters) - Unknown owner - c:\Recycled\svchost.exe (file missing) O23 - Service: NVIDIA Display Drivers (WyDNS) - Unknown owner - c:\dos\svchost.exe |
Hallo könnt ihr alle versteckten Dateien und Ordner sehen? Diese Dateien Zitat:
oder hier Jotti überprüfen lassen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
Guten Morgen, Zitat:
C:\WINNT\system32\remote.exe c:\Recycled\svchost.exe sind tatsächlich nicht mehr da, auch eine Suche nach remote.exe brachte kein Ergebnis. Das File c:\dos\svchost.exe hab ich zu VirusTotal hochgeladen. Ergebnis: ================ Datei svchost.exe empfangen 2008.03.24 09:19:48 (CET) Ergebnis: 6/31 (19.36%) AhnLab-V3 2008.3.22.1 2008.03.24 - AntiVir 7.6.0.75 2008.03.23 - Authentium 4.93.8 2008.03.22 - Avast 4.7.1098.0 2008.03.23 - AVG 7.5.0.516 2008.03.23 - BitDefender 7.2 2008.03.24 BehavesLike:Win32.Malware CAT-QuickHeal 9.50 2008.03.21 - ClamAV 0.92.1 2008.03.24 - DrWeb 4.44.0.09170 2008.03.23 Trojan.DownLoader.origin eTrust-Vet 31.3.5633 2008.03.21 - Ewido 4.0 2008.03.23 - F-Prot 4.4.2.54 2008.03.23 - F-Secure 6.70.13260.0 2008.03.24 - FileAdvisor 1 2008.03.24 - Fortinet 3.14.0.0 2008.03.24 - Ikarus T3.1.1.20 2008.03.24 BehavesLikeWin32.Malware Kaspersky 7.0.0.125 2008.03.24 - McAfee 5257 2008.03.21 - Microsoft 1.3301 2008.03.24 - NOD32v2 2968 2008.03.24 - Norman 5.80.02 2008.03.20 - Panda 9.0.0.4 2008.03.23 Suspicious file Prevx1 V2 2008.03.24 Heuristic: Suspicious File With Outbound Communications Rising 20.36.62.00 2008.03.23 - Sophos 4.27.0 2008.03.24 Mal/Behav-053 Sunbelt 3.0.978.0 2008.03.18 - Symantec 10 2008.03.24 - TheHacker 6.2.92.252 2008.03.22 - VBA32 3.12.6.3 2008.03.21 - VirusBuster 4.3.26:9 2008.03.23 - Webwasher-Gateway 6.6.2 2008.03.24 - weitere Informationen File size: 202752 bytes MD5: b621186df540ca4e723b59fa55ccf3a4 SHA1: 9df62e5b417bf91f67630cccf47f6054ab4a24b8 PEiD: - packers: UPX packers: UPX Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5A74011700A10E63183803F8C128BB00B6AB97C4 ========================== Ich werd jetzt mal versuchen, die Datei unschädlich zu machen, notfalls löschen., da mein Besuch hier heute zu Ende ist und ich meinen Schwager nicht mit einem Virus alleine lassen möchte. Besten Dank auf jeden Fall schonmal für Deine Hilfe. Grüße, -Lothar |
Nachtrag: ich habe jetzt die entsprechenden Dienste in der Services-Liste deaktiviert, dann in der Registry gesucht und dort rausgeworfen (die Dateien waren ja eh schon weg). Diese lästigen Fehlermeldungen ("Datei kann nicht gelöscht werden...") scheinen jetzt auch nicht mehr zu kommen. Bei den Services ist mir dabei noch einer mit sehr abstrusem Namen aufgefallen: "P1ug and P1ay" (ja, eine EINS anstelle des kleinen L). Dazu eine Beschreibung in unleserlichem Kauderwelsch, keine Dateiangabe dazu. In der Registry gab es dazu einen Service-Eintrag, den ich auch löschen könnte. Außerdem gibt es dort aber auch noch einen Eintrag, den ich nicht entfernen kann, auch im abgesicherten Modus nicht. Unter HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\root\ (analog unter ..\ControlSet002\..) gibt es den Schlüssel LEGACY_P1UGP1AY mit Wert "NextInstance = 1" Darunter in Subschlüssel "0000" mit den Werten Class = LegacyDriver ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1} ConfigFlags = 0 DeviceDesc = P1ug and P1ay Legacy = 1 Service = P1ugP1ay Die Suche nach der Klasse {8ECC055D-047F-11D1-A537-0000F8753ED1} bringt Folgendes: HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{Schlüssel}: Class = LegacyDriver EnumPropPages32 = SysSetup.Dll,LegacyDriverPropPageProvider Icon = -19 NoDisplayClass = 1 NoInstallClass = 1 SilentInstall = 1 Frage 1: sagt das jemandem etwas? Frage 2: müssen wir uns Sorgen machen? Ich meine, der Service selbst ist ja jetzt erstmal weg... Frage 3: warum kann ich den Schlüssel und seine Unterelemente nicht entfernen? Wenn Ihr mir Frage 2 mit NEIN beantwortet bin ich im Grunde natürlich schon zufrieden... :party: Schöne Rest-Ostern, -Lothar |
Lass das bitte bei www.virustotal.com prüfen und poste uns das Ergebnis: c:\dos\svchost.exe |
Zitat:
Die svchost.exe im Recycled-Ordner deute auf Papierkorbeintrag. Vieleicht mal den Papierkorb leeren. das die C:\WINNT\system32\remote.exe (file missing) als solche angezeigt wird, ist wiederum kein gutes Zeichen. Könnte von einem Rootkid versteckt sein. Den Rechner mal mit F-Secure scannen lassen. |
Zitat:
Zitat:
Zitat:
Nochmal besten Dank für Eure Hilfe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board