Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   win32.delf.uc immer immer wieder (https://www.trojaner-board.de/70728-win32-delf-uc-immer-immer.html)

alexknattert 06.03.2009 11:15
win32.delf.uc immer immer wieder
 
Hi,

erstmal hallo! bin neu hier und gleich mal mit einem Log.

bitte helft mir dieses win32.delf.uc zu entfernen! bei jedem Spybot scann taucht es wieder auf:





Ganz unten ist mein HJT Log!

und hier sind die
bis jetzt ausgefürhte Aktionen

Spybot:
nach erfolgreichem Löschen ist es beim Neustart wieder da, ausserdem muss ich die regestry reparieren mit regestry repair 2.7

Maylwarebites Anti-Mailware (findet keine fehler

Viper (findet keine Fehler)

DR.Web findet keine Fehler

SDfix
mit log:

SDFix: Version 1.240
Run by AlexanderSP on 05.03.2009 at 16:35

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\alexandersp.SEDES\Eigene Dateien\privat\Programme\Virenfix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 17:02:45
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :
Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Panda Software\\Panda Administrator 3\\Pav_Agent\\Pagent.exe"="C:\\Programme\\Panda Software\\Panda Administrator 3\\Pav_Agent\\Pagent.exe"
"C:\\WINDOWS\\system32\\igfxsrvc.exe"="C:\\WINDOWS\\system32\\igfxsrvc.exe:*:enabled:@shell32.dll,-1"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Panda Software\\Panda Administrator 3\\Pav_Agent\\Pagent.exe"="C:\\Programme\\Panda Software\\Panda Administrator 3\\Pav_Agent\\Pagent.exe"
Remaining Files :

Files with Hidden Attributes :
Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 26 Jan 2009 2,144,088 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Finished!






und jetzt das HJT LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:36:37, on 06.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PANDA SOFTWARE\AVTC\PavSrv51.exe
C:\Programme\PANDA SOFTWARE\AVTC\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Firewall Client 2004\FwcAgent.exe
C:\Programme\PANDA SOFTWARE\AVTC\PsCtrlS.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\PANDA SOFTWARE\AVTC\PsImSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\SN0XRCV.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\PANDA SOFTWARE\AVTC\PSCtrlC.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATnotes\ATnotes.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Firewall Client 2004\FwcMgmt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SN0XRCV] C:\WINDOWS\system32\spool\drivers\w32x86\3\SN0XRCV.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Panda Controller Client] "C:\Programme\PANDA SOFTWARE\AVTC\PSCtrlC.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\PANDA SOFTWARE\AVTC\PsCtrlS.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software International - C:\Programme\PANDA SOFTWARE\AVTC\PavSrv51.exe
O23 - Service: Panda AntiSpam Engine (PMShellSrv) - Panda Software International - C:\Programme\PANDA SOFTWARE\AVTC\PSKMsSvc.exe
O23 - Service: Panda IManager Service (PsImSvc) - Panda Software International - C:\Programme\PANDA SOFTWARE\AVTC\PsImSvc.exe

--
End of file - 6297 bytes

Redwulf 06.03.2009 12:56
Au Backe....

Das ist einer von der ganz üblen Sorte.

das ist ein backdoor Trojaner und Hacker Programm. Es befällt deine exe Dateien und ist in der Lage alle deine Passwörter auszuforschen.

Ich befürchte du musst dein System neu aufsetzen. Keine Chance......

Du solltest kein Onlinebanking machen, Ebay, payPal, etc.
Ändere von einem sicheren PC alle deine Passwörter, am besten berichtest du deiner Bank vorab das du diesen Befall hattest. ( falls du online Banking machst ) Falls ja, checke zusätzlich dein Konto ( nicht an diesem PC )

Es gibt zwar Removal tools von Spyware Doctor und XoftSpy.....aber dein System bleibt potentiell gefährdet.

Nimm den Rechner alsbald vom Netz bevor noch irgendwas passiert...

myrtille 06.03.2009 14:02
Wo wird denn der Delf gefunden?

lg myrtille

alexknattert 09.03.2009 09:52
Finale Lösung!!!! bei mir halt!!! ER ist weg!!!

aber vorweg alles was ihr nachmacht ist auf eigene Gefahr!!! und es gibt keine Garantie, dass es sich um die selbe Version handelt.

folgendes Vorgehen hat ihn geschaft:

im normalen Modus mit Spybot scannen und ihn entfernen, dannach braucht ihr einen Regedit Repair weil er sich in den Logon des explorers schreibt und Spybot den löscht.
Regedit Repair so oft ausfürhen bis keine Fehler mehr gefunden werden.

runter fahren und im Abgesicherten Modus starten (achtet darauf, dass ihr wenn ihr im Netzwerk arbeitet auch mit Netzwerkunterstüzung starten müsst sonst geht nix oder ihr habt keine admin Rechte) hier lädt ihr euch
Dr. Web Cure it! http://www.freedrweb.com/
Es muss neu geladen werden, da sonst Win32.Virut.56 sich dort wider reinschreibt. Bei mir war das der verteiler des Delf.
Dr. Web Cure it laufen lassen und alles desinfizieren Win32.Virut.56 sollte in fast jeder exe vorkommen.
Erst den Schnellscan, dann den Komplett scann.

Ganz wichtig ist nun die befallenen Daten zu löschen, die Dr. web nicht von alleine desinfizieren konnte. Ich hab nicht lange gefackelt ich habe gleich gelöscht (notfalls mit einem Killprogramm) er hat bei mir eine Meldung mit vielleicht ein Bachvirus geschrieben und die hab ich gelöscht.

Danach Neustart wieder im Abgesicherten Modus (achtet darauf, dass ihr wenn ihr im Netzwerk arbeitet auch mit Netzwerkunterstüzung starten müsst sonst geht nix oder ihr habt keine admin Rechte) Nochmal Dr. Web. Nix gefunden? Super! Ladet jetzt Sp2 oder Sp3 solltet ihr das noch nicht haben.

Wenn ihr jetzt im normalen Modus startet und nochmal spybot laufen lasst, dann solltet ihr keine gefahren mehr finden.

Nicht geholfen hat:

SDfix
Malewarebytes Antimailware
Superantimaleware
ComboFix
Virusfighter (vorsicht vor dem!)

Nicht probieren konnte ich (weil ich nicht voller Admin bin)
Spyware Doctor (sollte sehr zuverlässig entfernen)
Sunbelt Viper
http://www.scanforfree.com/08/trojan...c-removal.html (sollte 100% wirken)
oder den neuen Sophos

Also alles auf eigene Gefahr beim Nachmachen, vor allem beim Löschen der von dr. web erkannten wahrscheinlichen Viren.

lg
Alex

myrtille 09.03.2009 11:27
Wenn du einen Virut aufm Rechner hast, dann hattest du noch ganz andere Probleme.

Ändere auf jedenfall noch all deine Passwörter von einem sauberen Rechner aus und informiere evtl auch deine Bank, falls du Online-Banking betreibst und vor allem den Besitzer des Rechners. Sinnvoll wäre eigentlich vor allem ein Neuaufsetzen, hat DrWeb eine Datei nicht identifiziert oder nicht korrekt bereinigt, dann ist dein Rechner bald wieder komplett infiziert.
Außerdem hast du, wie du selbst sagst, alle Dateien gelöscht die DrWeb nicht desinfizieren konnte: Damit hast du sehr wahrscheinlich Systemdateien aus Windows gelöscht, die das System instabil machen können.
Dabei handelt es sich nicht nur um .exe sondern auch um zip-archive und html-Dateien.

Zudem lädt Virut eigentlich auch alles nach was nicht heilig ist.
Einem derartigen System, würde ich mich nicht anvertrauen wollen, selbst wenn DrWeb glaubt alles gefunden zu haben.

SDFix, Combofix sind Tools für bestimmte Malware, und keine Allheilmittel.
MBAM und SASW bereinigen ebenfalls keine Viren.

Ich würde dennoch gern noch wissen wo Spyware Doctor diesen Delf gefunden haben will, in deinem Log gibt es keinerlei anzeichen dafür.

Wenn dein Rechner derart infiziert war, würde ich den Rest des Netzwerks auch überprüfen, die Chancen stehen sehr gut, dass da auch alles infiziert ist.

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131