merkwürdiger Trojaner
 

Hab einen Trojaner (Downloader.delf.3.L) den mein Antivirus Programm zwar gelöscht hat, der aber immer wieder kommt obwohl ich nichts mache. Hier mein Hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 08:36:20, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\system32\netdde.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\eMule\emule.exe
C:\hijackthis\hijackthis.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [2D5A3B68] C:\WINDOWS\System32\mrpmgesgkb.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Microsoft Windows Update] wupdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [6EC5FE36] C:\WINDOWS\System32\mrpmgesgkb.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] wupdate.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab

Hallo lagwagon,

prüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\mrpmgesgkb.exe

Bitte im abgesicherten Modus mit Hijack This fixen:

O4 - HKLM\..\Run: [Microsoft Windows Update] wupdate.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] wupdate.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab

Lade Dir bitte - entsprechend der Anleitung - den eScan runter, update ihn online und führe ihn offline aus. Teile uns dann bitte das Ergebnis mit incl. Namen der Viren:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:

Lade Dir bitte die aktuelle Version (v1.98.2) von Hijack This runter: http://www.trojaner-board.de/51130-a...ijackthis.html, erstelle damit ein neues Logfile und poste es hier im Forum.

SD

Online prüfung mit Kaspersky
C:\WINDOWS\system32\slserv.exe ist OK
C:\WINDOWS\System32\mrpmgesgkb.exe die Datei hab ich nicht im System32 Ordner gefunden und die Such-Funktion von Windows hat die auch nichts gefunden.

escan:

Total Numbers of Files Scanned 2366
Total Number of Virus(es) Found 2
Total Number of Disinfected Files 0
Total Number of Deleted Files 2
Total Number of Files Renamed 0
Total Number of Errors 4

File C:\Windows\baddom3.exe infected by "Trojan.Win32.Dissec.a" Virus - deleted
File C:\Windows\fame1.exe infected by "Trojan.Win32.Small.v" Virus - deleted

hijack this log:

Logfile of HijackThis v1.98.2
Scan saved at 10:47:23, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\flo\Desktop\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

Welches Motherboard verwendest du? Ist das tatsächlich das ganze Log, das scheint arg kurz zu sein.

Hallo lagwagon,

ich habe den Virus versucht zu finden, er steht bei google unter einem anderen Namen, ich nehme aber an, dass es sich dabei um den gleichen Virus handelt: Dropper.Delf.3.L

In einem französischen Forum wird empfohlen bei auftauchen dieses Virus den online-scan bei http://www.pandasoftware.com/activescan/ oder http://www.ravantivirus.com/scan/ zu machen, es scheint zu helfen.

In einem niederländischen Forum fand ich den Hinweis, dass dieser Virus unter
"c://temp" zu finden ist. Man soll im abgesicherten Modus folgende Datei löschen: => C://temp//bdl74125.exe, notfalls "c://temp" leeren.

Die User in beiden Foren schildern die gleichen Probleme wie Du.

SD

... man muss nur lang genug suchen ;-)

Es scheint sich um einen relativ neuen Trojaner zu handeln, der zur Familie Troj/Delf-.. gehört. Sophos kennt eine ganze Menge davon und gibt zu einem Spross dieser Familie folgende Beschreibung: Troj/Delf-DW

Somit wissen wir schon wieder etwas mehr.

SD

Hallo shadowdance. Erstmal vielen dank für die ganze Mühe.
Ich hab nur einen Temp ordner im Windows Menü und da ist die Datei von dem in dem niederländischen Forum die Rede war nicht drin. Den Panda ActiveScan 5.01 hab ich gemacht und der hat 9 infizierte Dateien gefunden und gelöscht mir aber nicht gesagt was das war was er da gefunden wurde. Der andere Online scanner konnte nur einzelne Dateien scannen. Ich schätze mal die Hijackthis Log war so kurz weil sie aus dem abgesicherten modus stammt.

Der Rechner ist ein FujitsuSiemens Notebook mit einem mobile AMD Athlon XP 3000+ Prozessor. Keine Ahnung auf was für nem Board der ist.

Die AVG-Shield-Fehlermeldung mit dem Trojaner kommt übrigens immer nachdem ich den Bildschirmschoner deaktiviere. Vielleicht hat Panda den ja jetzt gelöscht.

wohin muss ich denn die ide datei von sophos kopieren?

Dann erstelle bitte mal ein Logfile aus dem normalen Modus. Panda hat sicher auch eine Logdatei in der du nachsehen kannst, was gelöscht wurde.
Die Sophos-Datei nützt dir nichts, wenn du nicht deren Scanner benutzt, das ist nur ein Update für die Virensignaturen.
Lässt du dir auch alle Dateien anzeigen inklusive Systemdateien und -ordner? Das musst du in den Ordneroptionen erst aktivieren.

ja lass ich. wunder mich auch dass C:\WINDOWS\System32\mrpmgesgkb.exe nicht da ist.

Ich glaube der Virus ist weg, denn normalerweise kam die warnung immer nachdem mein Spongebob schwammkopf Bildschirmschoner deaktiviert wurde und jetzt nicht mehr. ich glaube Panda hat den gekillt. Hier nnur so noch mal das Hijacklog im normalen modus direkt nach nem Neustart. Vielen Dank!

Logfile of HijackThis v1.98.2
Scan saved at 13:02:22, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Dokumente und Einstellungen\flo\Desktop\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab