|
Trojaner TR/DelfJ0 Hallo erstmal, ich hatte mir, vor ca. 2 Monaten, einen Trojaner eingefangen und habe daraufhin einen Format C gemacht (auf anraten von einigen Foren). Jetzt bekomm ich seit ca. 3 Tagen einmal am Tag eine Warnung von meinem AntiVir das ich folgenden Trojaner habe: C:\WINDOWS\SYSTEM32\TASKMGE.EXE Ist das Trojanische Pferd TR/Delf.JO Ich habe bis jetzt immer folgendes angeklickt: Betroffene Datei löschen aber leider hat es nix geholfen. Tja also wenn ich ehrlich bin...ich weiss nicht mehr, was ich sonst noch machen kann. Hoffe nur, das der nicht wieder zur Folge hat, das ich einen Format C machen muss :koch: Wäre super, wenn Ihr mir hier etwas helfen könntet :D So dann sag ich schon mal Danke im voraus Subway |
|
Hi, erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This |
mach ich doch gerne, wenn du mir auch noch sagst, wo ich sowas finde :-( sorry, kenn mich damit leider überhaupt nicht aus |
einfach auf die unterstrichenen Wörter klicken, das sind Link's ;) |
man langsam komm ich mir ich dämlich vor hab die .exe ausgeführt..in den fenster kann ich folgendes ausführen: "Do a system scan and save a logfile" "Do a system scan only" "View the list of backups" "Open the misc Tools section" "Open online HijackThis QuickStart" naja vielleicht is ja nochmal jemanden so dämlich und ich helf ihm hier mit *grins* hatte dann eben das oberste versucht...hm da stehen aber verdammt viele infos drin..und sowas hier in die öffentlichkeit kopieren...komisches gefühl :-( aber wenns hilft |
Lies den von mir geposteten Link aufmerksam durch, damit sollte jede Frage beantwortet werden. |
ok habs..hoffe ich hab alles raus, was mich persönlich betrifft Logfile of HijackThis v1.99.1 Scan saved at 14:03:59, on 03.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Google\Gmail Notifier\gnotify.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\VM_STI.EXE C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\taskmge.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\PROGRA~1\Webshots\webshots.scr C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Goto.Games\NetGammon8\NETGAMMON8.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\eMule\emule.exe C:\PROGRA~1\INCRED~1\bin\IncMail.exe C:\WINDOWS\system32\defrag.exe C:\Programme\AVPersonal\GUARDGUI.EXE C:\Trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.**.de/**_fb3_1806/plugin/AXFOAM.CAB O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Zitat:
Prozess vorher im Taskmanager beenden |
ok habs gemacht, aber er kann die datei nicht scannen...jedesmal geht eine AV Warnung auf... und von der scann-seite bekomm ich: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file hm und nu ? :( |
schalte mal den Virenscanner ab und versuch es nochmal (hast du den Prozess im Taskmanager beendet?) |
jepp dann ging es Datei: taskmge.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir TR/Delf.JO gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Trojan.Delf.JO gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan.Win32.Delf.jo gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Trojan.Win32.Delf.jo gefunden |
hmm gut. der trojaner ist auf zerstören aus, nicht auf übernahme des rechners. deshalb ist eine bereinigung noch sinnvoll. er zerstört alle dokumente, also diese dateitypen: CHM DOC GIF JPEG JPG MDB PPS PPT RAR SWF XLS ZIP quelle: http://www.sophos.de/virusinfo/analyses/trojdelfjo.html also führe das aus: 1.escan -lade dir escan runter und gehe genau nach dieser Anleitung vor 2.einträge löschen -fixe mit hijackthis diese einträge: O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe 3.dateien löschen -lösche die datei taskmge.exe im ordner c:\windows\system32 -lösche natürlich auch alle von escan beanstandeten dateien (alle infected) (falls die dateien nicht angezeigt werden gehe so vor: klicke auf extras, dann auf ordneroptionen klicke auf ansicht mach den haken bei "geschützte systemdateien ausblenden" weg mach nen haken bei "inhalte von systemordnern anzeigen" hin selektiere "alle dateien und ordner anzeigen") 4.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues hijackthis log |
lade dir escan, Link und Anleitung siehe unten. Halte dich unbedingt an die Anleitung --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung folgende Einträge: O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe wenn du das nicht kennst auch fixen O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.**.de/**_fb3_1806/plugin/AXFOAM.CAB lösche von Hand: C:\WINDOWS\system32\taskmge.exe solltest du das nicht kennen auch löschen gegebenenfalls vorher deinstallieren: C:\Programme\Webshots\Launcher.exe C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "C:\bases_x" . Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung .Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus (Haken setzen bei All Local Drives und All Scan Files).Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - das geht so: Mittels Rechtsklick --> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten.Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst! (Zitat: Haui45) neu booten neues HJT posten |
ähm jep gigamail. das ist das ungefähr gleiche was ich gepostet hab.... nebenbei gehört webshots zum cameratreiber. aber ok, mehre hilfen sind ja umso besser ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board