|
win32.delf.uc und antivir nicht ausführbar Hallo, habe folgendes Problem: habe auf PC einen virus entdeckt. der desktop war leer und habe deshalb xp neuinstalliert.Hijackthis auswertung nach installation: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:56:13, on 10.01.2009 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\logon.exe C:\WINDOWS\System32\explorer.exe C:\WINDOWS\System32\csrs.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 2146 bytes habe schädlinge gefict.nochmalige auswertung in ordnung. spybot findet win32.delf.uc,kann löschen aber beim nöchsten scan von spybot ist dieser wieder drauf. antivir personal kann ich nicht installieren: meldung kommt:die crc-summe von c:.\dokume1\jens\lokale1\temp\rarsfxo\basic\setup.exe wurde verändert.dies könnte durch ein virus versursacht wurden sein.. bei xp neuinstallation habe ich laufwerk c gelöscht und neu angelegt und formatiert.. was soll ich nun tun? |
Hallo und :hallo: Zitat:
Dann bist du jedoch mit SP1 ins Internet gegangen und das ist vergleichbar mit Russisch Roulette, nur das alle Kammern mit Kugeln gefüllt sind. SP3 muss installiert werden, bevor du ins Internet gehst. Du hast jetzt mehrere Bots auf dem Rechner. Also gleich noch einmal, diesmal aber richtig: http://www.trojaner-board.de/51262-a...sicherung.html ciao, andreas |
hatte aber eine firwall(zone alarm) an |
Dein Rechner ist ein Zombie. Trenne sofort die Verbindung zum Internet. Soll ich dir wirklich eine Liste der Bots geben, die alle auf deinem Rechner am arbeiten sind? Einige Links zum Thema PFW: Lutz Donnerhacke: de.comp.security.firewall FAQ http://www.fefe.de/pffaq/halbesicherheit.txt Personal Firewall Security FAQ Wie Personal Firewalls ausgetrickst werden können http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm PC Flank: Make sure you're protected on all sides. heise online - 13.05.04 - Kritische Sicherheitslücken in Symantecs Desktop Firewalls pfargumente CCC | FAQ - Sicherheit Wenn du die durchgelesen hast und ZoneAlarm immer noch installiert ist, dann ist dir nicht zu helfen. ciao, andreas |
also ist zonealarm nicht so sicher,wie verkauft wird? |
Genau, gut erfasst. Die verkaufen dir ein Gefühl, das Gefühl, dass du damit sicher seist. Leider fallen zu viele darauf rein und bezahlen für etwas, das nichts wert ist. Sicherheit lässt sich nicht in eine Verpackung packen. Jedes Programm, das du zusätzlich installierst, macht deinen Rechner unsicherer und angreifbarer. Halte dein BS aktuell, ein absolutes Muß. ciao, andreas |
ist servicepack 2 sicher? Nachdem ich servicepack 2 installiert habe,stellt sich die graphische Auflösung nach dem neustart als grobkörnig in 640x480 Pixel dar.Die einstellung der Bildschirmauflösung in der Anzeige(der pfeil zum verschieben)läßt sich nicht ändern. was kann das sein?habe ich irgendwas übersehen? |
Das liegt daran, dass SP2 veraltet ist *lüg*. Nein, ernsthaft, installiere SP3. Mausklick rechts auf den freien Bereich des Desktops => Eigenschaften => Reiter: Einstellungen Was steht in der Zeile unter Anzeige? Welche Grafikkarte hast du? ciao, andreas |
da steht nichts..glaub hab vergessen die graphiktreiber zu installieren..könnte das der grund sein? |
:daumenhoc |
was heißt das? |
Treiber für Grafikkarte ist nicht installiert. Sollte ein Ja auf deine Frage/Vermutung sein. ciao, andreas |
also daran liegt es? wenn ich diese installiert hab,dann müßte die darstellung von xp nach installation von sp2 normal sein? und wie kann ich win32.delf.uc unschädlich machen? glaub,ich hab damals..als mir antivir personal diesen virus angezeigt hat,auf "in Quarantäne stelllen" gedrückt als "zugriff verweigern" so hat er wohl von der Quarantäne aus antivir unschädlich gemacht und dann auf den rechner geriffen.... momentan liegtder virus in der Hkey-lokal-machine der registrierungsbank lt.spybot.. |
Moment, was hast du jetzt eigentlich gemacht. Ich bin davon ausgegangen, dass du neuinstalliert hast. Oder hast du nur SP2 auf die verseuchte Kiste gespielt? ciao, andreas |
habe neu installiert und sp2 draufgespielt...und wieder runtergenommen,da sich die auflösung nicht verändert hat.jetzt habe ich die treiber graphik installiert |
OK. Dann installierst du jetzt SP3. Ich hoffe, du bist nicht schon wieder mit SP1 im Internet, dann war die ganze Aktion sinnlos. ciao, andreas |
und was ist mit dem virus? |
... Mach doch einfach was dir john.doe rät! Setze neu auf und zwar mit SP3! |
Durch die Neuinstallation sind alle weg. Nur wenn du tatsächlich wieder mit SP1 im Internet bist, ist bestimmt schon wieder alles voller Schädlinge. Poste spasseshalber mal ein HJT-Log. ciao, andreas p.s.: Lies nocheinmal, was ich hier geschrieben habe: Achte auf das hervorgehobene Wort bevor |
habe aber nur sp2 auf cd.. also auf jeden fall neu aufsetzen,laufwerk c löschen und neu installieren,dann die treiber und dann sp2?und allen viren sind weg? |
Lade dir vorher: Downloaddetails: Windows XP Service Pack 3 Packe es auf eine zweite Partition, Laufwerk, externes Laufwerk oder brenne es auf CD. Nach Neuinstallation sind alle Viren weg. Eine Ausnahme gibt es, deshalb teste vorher den mbr. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert, musst du eine Bereinigung vornehmen. Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. ciao, andreas |
ist sp3 sicher als zonealarm? wenn ich xp neu installiere,treiber dann drauf mache,sp3 dann drauf mache...ist dann win32.delf.uc weg? |
Ja, SP3 ist sicherer als SP2. Ja, wenn du nach Anleitung installierst, dann hast du ein sauberes System. ciao, andreas |
hab alles gemacht und es sind immer noch die selben probleme(spybot zeigt win32 in registraturbank an,antivir lässt sich nicht installieren) was nun? |
Poste ein aktuelles HJT-Log. Beachte dabei die Regeln: http://www.trojaner-board.de/22770-a...log-files.html ciao, andreas |
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: IMAPI-CD-Brenn-COM-Dienste (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe (file missing) O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3377 bytes |
Ich benötige das vollständige Log. Die ersten Zeilen fehlen. Zumindest hast du keine Bots mehr. ciao, andreas |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:51:41, on 11.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\WINDOWS\hh.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\Crawler\CToolbar.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60076 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076 R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: IMAPI-CD-Brenn-COM-Dienste (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe (file missing) O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4768 bytes |
Hast du mit einer Original-CD installiert oder mit einer gebrannten? Rufe folgende Adresse auf, installiere MSIE7, installiere SP3 sowie alle anderen Updates, die angeboten werden: Microsoft Windows Update Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\WINDOWS\System32\systen.dllciao, andreas |
eine recovered cd |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board