Win32.delf.uc Trojaner eingefangen
 

Hi,
habe mir den win32.delf.uc Trojaner auf meinem Laptop eingefangen. :pfui: Er hat sich der Registry von c:/windows/system32/winlogon.exe eingenistet (laut spybot).
Habe sofort die Internetverbindung gekappt. Ich habe schon in manchen Threads gelesen, dass man den nur durch eine Neuinstallation sicher wegbekommt. :headbang:

Ich habe 2 Partitionen auf einer Festplatte. Jetzt weiß ich nicht, in wiefern ich Daten von c: auf d: pacvken, ohne dass auch d: infiziert wird. Ich will auch komplette java-projekte retten, oder sind die auch möglicherweise infiziert??
Außerdem habe ich auch nicht installierte Programme als exe-Dateien und bereits installierte Spiele auf d:, heißt das, dass diese auch infiziert sein können?

Kann mir jemand vielleicht eine sichere Vorgehensweise nennen??

Ich habe mir gedacht, alles auf d: zu kopieren. Windows neu aufsetzen und anschließend mit Spybot, DrWeb usw. d: überprüfen. Falls irgendwas gefunden wird, dann wirklich nur sichere Sachen (Filme, Fotos und Musik) auf externe Festplatten retten und alles nochmal neuformatieren. Wäre das ok??

gruss und danke im voraus
michdura

hi

1.
ich würde an deiner Stelle zuerst mal mein System mit div Tools durchsuchen und v. Schädlinge befreien

oder
2.
Boot-CDs - Live-System wie z.B:

• Knoppicillin - bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall-->Bebilderte Anleitung
• Knoppix--> Datei:Knoppix-logo.svg
• Ubuntu--> Download/ubuntu.com
• kannst Du auch auf einem USB Stick `installieren`-->* Installation* FromUSBStick--> Anleitung 1.-->Anleitung 2. - (Aktuell halten, das Update umgehend einspielen, dies geht etwa über die eingebaute Update-Funktion)
• Ubuntu-CD Problembehebung

dann formatieren, Windows neu installieren vorher Daten sichern

Danke für die Antwort,
ich habe das zum Teil schon gemacht, also im abgesicherten modus (mit abgeschalteter Wiederherstellungskonsole) alles mit spybot s&d durchsucht und gelöscht.
Meine Frage war mehr zur Datensicherung:

"Ich habe 2 Partitionen auf einer Festplatte. Jetzt weiß ich nicht, in wiefern ich Daten von c: auf d: packen, ohne dass auch d: infiziert wird. Ich will auch komplette java-projekte retten, oder sind die auch möglicherweise infiziert??
Außerdem habe ich auch nicht installierte Programme als exe-Dateien und bereits installierte Spiele auf d:, heißt das, dass diese auch infiziert sein können?"

hi
hm wen du nicht wils das d von möglicher weise infizirten datain vonc kommt dan würde ich das so machen den da müste Avira oder ZoneArlarm rummeckern wen es was findet

die daten von c auf eine externe festplatte machen dan von der externen festplatte die datein auf d schiben anderseits kan es sein das d schon längst infizirt ist

MFG Andy

Also avira konnte ich nicht installieren, da hat er mir gesagt, dass eine install datei vom virus angefallen wurde... ich habe da norman drauf.

also wenn ich das richtig verstehe, können ausführbare daten (sprich exe-Installationsdateien von z.b. winrar, firefox usw.) auf d auch vom trojaner befallen sein??

Nochmal:

hi

- es gibt ja `Einige Schädlingsarten` die es locker schaffen ;)
- aus der Ferne schwer zu beurteilen, wir wissen auch nicht mal um welche Infektion es sich handelt?
- eigentliche frage ist, ob die Die Systemdatei C:\WINDOWS\system32\winlogon.exe befallen ist? Falls ja, darf nicht gelöscht werden, ansonsten Ohne winlogon.exe startet das System nicht mehr auch nicht in den abgesicherten Modus!

Damit wir deine Frage beantworten können, brauchen wir noch mehr Angaben:

- Anweisungen bitte gründlich lesen und streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte- und Systemdateien sichtbar machen::
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.
- Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.

- lade Dir das filelist.zip auf deinen Desktop herunter
- entpacke die Zip-Datei auf deinen Desktop
- starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
- kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)-> starten-> unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)-> weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir Gmer und F-Secure einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein
  - klicke auf "Scan", um das Tool zu starten
  - nichts am Pc machen während der Scan läuft!
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage GLEICH hier in Deinem Thread (nicht woanders!) vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.

• lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
• nichts am Pc machen während der Scan läuft![/b]
• starte in diesem Ordner fsbl.exe
• klicke auf I accept the agreement → next → Scan
• wenn der Scan beendet ist, wähle Close.
• der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

am besten nutze den Code-Tags für deinen Post:
vor dein log schreibst du:[code]
hier kommt dein logfile rein
dahinter:[/code]

hier einmal das Ergebniss von filelist:

CCleaner:
Spybot wurde erst nach dem Befall installiert....

Gmer logfile Teil 1:

Gmer logfile Part 2:

Gmer logfile Part 3:

Und das ende von Gmer:

und hier die log von blacklight:

sorry, habe etwas noch vergessen:
- Lade dir - RSIT herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten

Hi, das kann ich leider erst am dienstag machen, da ich übers wochenende nicht da bin.
bis dann und thx an alle für die hilfe

einmal Hijackthis.log: