DL.EXE, was ist das für eine Datei?

#1 Guten Tag!

Vor ca. 4 Tagen setzte ich meinen Rechner neu mit WinXp prof auf. Diverse Daten hatte ich auf meiner Externen Festplatte gesichert, darunter natürlich auch exes.
Wie dem auch sei, alles funktioniert wunderbar; auch das Internet, und zwar über einen Proxyserver der nur über Port 80, bzw. 8080 durchlässt.

Nur eins war merkwürdig, meine externe Platte ratterte den ganzen Tag, obwohl ich nichts gemacht habe, und immer mehr Programme auf ihr zeigten beim starten die Meldung, dass diese Programme einen Fehler hevorufen würden und beendet werden müssten.

Da ich über den Proxyserver kein unendliches Limit habe, nahm ich mir vor zu Hause(bin in der Woche nicht zu Hause!) alle Windows-updates zu ziehen u. Virenscanner etc...
Als ich nun zu Hause war, und versuchte über einen Router (DSL 3k), welcher alle Ports allowed(offen hat), ins Inet(Internet) zu gehen stellte ich zwei Dinge fest:

1. Das Netzwerk funktionierte überhaubt nicht mehr (war also Quasi lahmgelegt, da andere Rechner nicht mehr ins Internet kamen.)
2. Ich bekamt eine seltsame Meldung, die im bildlichen der unter diesem Link geposteten entspricht:
http://www.winfuture-forum.de/index.php?showtopic=55240

Jetzt hab ich Knoppix-Live-CD gebootet, um posten zu können.

Meine Nachforschungen liefern aber nun keine befriedigenden Resultate:

Und zwar hätte ich zwei Möglichkeiten für diverse Infizierungen in meinem System:

Ich habe die harmlosere Variente den W32/Bagz. Allerdings müsste dieser eine syslog.exe im systemverzechnis rumligen haben und eine tutorial.doc.exe. Sowas ist aber nicht da. Außerdem müssten auch noch Registrierungseinträge da sein, die auch nicht da sind.

Dann wäre vielleicht noch die wesentlich schlimmere Variante, dass ich den W32/Tenga habe (und ich die infizierten Daten von meiner externen Festplatte mit auf das neue System geschleppt habe, und in dieser Zeit [neues system ohne updates] das Teil munter auf meiner externen Platte weiter infiziert hat.)

Der Tenga hat nämlich angeblich keine Registry einträge. Dieser müsste sich aber Datein Namens dl.exe; cback.exe; oder gaelcium.exe haben.

Und siehe da, die dl.exe liegt einmal im System32-Ordner und einmal unter Dokumente-und Einstellungen vor.

Bei exe erwartet man ja sicherlich sowas wie eine executable. Doch der Witz ist ja noch, dass wenn ich die Dinger mit einem Texteditor öffne, da sich folgendes Java-Script [sic!] hinter verbirgt:

Zitat

e67
<script language="javascript">

myreg=new RegExp("lycos\.it","i");
if ( !myreg.test("'"+top.location+"'") ) {
nwreg=new RegExp ("http://([^/]+)?(/([a-z0-9A-Z\-\_]+)?[^']+)","i");
rn=nwreg.exec("'"+self.location+"'");
if (parent.frames.length==2) { top.location="http://" + rn[1] + rn[2]; }
else { top.location="http://" + rn[1] + "/" + rn[3]; }
}

if(window == window.top) {
var address=window.location;
var s='<html><head><title>'+'</title></head>'+
'<frameset cols="*,140" frameborder="0" border="0" framespacing="0" onload="return true;" onunload="return true;">'+
'<frame src="'+address+'?" name="memberPage" marginwidth="0" marginheight="0" scrolling="auto" noresize>'+
'<frame src="http://ads.tripod.lycos.it/ad/google/frame.php?_url='+escape(address)+'&gg_bg=&gg_template=&mkw=&cat=noref" name="LycosAdFrame" marginwidth="0" marginheight="0" scrolling="auto" noresize>'+
'</frameset>'+
'</html>';

document.write(s);
}
</script>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<html>
<head>
<title>Disabled Website</title>
<meta http-equiv="refresh" content="10;URL=http://www.tripod.lycos.it/">
</head>

<body>
<script type="text/javascript">
function GotoPortal() {
window.top.location = "http://www.tripod.lycos.it/";
}
window.setTimeout("GotoPortal()", 5000);
</script>
<br clear="all">
<center>
<img src="http://syndication.tripod.lycos.it/resources/img/members/disabled_tr.gif" width="261" height="106" border="0">
<br><font face="Verdana" size="4"><b>Ci dispiace... ma il sito che stai cercando non è più presente su Tripod (oppure c'è un errore nella digitazione dell'URL).</b></font>
<br><br><font face="Verdana" size="3"><b>Ti porteremo automaticamente all'homepage di Lycos Tripod in 5 secondi.</b></font>
<br><br><a href="http://www.tripod.lycos.it/"><img src="http://syndication.tripod.lycos.it/resources/img/members/logo_tr.gif" width="128" height="43" border="0"></a>
</center>
</body>
</html>

</pre></xmp></noscript>

<script language="javascript" src="http://ads.tripod.lycos.it/ad/test_frame_size.js"></script>

<script language="javascript">
if (!AD_clientWindowSize()) {
document.write("<NOSC"+"RIPT>");
}
</script>



<script type="text/javascript">
function setCookie(name, value, expires, path, domain, secure) {
var curCookie = name + "=" + escape(value) +
((expires) ? "; expires=" + expires.toGMTString() : "") +
((path) ? "; path=" + path : "") +
((domain) ? "; domain=" + domain : "") +
((secure) ? "; secure" : "");
document.cookie = curCookie;
}

var ad_url = "http://ads.tripod.lycos.it/ad/google/frame.php?_url="+escape(self.location)+"&gg_bg=&gg_template=&mkw=&cat=noref";
var ref=window.document.referrer;


if(parent.LycosAdFrame) {
if(parent.memberPage && parent.memberPage.document.title ) {
parent.document.title=parent.memberPage.document.title;
}

if(parent.LycosAdFrame && parent.LycosAdFrame.location && (ref != "" && (ref+"?" != window.location) && (ref.substr(ref.length-1,1) != "/")) ) {
parent.LycosAdFrame.location.replace(ad_url);
}
setCookie("adFrameForcePHP",0,0," ");
parent.document.body.cols = "*,140";
}
else if(top.LycosAdFrame && top.LycosAdFrame.location) {
if ((ref != "" && (ref+"?" != top.window.location) && (ref.substr(ref.length-1,1) != "?"))) {
top.LycosAdFrame.location.replace(ad_url);

752
}
setCookie("adFrameForcePHP",0,0," ");
top.document.body.cols = "*,140";
}
else {
if (!window.opener) {
setCookie("adFrameForcePHP",1,0," ");
}
else {
setCookie("adFrameForcePHP",0,0," ");
}
}

if (window.top.location.href.indexOf("http://utenti.lycos.it")!=-1) {
ad_frame = 1 ;
window.top.document.body.cols="*,140" ;
}

function resizeGoogleAdFrame() {
window.top.document.body.cols = "*,140";
}


if (ad_frame == 1 && AD_clientWindowSize()) {
setInterval("resizeGoogleAdFrame()", 30);
}

</script>

<script language="javascript" src="http://ads.tripod.lycos.it/ad/popunder_lycos_update.php?cat=noref&CC=it"></script>

<script type="text/javascript" src="http://ads.tripod.lycos.it/ad/ad.php?cat=noref&mkw=&CC=it&ord=29e7af3&adpref="></script>

<!-- START RedSheriff Measurement V5.01 -->
<!-- COPYRIGHT 2002 RedSheriff Limited -->
<script language="JavaScript" type="text/javascript"><!--
var _rsCI='lycos-it';
var _rsCG='noref';
var _rsDT=1;
var _rsSI=escape(window.location);
var _rsLP=location.protocol.indexOf('https')>-1?'https:':'http:';
var _rsRP=escape(document.referrer);
var _rsND=_rsLP+'//server-it.imrworldwide.com/';

if (parseInt(navigator.appVersion)>=4) {
var _rsRD=(new Date()).getTime();
var _rsSE=1;
var _rsSV='';
var _rsSM=1.0;
_rsCL='<scr'+'ipt language="JavaScript" type="text/javascript" src="'+_rsND+'v5.js"><\/scr'+'ipt>';
} else {
_rsCL='<img src="'+_rsND+'cgi-bin/m?ci='+_rsCI+'&cg='+_rsCG+'&si='+_rsSI+'&rp='+_rsRP+'">';
}
document.write(_rsCL);
//--></script>
<noscript>
<img src="//server-it.imrworldwide.com/cgi-bin/m?ci=lycos-it&amp;cg=noref" alt="">
</noscript>
<!-- END RedSheriff Measurement V5 -->

0

(Allerdings versteh ich dann das Zeichen "e67" und "0" am Anfang und ende nicht. Vieleicht eine Script um Mailware zu erzeugen!? Keine Ahnung.)

So, damit bin ich auch mit meinem Latein am Ende.

Kann mir vielleicht jemand sagen um was für einen Wurm es sich handelt? (Script?)
Könnten vielleicht meine Daten infiziert sein?
Was muss ich jetzt machen (software, vorgehensweise, etc.) um den Wurm zu beseitigen?

Ich danke euch...

---------------------------

NACHTRAG: Ok... ICh glaube ich bin nun schlauer. Nun geht es wieder los mit dem Windows-System. Es fängt nun wieder an. Langsam werden alles Dateien des Systems infiziert. Langsam kriecht der Wurm in alles, was nur den Anschein einer Executable hat...
Dann zum Schluss geht garnichts mehr. Alle exes funktionieren nicht mehr... Das System ist hin.

Ich glaube ich habe eine voll, entschuldigung, "Arschkarte"...

mfg Harno

#2 hast du schon formatiert?

wenn nicht:
http://virus-protect.org/datfindbat.html
kopiere hier die 4 Logs
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ja, das System ist schon formatiert worden...
Ich bin grade dabei mir eine Linux-Lösung auf dem System zu installieren.

Aber trotzdem Danke noch...

Das Prob. is jetzt nur, das ich meine ganzen Daten auf meiner externen Platte weghauen kann bzw. die in Quarantäne stellen muss, aufdass nie wieder ein Windows-system eine EXE davon ausführen mag.

mfg harno

#4 vielleicht hilft auch das fuer die Zukunft
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,

vorweg möchte ich sagen, dass ich hier nicht auf Groß- und Kleinschreibung geachtet habe, also bitte nicht daran stören.

Ich hatte das selbe Problem und hab es gelöst bekommen

Die dl.exe ist heimtückisch !!!
Jedoch schreibe ich euch nun wie ihr Sie /Den Wurm/Trojaner/Virus (W32/Bagz.mm) wegbekommt.

Was macht die dl.exe ???

Ich habe Windows XP x64 Edition, dort kam immer der Fehler (zb. bei FTP Programmen oder beim surfen, zocken etc.) "Die dl.exe konnte aufgrund einer Inkompatibilität des 64 Bit Systems nicht gestartet werden.
jedoch war ja jede exe infiziert und zog die Leistung des Rechners erheblich runter.

Wie erkenne ich die dl.exe

- Entweder, wie bei mir, dass ständig Fehler der dl.exe auftreten,
- Durch surren (arbeiten) der Festplatte, nach einen Neustart, ohne das ein Programm gestartet ist und die Platte normal ruhig sein müsste,
- Im System (Laufwerk C, D, E..) und in anderen Ordnern wie Spiele die "dl.exe" zu finden ist und
- das das Internet nach einigen Minuten nicht mehr geht, keine Seite mehr geladen wird und bis dato total langsam ist. Bei FTP Programmen wie FlashFXP z.B. "No buffer Space available"


REMOVE THIS FU#!ING TROJAN


Anleitung für XP:

1. Arbeitsplatz (rechtsklick), Eigenschaften, Systemwiederherstellung
(AUF DEAKTIVIEREN FÜR ALLE LAUFWERKE)
"denn so kann sich der Virus immer wieder neu erstellen (konnte )"

2. Ladet euch das Virenprogramm "Avast" (gibt es auch für 64Bit XP/2003)
"weshalb es das sein soll, schreibe ich später"

3. Deinstalliert eure Firewall und Virenprogramm. (Die Firewall wird vom dl.exe Trojan sowieso nicht beachtet.)

4. Installiert das Virenprogramm, klickt dabei auf NEIN, wenn es fragt ob nun neugestartet und beim bootvorgang gescant werden soll (falls er fragt)

5. Sobald Ihr nach der Installation den Rechner neu gebootet habt, kommt sofort die Meldung, VIRUS GEFUNDEN!

6. erstmal die Sounds bei den Einstellungen des Progs deaktivieren (die nerven auf dauer nämlich.)

7. Die neusten Updates über das Virenprog saugen (updaten heisst der punkt)

8. Nun seit ihr bereit es mit dem Trojan aufzunehmen !

9. Lasst einen scan durchlaufen mit Sicherheitsstufe HIGH (HOCH) und sobald die erste meldung eines Trojaners kommt, klickt auf ALLE LÖSCHEN oder so ähnlich. Nun startet der Scanner ein separaten Scanner, der alle Files durchgeht.

Die dl.exe hat bei mir JEDE *.exe infiziert, konnte jedoch mit dem Virenprog Avast Repariert werden, ohne das ein Schaden entstanden ist. (DESHALB AVAST!) prizipell könntet ihr auch ein anderes Virenprog nehmen, da kann ich aber nicht versprechen, dass danach noch alles funktioniert.

Scant den Rechner lieber 2-3 Mal auf HOCH um ganz sicher zu gehen.
Die Systemwiederherstellung muss allerdings deaktiviert bleiben, da er sich sonst beim nächsten verbinden mit dem Internet wieder einschleicht.




Anleitung auf 98,98SE,2000,ME,2003...:

Eigentlich genau das gleiche wie oben, nur das man die Systemwiederherstellung anders deaktivieren muss.. am besten ein bisschen googlen.

Ich hoffe damit konnte ich euch helfen, mein System jedenfalls läuft wieder 1 A !

Für weitere Fragen, schickt mir einfach eine Mail !

#6 W32/Bagz-B
http://www.sophos.de/virusinfo/analyses/w32bagzb.html
bewahrt eine Kopie der oben genannten Dateien im Ordner %system32% auf. Außerdem legt er die folgenden Komponenten ab:

%system32%/dl.exe
%system32%/syslogin.exe
%system32%/ipdb.dll
%system32%/jobdb.dll

Er erstellt außerdem den folgenden Autorun-Registrierungseintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
syslogin.exe = syslogin.exe

avast! 4 Home Edition (free)
http://virus-protect.org/antivirenfree.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ja, genau das Avast habe ich glaube ich genommen, allerdings habe ich wie gesagt ein 64Bit System und dort ist keine Datei im System32, nichts im Run verzeichnes der Reg.., und keine tutorial .doc etc..

ein fieses Teil jedoch habe ich ihn wie oben beschrieben bekämpfen können.

#8 Hallo!
Danke fuer deinen Tipp Hoax, ich werde es versuchen.
Es geht mir eigentlich jetzt nurnoch darum die Daten auf meiner exterenen Festplatte wieder zu breieinigen.
Kann es auch sein, das der Wurm schon nur durch das anstecken des USB-Sticks an den Rechner der Wurm duch irgendwelche -was weiß ich- Syncronisierungsprozesse uebertragen wird?

Dieser Virus scheint wirklich sehr hartnäckig und heimtükich zu sein.

Ist es moeglich, das sich der Wurm irgendwie ueber das Netzwerk verbreitet?
In dem LAN indem ich teilnehme sind in letzter Zeit immer weitere Fälle des Wurmes aufgetreten, oft nur durch die Fehlermeldung?

Weiterin moechte ich gerne wissen, was der Wurm genau mit den exes macht. Haengt der nur seine Source an oder destroyt der die Exes richtig?

Danke.

mfg Harno

------------------------------------
NACHTAG:
Bitte schaut euch das an:

http://securityresponse.symantec.com/avcenter/venc/data/w32.licum.html

Da ich eine Vermutung habe, das die Sache über das Netzwerk kommt und von irgendwelchen italienischen Websites von Lycos/Tripot etwas herunterlädt und das in dem von mir oben geposteten Script auch zu geschehen scheint, koennte auch dieser Wurm in Frage kommen.
Ausserdem ist gesondert reportet, dass er seinen Source an den exes anhaengt.

Und das hier:

Zitat

Target of infection: May spread to other computers that are vulnerable to the Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability.
[\QUOTE]

#9 Nein, er zerstört nichts. Er infiziert die Dateien nur. Du kannst wie gesagt (selbst getestet) mit dem Virenprogramm "AVAST!" (was es als 30Tage Testversion gibt) den Wurm komplett aus dem System bekommen.
Avast durchsucht alles nach Hinweisen auf den Wurm und repariert anschließend alle *.exe files.

Er verbreitet sich "auch" durch das Netzwerk, sowie Mails und über andere Sachen bsp. USB Sticks. Sollte eine Infizierte Datei auf dem Stick sein, sind danach deine EXE Files auf dem Rechner ebenso infiziert.

Naja du kannst ihn wegbekommen mit Avast, sogar vorbeugend
Er kam bis jetzt nicht wieder zu mir, alles läuft Problemlos, außerdem bietet Avast eine integrierte Firewall für mein 64Bit System (gibt ja nocvh nicht sehr viele Firewalls für 64Bit) und diese scheint mir sogar sehr gut..

Der einzige Nachteil ist, sagen wir du hast einige Spiele rübergezogen (von Freunden etc) oder Programme.. Alles was keine REG Einträge hat, wird von dem Virenprog gelöscht, falls die Dateien infiziert sind.
Sind aber zb. die EXE von (als Beispiel mal: Call of Duty 2 oder Adobe Photoshop) infiziert, welche vorher aber von dir Installiert wurden, sprich Reg Einträge besitzen, so kann Avast alles wieder lückenlos herstellen (bei mir jedenfalls)

Du kannst also deine ext. HDD mit Avast scannen und alle Infizierten Sachen beseitigen, danach sollte alles wieder Problemlos funktionieren und der Wurm nicht wiederkommen.

Gruß
Hoax

#10 Hallo,
vielen Dank für deine Hilfe, Hoax. Hatte auch den Virus auf dem System und konnte ihn mit Avast komplett runterputzen.

mfg & thx

#11 Das echt mal en genialer Wurm hatte den auf 4 rechnern
einen hab ich jetzt mit avast bereinigt was wirklich ein
super geniales programm ist !

Danke Hoax !!

#12 Hoax: Ich liebe dich!
Danke Man!
Ich hab schon wieder Wahnvorstellungen gehabt, weil ping ging, aber kein Internetprorgamm wie Browser, FTP etc.
Ich dachte schon, alle würden mich wieder zusülzen, ich soll meinen PC nich so vollstopfen mit Software ;-)
Und: Ich kann während dem Scan weiterarbeiten, weil beim öffnen eines Programmes wird das gleich repariert :-)

#13 ja schön und gut das programm ABER diese dl.exe wird bereits auf meinem desktop angezeigt und lässt sich weder löschen noch mit avast finden und so löschen die fehlermeldungen etc erscheinen zwar ncihtmehr aber programme zb nero zeigt mir weiterhin die meldung an das ein virus auf meinem pc wäre ist der virus nun wirklich weg oder noch da? und wenn er weg ist warum ist die dl.exe noch auf meinem desktop?

#14 hallo ersmal,
also ich hab diese dl.exe auch gehabt un hab erstmal Standard mein rechner vormatiert als ständig die nachichit kam dl.exe kann nich richtig ausgeführt werden weil diese 16 bit anwendung nicht vista 64 bit kompatibel ist.
so
nach der formatierung un erfolgreichen neuinstalation des betribsystemes bekam ich eine komische fehlermeldung bei der instalation meines virtual dj's un icq 6.
das stand wieder das die dl.exe wegen 16bit usw nicht ausgeführt werden kann.
ist ja alles schön und gut doch der pfad machte mich sehr stutzig.
K:\Elements\Programme\Virtual DJ 3.3\dl.exe www.peb.pl
und bei icq 6
K:\Elements\Programme\icq\dl.exe www.peb.pl
es handelt sich hier um meine externe platte un als ich unter dieser domain geschaut habe kam ich beim polish elite board raus fals ihr dieses kennt.
daraus habe ich mal geschlusfolgert das eine infizierte exe sich den trojaner wieder vom peb.pl runterläd.
ich installe gerade nochma windows neu un probiere es mit avast.
fals es euch was hilft ich nehme mir nacher die dl.exe un pack sie inn ein rar archiev un lade diese auf mein webserver fals sie jmd. genauer untersuchen möchte.


MFG LPC

#15 Hallo Ipc,

Lad doch vorher mal die exe intakt hoch und schau, was die Virenscanner dazu meinen:
http://www.virustotal.com/de/
wäre interessant... poste hier den Report

«
du kannst es dann mit avast-scanner versuchen
http://www.virus-protect.org/avast.html

oder mit avast! BART CD
http://www.virus-protect.org/avastbartcd.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/