Trojan.Clicker.Delf.R und Backdoor.SDBot.IE

#1 Hallo,

habe gerade mein Windows 2000 neu aufgespielt und nachdem ich ins Internet bin, hab ich alle Microsoft-Updates gezogen und installiert. Leider habe ich in der Zeit trotzdem jede Menge Viren auf mein System bekommen. Einige habe ich löschen können, momentan hänge ich aber an "Trojan.Clicker.Delf.R" und "Backdoor.SDBot.IE". Kann mir jemand sagen, wie ich die runterbekomme? Mein Virenprogramm ist übrigens Bitdefender.

Vielen Dank,
Gruß
Komet

#2 Versuch es mit eScan eine 30 Tage trail
http://www.mwti.net/antivirus/free_utilities.asp
__________
MfG Argus

#3 http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum.
MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#4 hallo,
mein bitdefender zeigt mir, daß ich den Trojan.Clicker.Delf.R am Computer habe. ich kopiere das log file. kann mir jemand dabei helfen?
Vielen Dank
stawu

Logfile of HijackThis v1.98.2
Scan saved at 23:46:59, on 19.08.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\lexbces.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINNT\System32\pctspk.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINNT\System32\internat.exe
C:\Programme\Common\Bin\WinCinemaMgr.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wallstreet-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\RunOnce: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB

#5 @stawu

fixe mit dem HijackThis und dann neustarten
R3 - Default URLSearchHook is missing

#Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
...................................................................................................
##Gehe in den abgesicherten Modus(wichtig !!!!!!!!!)
http://www.bsi.de/av/texte/winsave.htm
(F8 druecken, wenn der Computer hochfaehrt
-----suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
....................................................................................................
normal neustarten

dann loesche die TemporaryInternetfiles unter <InternetOptionen<

berichte, was der <eScan< gefunden hat.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#6 hallo sabina,
vielen dank für deine hilfe. hab alles so gemacht, nur kavupd.exe nicht gefunden, dafür gestern erst das mwav runtergeladen (dürte dann upgedated sein?) das e scan hat einiges deleted, vieles in davon in der NAV Quaratäne.
Denkst du daß ich jetzt clean bin?
nochmals danke für die hilfe
liebe grüße
stawu

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Installer2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mxTarget.cab infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mxTarget.dll infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI36C9.tmp\mxTarget.cab infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI36C9.tmp\mxTarget.dll infected by "Trojan.Win32.KeyHost.e" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\012D68B6.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\271835FF.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\28461A26.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\2F27588A.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\2F4A2663.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\2F614C49.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\2F787230.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\2F8F1817.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\2FA63DFE.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\33C41D20.tmp infected by "I-Worm.Bagle.ah" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\42343027.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\435A72E3.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\43A8628D.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\44730DAE.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\449A0583.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\44CB7B4D.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\44E22134.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\44F76440.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\451B3218.tmp infected by "I-Worm.Bagle.ah" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\454062CC.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\45715896.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\45887E7D.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\45CA4635.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\45F13E0A.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\462807CD.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\464C55A5.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\47933C3E.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\47B3601A.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\47CE2FFD.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\4BF23C48.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\5A857009.tmp infected by "I-Worm.Bagle.gen" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\6C2811F9.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\6C7357A6.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\6C875391.tmp infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted.

#7 @stawu
Scanne noch mal mit deinem Virenscanner im abgesicherten Modus und berichte dann, ob die Warnung vom <Trojan.Clicker.Delf.R < weg ist.

Aendere uebrigens alle Passworte (falls du ebay benutzt oder Bankgeschaefte erledigst o.a.)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 @sabina
mein bitdefender hat im abgesicherten modus nicht funktioniert, im normalen hat er den Trojan.Clicker.Delf.R in C:\UnstSA2.exe gefunden, disinfection und move failed. sonst ist alles clean.
soll ich diesen file löschen?
lg
stawu

#9 @stawu

<C:\UnstSA2.exe< kannst du unbedenklich loeschen, denn es gehoert auch zum<Adware.BlazeFind<

# %System%\2_0_1browserhelper2.dll
# %System%\UnstSA2.exe
# %System%\key2.txt

Geh mal in die Registry und loesche, falls es da istauf der rechten Seite der Registry)
HKEY_CLASSES_ROOT\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}



mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#10 hallo,
habe diese beiden einträge gelöscht:
UnstSA2.exe
key2.txt
die restlichen von dir angegebenen files in der registry waren nicht vorhanden,
lg
stawu