Nach Befall durch Trojandownloader.Delf.cq-Variante und oder Small

#1 Hallo, ich bräuchte mal dringend Hilfe...

Ich hoffe es ist noch nicht zu spät. Ich hab nach dem booten gemerkt, dass ein Prozess mehr als sonst im taskmanager aktiv ist. Und zwar eine services.exe mit 6kb, ohne jegliche Herkunftsinformationen und im Windows-Stammverzeichis wo ja soweit ich weiss dieses Datei auch nicht hingehört.

Ich hab mir Kaspersky-AV-Personal 5 Trial runtergeladen, installiert und und im abgesicherten modus (eingabeaufforderung) gescannt. Naja er hat 2-3 infizierte exes im Windowsverzeichnis gefunden, eine irgendwas-hta Datei auf C: und einen Verweis in der registry...

Hab danach mal HijackThis laufen lassen, und würde gerne mal wissen was ihr zu den logs sagt, da ich von diesem Programm erst vor einigen Tagen gehört hab und mich nicht auskenne.

Ich habe mal 2 logs gemacht, weil ich nach dem speichern des logs von scan 1 nochmal auf scan geklickt habe und dann ein etwas anderes log bekommen habe... Ist das normal?!?

Naja seht selbst:

Log 1:

Logfile of HijackThis v1.98.2
Scan saved at 15:44:49, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\Programme\WinGate\WinGate.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\WinGate\wgengmon.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize
O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97




Log 2:

Logfile of HijackThis v1.98.2
Scan saved at 15:45:01, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\Programme\WinGate\WinGate.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\WinGate\wgengmon.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize
O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97



Was meint ihr dazu?

Mfg A.

#2 Hallo? Will denn keiner mal antworten?

Ich möchte doch eigentlich nur wissen, was mein log zu bedeuten hat.
Lassen sich da irgendwo Informationen auf eine noch bestehende Infizierung entnehmen?

Meines Wissens war dieser startende Prozess ein "Trojandownloader.Delf.cq". Wie kann ich jetzt herausfinden, ob er wirklich vollständig entfernt wurde und nicht doch noch irgendwie aktiv ist. Ich hab leider keine Informationen über diesen Trojaner gefunden..

Gruss
Waldbaum

#3 Hallo@Waldbaum

Das Log ist sauber
Einzig wurde der IE wieder zurueckgesetzt .Deshalb die Eintraege von MS .

Arbeite das bitte ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit