Home » Viren, Trojaner & Malware Forum » Trojan.Win32.Delf.ha?? Wie weg? » Themenansicht

Trojan.Win32.Delf.ha?? Wie weg?
#0
14.01.2005, 10:15
Jerenn
...neu hier

Beiträge: 7
#1 Hab mal euren empfohlenen Online Virenscanner laufen lassen und der diesen Trojaner gefunden. Der is bestimmt nich der einzige auf meinem Rechner. Bloß wie bekomme ich den weg?
Jedesmal wenn ich meinen Pc starte, springt ein Dialer an beim Beenden der Anwendung durch den Task-Manager, kommt 4-6 mal eine Warnung von Antivir, weil der Rechner von einem Trojaner attakiert wird. Ich klicke immer auf Löschen der Datei, aber nach jedem Neustart, es das Ding wieder da. Was tun?
Vielen Dank schonmal für eure Hilfe.

Mfg Jerenn
Seitenanfang Seitenende
14.01.2005, 10:44
Malkesh
Member
Avatar Malkesh

Beiträge: 669
#2 HijackThis Log posten. Klick mich

Mit eScan scannen -> auch hier das Log speichern, mit dem Editor öffnen, nach allen Zeilen mit "infected" suchen und diese hier posten.
(Sprich: infizierte Dateien mit komplettem Pfad und Art der Infektion)

Man kann gar nicht genug Informationen geben, wenn man eine Problemstellung hat ;)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 14.01.2005 um 10:45 Uhr von Malkesh editiert.
Seitenanfang Seitenende
14.01.2005, 20:37
Jerenn
...neu hier

Themenstarter

Beiträge: 7
#3 Fr Jan 14 14:17:04 2005 => File Infected with "Exploit.Java.Bytverify". (Zugriff verweigert)Unable to rename infected file. Virus could not be removed!
Fr Jan 14 14:17:04 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\VERIFIERBUG.CLASS-4B228ABC-62217F17.CLASS.VIR
Fr Jan 14 14:17:04 2005 => File Infected with "Exploit.Java.Bytverify". (Zugriff verweigert)Unable to rename infected file. Virus could not be removed!
Fr Jan 14 14:17:04 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\VERIFIERBUG.CLASS-4B228ABC-672048E9.CLASS.VIR
Fr Jan 14 14:17:04 2005 => File Infected with "Exploit.Java.Bytverify". (Zugriff verweigert)Unable to rename infected file. Virus could not be removed!

Fr Jan 14 19:47:59 2005 => ***** Scanning Completed. *****
Fr Jan 14 19:47:59 2005 =>
Fr Jan 14 19:47:59 2005 => Total Number of Files Scanned: 24817
Fr Jan 14 19:47:59 2005 => Total Number of Files Infected: 10
Fr Jan 14 19:47:59 2005 => Total Number of Files Disinfected: 0
Fr Jan 14 19:47:59 2005 => Total Number of Files Renamed: 2
Fr Jan 14 19:47:59 2005 => Total Number of Files Deleted: 5
Fr Jan 14 19:47:59 2005 => Total Number of Errors: 3
Fr Jan 14 19:47:59 2005 => Time Elapsed:: 05:53:23

Brauchst du die anderen Files auch noch? Also ich meine die der renamed und deletetd Files?

Hier is der Log von Hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 13:15:37, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Lan.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\Guard.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Icke\Eigene Dateien\Games\World of Warcraft\WoW-1.2.1-patch-enUS-Downloader.exe
C:\DOKUME~1\Icke\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://more-pages.com/sweb/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.24-7-search.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 gosurfy.com
O1 - Hosts: 127.0.0.3 www.gosurfy.com
O1 - Hosts: 127.0.0.3 j.ring0406808080.nu
O1 - Hosts: 127.0.0.3 gtwp.info
O1 - Hosts: 127.0.0.3 www.gtwp.info
O1 - Hosts: 127.0.0.3 hardclito.com
O1 - Hosts: 127.0.0.3 www.hardclito.com
O1 - Hosts: 127.0.0.3 ustimerz.com
O1 - Hosts: 127.0.0.3 www.ustimerz.com
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: 127.0.0.3 www.greg-tut.com
O1 - Hosts: 127.0.0.3 realtime.directwebsearch.net
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 octoporn.com
O1 - Hosts: 127.0.0.3 www.octoporn.com
O1 - Hosts: 127.0.0.3 red1rect.biz
O1 - Hosts: 127.0.0.3 www.red1rect.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
O1 - Hosts: 127.0.0.3 sp2F***.biz
O1 - Hosts: 127.0.0.3 www.sp2F***.biz
O1 - Hosts: 127.0.0.3 cash4me.biz
O1 - Hosts: 127.0.0.3 www.cash4me.biz
O1 - Hosts: 127.0.0.3 www.clamide-galleries.com
O1 - Hosts: 127.0.0.3 clamide-galleries.com
O1 - Hosts: 127.0.0.3 therealsearch.com
O1 - Hosts: 127.0.0.3 www.therealsearch.com
O1 - Hosts: 127.0.0.3 do.gameonstarter.com
O1 - Hosts: 127.0.0.3 www.maxxxhosters.com
O1 - Hosts: 127.0.0.3 maxxxhosters.com
O1 - Hosts: 127.0.0.3 rb-net.com
O1 - Hosts: 127.0.0.3 www.motor-search.info
O1 - Hosts: 127.0.0.3 motor-search.info
O1 - Hosts: 127.0.0.3 a-search.biz
O1 - Hosts: 127.0.0.3 314zdec.biz
O1 - Hosts: 127.0.0.3 freepornname.com
O1 - Hosts: 127.0.0.3 www.freepornname.com
O1 - Hosts: 127.0.0.3 online.x-open.net
O2 - BHO: 24T - {4E7BD74F-2B8D-469E-C68A-8D2CF4D5FA7D} - C:\WINDOWS\system\ppc.dll
O3 - Toolbar: 24T - {4E7BD74F-2B8D-469E-C68A-8D2CF4D5FA7D} - C:\WINDOWS\system\ppc.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2456741B-1567-7682-A355-939856783603} - ms-its:mhtml:file://C:\foo.mht!http://www.xpehbam.biz/be//T.CHM::/load.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100017436618
O21 - SSODL: eplrr - {E64A5C26-8183-4382-85ED-E0B4720B6039} - C:\WINDOWS\system32\eplrr3.dll (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hoffe das ich dir so behilflich sein konnte!

Mfg Jerenn
Seitenanfang Seitenende
14.01.2005, 21:07
Malkesh
Member
Avatar Malkesh

Beiträge: 669
#4 Oha, das sieht ja übel aus. Um nicht zu sagen verseucht. Das klügste wäre es wohl das System neu aufzusetzen, aber nunja, schaun wir mal:

Besorg dir AdAware sowie Spybot S&D. Gehe dann in den abgesicherten Modus, scanne mit beiden Tools, sowie mit eScan wenn der erste scan vorhin nicht im abgesicherten Modus war (tut mir Leid, vergessen es explizit dazu zu schreiben).
Die Dateien welche eScan nur 'renamed' hat manuell löschen (rename = umbenannt, sie sind also noch da!).

Fixe danach mit HijackThis:
C:\WINDOWS\Lan.exe
C:\WINDOWS\winhost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://more-pages.com/sweb/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.24-7-search.com
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 gosurfy.com
O1 - Hosts: 127.0.0.3 www.gosurfy.com
O1 - Hosts: 127.0.0.3 j.ring0406808080.nu
O1 - Hosts: 127.0.0.3 gtwp.info
O1 - Hosts: 127.0.0.3 www.gtwp.info
O1 - Hosts: 127.0.0.3 hardclito.com
O1 - Hosts: 127.0.0.3 www.hardclito.com
O1 - Hosts: 127.0.0.3 ustimerz.com
O1 - Hosts: 127.0.0.3 www.ustimerz.com
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: 127.0.0.3 www.greg-tut.com
O1 - Hosts: 127.0.0.3 realtime.directwebsearch.net
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 octoporn.com
O1 - Hosts: 127.0.0.3 www.octoporn.com
O1 - Hosts: 127.0.0.3 red1rect.biz
O1 - Hosts: 127.0.0.3 www.red1rect.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
O1 - Hosts: 127.0.0.3 sp2F***.biz
O1 - Hosts: 127.0.0.3 www.sp2F***.biz
O1 - Hosts: 127.0.0.3 cash4me.biz
O1 - Hosts: 127.0.0.3 www.cash4me.biz
O1 - Hosts: 127.0.0.3 www.clamide-galleries.com
O1 - Hosts: 127.0.0.3 clamide-galleries.com
O1 - Hosts: 127.0.0.3 therealsearch.com
O1 - Hosts: 127.0.0.3 www.therealsearch.com
O1 - Hosts: 127.0.0.3 do.gameonstarter.com
O1 - Hosts: 127.0.0.3 www.maxxxhosters.com
O1 - Hosts: 127.0.0.3 maxxxhosters.com
O1 - Hosts: 127.0.0.3 rb-net.com
O1 - Hosts: 127.0.0.3 www.motor-search.info
O1 - Hosts: 127.0.0.3 motor-search.info
O1 - Hosts: 127.0.0.3 a-search.biz
O1 - Hosts: 127.0.0.3 314zdec.biz
O1 - Hosts: 127.0.0.3 freepornname.com
O1 - Hosts: 127.0.0.3 www.freepornname.com
O1 - Hosts: 127.0.0.3 online.x-open.net
O2 - BHO: 24T - {4E7BD74F-2B8D-469E-C68A-8D2CF4D5FA7D} - C:\WINDOWS\system\ppc.dll
O3 - Toolbar: 24T - {4E7BD74F-2B8D-469E-C68A-8D2CF4D5FA7D} - C:\WINDOWS\system\ppc.dll
O16 - DPF: {2456741B-1567-7682-A355-939856783603} - ms-its:mhtml:file://C:\foo.mht!http://www.xpehbam.biz/be//T.CHM::/load.exe
O21 - SSODL: eplrr - {E64A5C26-8183-4382-85ED-E0B4720B6039} - C:\WINDOWS\system32\eplrr3.dll (file missing)

Danach restart und neues HijackThis-Log erstellen und posten.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1