Brauche dringend RAT! Trojan.Win32.Delf.nl

#1 Hallo,

habe bei meinen heutigen Scan folgende Meldung über mehrere "infizierter" Dateien bekommen! Dabei handelt es sich um einen Trojaner "Trojan Win32.Delf.nl"!
Folgende Dateien wurden von meinem Scanner genannt:

1) C:\Windows\System32\dllchache\winlogon.de
2) C:\Windows\System32\winlogon.exe

Wenn ich nun die Dateien entferne, passiert folgendes: "mein PC fährt runter und startet sich immer wieder neu...... neu..... neu......" usw. aber auf das irgendwelche XP kann ich direkt nicht mehr zugreifen.
Danach hilft nur noch "Recovery CD" zur Systemreperatur!
Meine Festplatte habe ich schon "platt" gemacht, dennoch sagt mir mein A² nach einem neuen Scan, meine Dateien seinen weiter "infiziert"!
Habe in meiner Firewall den Zugriff dieser Dateien "unterbunden"!
Norton AntiVirus findet nichts und meine Firewall hat nichts bemerkt!

Danke im voraus!

#2 wahrscheinlich hast du ein Programm geladen, welches mit der Spyware/Trojaner infiziert ist:

HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einen Ordner

*None of the above just start the program
*Save
*Savelog
*es öffnet sich der Editor
*nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!
Danke für deine Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 11:11:42, on 05.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\a2\a2start.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Gemeinsame Dateien\symantec shared\CCLGVIEW.EXE
C:\Programme\a2\a2scan.exe
C:\Programme\Norton Internet Security\IAMSTATS.EXE
C:\Dokumente und Einstellungen\Media\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7E4BE28-8A04-4F08-97E6-77D46C41EC62}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#4 Hallo@Dylan23

arbeite das bitte ab:
http://virus-protect.org/findqoologic.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Entweder bin ich zu doof oder ich bin zu dämlich?! Bis zum "schwarzen Fenster" im Dos: Note: If you get an error similar to:
autoexec.nt the system file is not suitable for running ms-dos etc,
or a 16 bit application error.
close this command prompt and read the readme.txt file.

Please be patient, this will take awhile.
Just wait until a text opens please.

Habe ich es geschafft!

Aber dann passiert nichts mehr! Ich bekomme immer folgende Meldung:
C:\Windows\System32\cmd.exe
Ein Systemfehler wurde von NTVDM endeckt.
Der Dienst antwortet nicht rechtzeitig auf die Start- und Steuerungsanforderung.
Kllicken Sie auf Schließen, um die Anwendung zu beenden.

Keinen Plan, was nun? Oder habe ich falsch kopiert?

#6 wahrscheinlich funktioniert die cmd nicht......nun wird es schwer...also:

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

mal sehen, ob das geht, weil ja das DOS irgendwie angschlagen ist....
oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern
http://virus-protect.org/bat/clean.bat
dann erscheint eine clear.bat auf dem Desktop

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "clear.bat" auf dem Desktop doppelklicken und mit "ja" bestätigen, und sofort den PC neustarten.

loesche alles, was vom eScanCheck110 ist und lade:

Alternativ-Download: MicroWorld FREE AntiVirus Toolkit Utility /kein automatisches Löschen der infizierten Datein,es ist nur ein Erkennungstool
Nach dem Download, muss das Archiv mittels WinRAR entpackt werden.
http://www.mwti.net/antivirus/free_utilities.asp
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hallo sabina!

konnte das problem mit kasparsky beheben! Danke für deine Hilfe!

#8 schade, ich haette gern gewusst, was das fuer Downloader und Viren waren... fuer andere Leidtragende....nun gut, wenigstens ist dein Problem behoben
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina!

Und zwar ist der angebliche "Trojaner" "Trojan Win32.Delf.nl" kein Trojaner, sondern eine vom A² Scanner verursachte Fehlermeldung! A² ist dieses Problem bekannt und hat dieses durch eine entsprechendes Update behoben! Ich war nicht der einzige, der diese Schwierigkeiten gehabt hat! Aber nun ist dies ja geklärt! Ich hoffe, ich konnte deiner bitte nachkommen!

Tschüss Sabina und Danke!