Bekomme Viruswarnungen Dldr.Delf.Br3 und Worm.Luder.A35 |
||
---|---|---|
#0
| ||
09.04.2007, 15:04
...neu hier
Beiträge: 3 |
||
|
||
09.04.2007, 15:08
Moderator
Beiträge: 7805 |
#2
Wo findet Antivir diese Malware genau? Bei dem Worm.Luder.A35 koennte es sich um ein Fehlalarm handeln....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.04.2007, 15:24
...neu hier
Themenstarter Beiträge: 3 |
#3
hallo, das ging ja schnell.
Also laut AVir einmal: In der Datei 'C:\System Volume Information\_restore{E0B8374F-0B1E-4DC2-885C-E3BB4324EE4D}\RP591\A0194653.exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Luder.A.35' [WORM/Luder.A.35] gefunden. erst in Quarantäne, nun von mir sicherheitshalber gelöscht. der andere (dldr.delf) wird im log seltsamerweise nicht aufgeführt. Aber im Bericht finde ich was: hing an einer aspi.exe, einem Treiber, den ich mir mal vor langer Zeit mal von einer Seite geladen hatte, aber auf diesem System eigentlich nie installiert hatte. |
|
|
||
09.04.2007, 15:28
Moderator
Beiträge: 7805 |
#4
Wenn du ihn nicht brauchst, loesch die Datei einfach. Ansonsten nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung ueber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246 Dann solltest du dein System noch ueber www.windowsupdate.com noch aktualisieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.04.2007, 15:28
...neu hier
Themenstarter Beiträge: 3 |
#5
Interessant finde ich hier bei genauerem Nachdenken vor allem die Tatsache, das sich AntiVir erst jetzt gemeldet hat, nachdem die Datei mit dem dldr.delf doch schon seit Jahren ihr "Schläfer"-Dasein auf einer meiner Platten gefristet hat. Ist das ein Zufall oder kann sie irgendwie aktiviert worden sein?
Nachtrag: wie lässt das "Werken" von Luder denn kontrollieren? hat das eine mit dem anderen zu tun? Was bedeutet dieser erstellte Schlüssel unter "System Volume Information"? Ich hab keine verdächtigen Aktivitäten bemerkt. Kann ich sichergehen dass alles ok ist? Vielen Dank schon mal für die prompte Antwort lg aus D-Dorf Dieser Beitrag wurde am 09.04.2007 um 15:37 Uhr von Makake editiert.
|
|
|
||
nachdem ich mich durch mehrere Threads im Forum bereits zum Thema durchgekämpft habe, und auch entsprechende Software runtergeladen habe.
Inklusive Hijackthis Scans u.ä..
Ich bekomme bei fast jedem Neustart (nicht aber nach bestimmten zeitintervallen wie manch andere) Meldungen durch Antivir. Da werden scheinbar wahllos bestimmte Dateien "befallen" !? Letzens war es ein Schlüssel unter Dokumente und Einstellungen, dann irgendwas anderes. Leider hab ich mirs nicht gemerkt und erst direkt löschen lassen. Ersteren dann doch letztlich erst mal in die Quarantäne geschickt.
Es sind immer die Meldungen zu Dldr.Delf.BR3 und öfters Worm.Luder.A35
Bei Highjackthis erkenn ich keine verdächtigen Einträge...
Hier das Log
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ZyXEL\ZyXEL G-202 Wireless Adapter Utility-Programm\ZyXEL G-202.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\eMule\emule.exe
C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\WINDOWS\system32\imapi.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\Archive\Internet & Security\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKLM\..\Run: [SysMetrix] C:\Programme\SysMetrix\SysMetrix.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyXEL G-202 Wireless Adapter Utility-Programm.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AA162B8-5768-4AE9-AE8C-181197515B51}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{48137908-051A-434C-A13D-DF43C6E455F2}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Da ich mich bisher per Firewall und Antivir ganz gut abgesichert fühlte, kann ich mir nicht erklären, woher die Meldungen kommen. Bin ich schon befallen und sind dies die Symptome? Oder sind es bisher nur Angriffsversuche? Allein eine Antwort darauf würde mich schon sehr interessieren, da ich schon gelegentlich Onlinebanking betreibe und nun etwas um die Sicherheit meiner Passwörter und Dateien fürchte. Diese benötige ich nämlich auch für die Arbeit von zu Hause aus. Woran kann sich der Virus/Trojaner hängen. Was kann ich im Falle einer "Notfall"-Formatierung retten, was besser nicht?
Vielen Dank schon mal im Voraus. PS. Das Problem besteht seit nunmehr erst 2 Tagen, in diesem Zeitraum hab ich glücklicherweise keine Passwörter oder andere Sicherheitsrelevanten Daten nutzen müssen.