Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Click.Delf.DX

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.03.2006, 22:00   #1
Reiner_R
 
TR/Click.Delf.DX - Unglücklich

TR/Click.Delf.DX



Hallo @,

folgende Situation:

Meine Tochter, die räumlich getrennt von mir lebt, sagte mir heute, das sie vor einigen Tagen über das Antivirusprogramm "AntiVir" den Trojaner "TR/Click.Delf.DX" gefunden hat. Über die Quarantäne dann gelöscht. Nur, und da ist das Problem nun, nach dem sie sich eine neue Festplatte gekauft hat, WIN 98SE neu aufgespielt, hat sie nach wie vor das gleiche Problem, das ich selbst heute bei ihr bemerken konnte:

Über DSL Modem stellt sie eine Verbindung zum Provider her, ruft eine Homepage mit dem Firefox auf und nach wenigen Sekunden friert der ganze Bildschirm ein. Die Maus läßt sich nicht steuern, der "Affengriff" bleibt ohne Wirkung. Nur ein Kaltstart ist noch möglich. Merkwürdig aber ist nur, das am Rechner die Festplatte kurz immer wieder aufleuchtet, und die LED am Modem "Senden" blinkt.

Weiter hat sie keine Chance mehr, irgendeine Seite im Internet aufzurufen. auch besitzt sie keinen Brenner. Allerdings hat sie von der alten kaputten Festplatte noch soeben Daten retten können, die sie nun nach und nach neu benutzen will. Es sind wichtige Daten für das Studium. Partition C, also WIN 98SE, wurde heute neu formatiert und ebenfalls BS neu aufgespielt.

1. Frage: Was richtet der Trojaner "TR/Click.Delf.DX" alles so an?

2. Frage: Was kann getan werden, da ein Logfile ja nicht durch die Luft fliegen kann , damit ich ihn hier einstellen kann?

Klingt alles etwas diffus von mir, da kein Experte. Bitte daher um klare und deutliche Anmerkungen, damit ich auch ohne Englischkenntnisse damit zurecht kommen kann.

Vielen herzlichen Dank schon einmal im Vorraus

Reiner_R

Alt 27.03.2006, 13:02   #2
stupormundi
 
TR/Click.Delf.DX - Standard

TR/Click.Delf.DX



Servus Reiner_R:
ad Frage 1 guck mal hier- Symantec bezeichnet das Teil als Backdoor-Trojaner, hauptsächlich sammeln diese Dinger aus der Familie aber Zugangsdaten, Passwörter und sind als keylogger aktiv - also eine ernste Sache.

ad Frage 2: HJT (=HighJackThis) am betroffenen Rechner im Admin-Account laufen lassen (zur Diagnose nicht im abgesicherten Modus oder eingeschränkten Benutzeraccount). Und dann wie beschrieben, das Log hier posten. Lies Dir dazu Cidres Anleitung durch! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen! Posten kannst Du, indem Du dein Logfile mit dem Mauszeiger markierst, kopierst und hier im Antwortfenster einfügst! Achte darauf, dass die aktiven Links wie unten in meiner Signatur beschrieben, deaktiviert sind und persönliche Infos wie Namen etc.. aus dem Log entfernt sind.

lg, stupormundi
__________________

__________________

Geändert von stupormundi (27.03.2006 um 13:07 Uhr)

Alt 27.03.2006, 13:08   #3
Wildone
 
TR/Click.Delf.DX - Standard

TR/Click.Delf.DX



Hallo,
@stupormundi

Hallo,
soweit ich weiß bezieht sich das Delf in den Virenbezeichnungen lediglich auf die Programmiersprache in der der Schädling geschrieben ist (Delphi), gibt jedoch keine Hinweise auf sein Schadpotenzial. Außerdem denke ich das es sich um eine Smitfraudinfektion handelt, ist aber bisher nur Spekulation.



Grüße Wildone
__________________

Alt 27.03.2006, 13:10   #4
stupormundi
 
TR/Click.Delf.DX - Standard

TR/Click.Delf.DX



@wildone: Servus
Was die Backdoor-Bezeichnung von Symantec anbelangt, bin ich eh skeptisch (daher schrieb ich ja "Symantec bezeichnet ...")
~~Mittlerweile glaube ich, mit der Symantec Spur ohnedies am Holzweg zu sein. Da erscheint mir wildone's Mutmaßung schon wahrscheinlicher. Aber mal abwarten ...~~/edit~~

Was smitfraud anbelangt - nicht unwahrscheinlich, wir werden sehen!

schönen Tag, stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Geändert von stupormundi (27.03.2006 um 13:27 Uhr)

Alt 27.03.2006, 16:45   #5
Reiner_R
 
TR/Click.Delf.DX - Daumen hoch

TR/Click.Delf.DX



Hallo stupormundi,

zunächst recht herzlichen Dank für Deine Informationen. Es wird noch etwas dauern, bis die Tochter wieder zu Hause ist. Dann versuche ich mittels HJT ein Logfile zu machen. Problem ist nur, hoffentlich läßt uns der Trojaner, oder was auch immer es sonst noch so auf dem Rechner gibt, ins Internet. Gestern ging nach wenigen Sekunden nichts mehr!
Zitat:
Zitat von stupormundi
Servus Reiner_R:
ad Frage 1 guck mal hier- Symantec bezeichnet das Teil als Backdoor-Trojaner, hauptsächlich sammeln diese Dinger aus der Familie aber Zugangsdaten, Passwörter und sind als keylogger aktiv - also eine ernste Sache.
Mein Reden seid über zwei Wochen. Nur O-Ton: "AntiVir hat doch gelöscht!" Werde aber auf jedenfall zunächst mal in der Registry nach sehen.
Zitat:
ad Frage 2: HJT (=HighJackThis) am betroffenen Rechner im Admin-Account laufen lassen (zur Diagnose nicht im abgesicherten Modus oder eingeschränkten Benutzeraccount). Und dann wie beschrieben, das Log hier posten. Lies Dir dazu Cidres Anleitung durch! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen! Posten kannst Du, indem Du dein Logfile mit dem Mauszeiger markierst, kopierst und hier im Antwortfenster einfügst! Achte darauf, dass die aktiven Links wie unten in meiner Signatur beschrieben, deaktiviert sind und persönliche Infos wie Namen etc.. aus dem Log entfernt sind.

lg, stupormundi
Unter WIN 98SE biste immer Admin.:aplaus:

Alles andere habe ich verstanden und werde so verfahren. Bis später dann.

Herzlichen Gruß

Reiner_R


Alt 27.03.2006, 19:51   #6
Reiner_R
 
TR/Click.Delf.DX - Frage

TR/Click.Delf.DX



Hallo stupormundi,

jetzt wird es "lustug". Aber erst einmal den Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:16:23, on 27.03.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WIND98E\SYSTEM\KERNEL32.DLL
C:\WIND98E\SYSTEM\MSGSRV32.EXE
C:\WIND98E\SYSTEM\MPREXE.EXE
C:\WIND98E\SYSTEM\mmtask.tsk
C:\WIND98E\EXPLORER.EXE
C:\WIND98E\TASKMON.EXE
C:\WIND98E\SYSTEM\SYSTRAY.EXE
H:\LOIGETECH\SYSTEM\EM_EXEC.EXE
C:\WIND98E\SYSTEM\DDHELP.EXE
C:\WIND98E\SYSTEM\WMIEXE.EXE
H:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://xxx.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xxx.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://xxx.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
F1 - win.ini: run=hpfsched
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIND98E\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WIND98E\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIND98E\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] H:\LOIGET~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIND98E\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mdac_runonce] C:\WIND98E\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIND98E\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIND98E\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://xxx.t-online.de/service/redir/ie_t-online.htm

Ich habe dort nichts verdächtiges gefunden, ihr vielleicht?

Aber, ich bin den Link nach Symantec gefolgt. Dort fand ich einige Dateinamen, nach denen ich dann gesucht habe. Fehlanzeige. Dafür aber gibt es in der Registry folgende Einträge im Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU

und auch

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU

folgende Einträge (Werte):

mprexe
netnt
netnt.dll
hap1
interdll
msgsrv16

Die letzten drei werden bei Symantec erwähnt. Sorry, mein Englisch ist da nicht so weit. Was meinst Du, meint ihr dazu?

Geändert von Reiner_R (27.03.2006 um 20:08 Uhr)

Alt 28.03.2006, 05:49   #7
stupormundi
 
TR/Click.Delf.DX - Standard

TR/Click.Delf.DX



Servus wieder!
In diesem Log ist ach für mich nichts Auffälliges zu entdecken.
Zu Deiner Frage wegen des Reg Eintrages
Zitat:
Zitat von Symantec
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU
Here are some commonly asked questions about this reference:
Q. Is this a Trojan, virus, or worm?
A. No, it is not. This key contains information on recent searches that were made from the "Find: All Files" window (Windows 95/98/NT 4.0) or the "Search for Files or Folders" window (Windows 2000/Me). These references are harmless, and can be removed if desired
Kurz gesagt: alles in Ordnung, ganz normaler Eintrag: Dieser Schlüssel in der Reg beeinhaltet nur Infos über die letzten Datei/Ordnersuchläufe auf diesem System - kann über das Menü der Startleiste (auch in Win98 - wie bin ich mir leider nicht ganz sicher, aber sicher nicht kompliziert) gelöscht werden.

Aber jetzt wäre mal ein Virenscan am betroffenen System fällig: Versuch mal escan am System Deiner Tochter im abgesicherten Modus laufen zu lassen - Dazu kannst Du escan auf Deinem Sys herunterladen, entpacken (steht alles in Cidres Beschreibung) und Updaten und dann den ganzen Ordner via CD oder USB Stick auf das Sys Deiner Tochter kopieren, um es dann dort im abgesicherten Modus laufen zu lassen. Nach erfolgtem Durchlauf die Funde mittels Haui45's 'find.bat' (siehe wieder Cidres Anleitung-ganz unten, Fußnoten) im sehr umfangreichen Logfile suchen und hier posten. Achte bei der Ausführung (entpacken nach 'C:\bases_x' [<-- diesen Ordner vorher anlegen und die heruntergeladene *.exe-Datei mittels Winrar oder Winzip dorthin entpacken-nicht einfach anklicken], Spracheinstellung leider 'English', Update)
Alles Gute und viel Spass dabei
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 29.03.2006, 14:38   #8
Reiner_R
 
TR/Click.Delf.DX - Icon17

TR/Click.Delf.DX



Hallo stupormundi,

leider komme ich erst jetzt dazu, Dir zu antworten. Nach dem ich gestern abend kurz nach Erhalt einer Text-Mail meiner tochter nicht mehr ins Internet und auch ins LAN kam, gruselte es mich doch heftig. Kurz, als letzter Lösungsansatz ein neues Board, und nun funktioniert alles wieder. Ein Schuft wer da etwas böses bei denkt!
Zitat:
Zitat von stupormundi
Servus wieder!
In diesem Log ist ach für mich nichts Auffälliges zu entdecken.
Zu Deiner Frage wegen des Reg Eintrages Kurz gesagt: alles in Ordnung, ganz normaler Eintrag: Dieser Schlüssel in der Reg beeinhaltet nur Infos über die letzten Datei/Ordnersuchläufe auf diesem System - kann über das Menü der Startleiste (auch in Win98 - wie bin ich mir leider nicht ganz sicher, aber sicher nicht kompliziert) gelöscht werden.
In der ganzen Aufregung die Tage kam ich selbst nicht drauf. Logisch, ungefährlich. Aua! Die Fixierung war perfekt. Danke.

F-Prot im DOS-Modus brachte ebenfalls keine Meldung! Nun wird als letztes noch escan ausgeführt. Denke mal das dies meine Tochter besser kann als ich mit meinen paar Brocken Englisch.

Schließlich liest sie ja von der UNI hier auch mit. Melde mich dann wieder, wenn es durch ist.

Vielen Dank für Deine und der anderen Hilfe!

Bis bald.

Herzlichen Gruß

Reiner_R

Alt 30.03.2006, 17:35   #9
Reiner_R
 
TR/Click.Delf.DX - Standard

TR/Click.Delf.DX



Hallo stupormundi,

soeben bekam ich eine Mail von meiner Tochter. Ob sie alles so gemacht hat wie Du geschrieben hast, geht leider nicht daraus hervor.
Zitat:
Zitat von stupormundi
Aber jetzt wäre mal ein Virenscan am betroffenen System fällig: Versuch mal escan am System Deiner Tochter im abgesicherten Modus laufen zu lassen
Zitat:
Zitat von Aus der Mail
Hier die Funde:

Object "alexa Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "Ezula TopText Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Mware-iTouch.chm" refers to invalid object "H:\Loigetech\Mware-iTouch.chm". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\CLSID\{D3B1DE00-6B94-1069-8754-08002B2BD64F}" refers to invalid object "C:\WIND98E\SYSTEM\disktool.dll". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\Overview.Document" refers to invalid object "{DA23B9C9-6893-11D0-8534-00C04FD7AD0C}". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\.ppt" refers to invalid object "Powerpoint.Show.7". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\.POT" refers to invalid object "Powerpoint.Template". Action Taken: Keine Aktion vorgenommen.
Und nun?

Herzlichen Gruß

Reiner_R

Alt 31.03.2006, 05:17   #10
stupormundi
 
TR/Click.Delf.DX - Standard

TR/Click.Delf.DX



Servus wieder, Reiner_R!

Nun - die von Dir geposteten Funde sind so jetzt mal Peanuts!

Aber es wäre schon gut, wenn das escan-Ergebnis insgesamt so gepostet werden würde, wie von Cidre beschrieben - also mit Hilfe der 'find.bat' oder mite der ebenfalls beschriebenen alternativen manuellen Suche (in den Fußnoten ganz unten) - die allgemeinen Infos zum Durchlauf sind insofern interessant, als dass man beurteilen kann, ob beim Scan selbst etwas schiefgegangen ist und damit die Aussagekraft der Funde eventuell eingeschränkt sein könnte. Von dem ursprünglichem "Tr/delf" ist ja hier nix zu finden.

Aber wenn sonst nix ist, gibt es von dieser Seite keinen Grund zu weiteren Veranlassungen. Wie geht's dem befallenen System jetzt überhaupt?

stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 31.03.2006, 17:08   #11
Reiner_R
 
TR/Click.Delf.DX - Standard

TR/Click.Delf.DX



Hallo stupormundi,
Zitat:
Zitat von stupormundi
Aber wenn sonst nix ist, gibt es von dieser Seite keinen Grund zu weiteren Veranlassungen. Wie geht's dem befallenen System jetzt überhaupt?
Mit an Sicherheit grenzender 100%iger Wahrscheinlichkeit liegt das Problem an einem Treiberproblem. Das System friert immer wieder ein, und meine Tochter will es neu aufspielen. Da sie aber nicht nach Beschreibung gehandelt hat, sondern einen eigenen Weg beschritten hat, kann ich nichts weiteres mehr dazu schreiben.

Die letzten drei Haare auf dem Kopf habe ich mir fast ausgerissen, nun soll sie weiter machen.

Habe Du und die anderen ganz herzlichen Dank für die Hilfestellungen.

Herzlichen Gruß

Reiner_R

Antwort

Themen zu TR/Click.Delf.DX
bildschirm, bli, confused, daten retten, dsl, festplatte, firefox, frage, friert, gekauft, herzlichen dank, homepage, immer wieder, internet, kaltstart, logfile, maus, merkwürdig, modem, neue, neue festplatte, problem, quara, quarantäne, rechner, seite, sekunden, senden, start, trojaner, verbindung, wichtige daten, win



Ähnliche Themen: TR/Click.Delf.DX


  1. Probleme mit Click to save Deal Finder & Click to Continue
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (9)
  2. TR/PSW.Delf.est
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  3. TR/ATRAPS.GEN und TR/CLICK.DELF.AH.5 in joele29_WinAdCtlInstPack.exe
    Plagegeister aller Art und deren Bekämpfung - 23.02.2010 (9)
  4. TR/PSW.Delf.AB
    Plagegeister aller Art und deren Bekämpfung - 15.04.2009 (1)
  5. TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (13)
  6. TR/Spy.Delf.cdp
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (9)
  7. TR/Spy.Delf.cfr - was ist das?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (0)
  8. BDS/Delf.DHU.1
    Mülltonne - 03.04.2008 (0)
  9. Spy.Delf.ago.1
    Log-Analyse und Auswertung - 27.09.2007 (12)
  10. TR/Click.Delf.HM eingefangen und nicht mehr wegzubekommen!
    Log-Analyse und Auswertung - 08.06.2007 (2)
  11. TR/Click.Delf.DX - Antivir hat Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 16.07.2006 (13)
  12. Logfile zu: AW: TR/Click.Delf.DX - Antivir hat Trojaner gefunden
    Mülltonne - 13.07.2006 (2)
  13. TR/Click.Delf.EB....kann mir bitte wer helfen!
    Plagegeister aller Art und deren Bekämpfung - 25.12.2005 (1)
  14. Infos zu TR/Click.Delf.DM
    Plagegeister aller Art und deren Bekämpfung - 18.10.2005 (3)
  15. TR/Drop.Delf.FD.1 und TR/Click.NoName.A
    Plagegeister aller Art und deren Bekämpfung - 21.08.2005 (23)
  16. tr/click.delf.ah.2
    Antiviren-, Firewall- und andere Schutzprogramme - 08.12.2004 (3)
  17. TR/Click.Delf.AL
    Log-Analyse und Auswertung - 03.11.2004 (3)

Zum Thema TR/Click.Delf.DX - Hallo @, folgende Situation: Meine Tochter, die räumlich getrennt von mir lebt, sagte mir heute, das sie vor einigen Tagen über das Antivirusprogramm "AntiVir" den Trojaner "TR/Click.Delf.DX" gefunden hat. Über - TR/Click.Delf.DX...
Archiv
Du betrachtest: TR/Click.Delf.DX auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.