Hallo !
Mein AntirVir-free scanner hatte eine Datei namens "Filtermanager.exe" im
"Cole 2k media pack advanced v5.50"-Ordner als TR/spy.delf.EG.3 ausgemacht. (Windows/system 32/C2MP)
Keine Ahnung wie der Trojaner dort hin kam.
Nachdem ich mit AntiVir die Datei überschrieben und gelöscht hatte, funzte DIVX Player nichtmehr richtig, vids waren am hängen, so dass der Filtermanager.exe dazu gehört, oder !?

Jedenfalls einen Tag später meldete mir AntiVir den selben Trojaner (eine exe) im System Volume Ordner (Systemwiederherstellung ?), habe daraufhin die Datei erstmal in Quarantäne geschickt.
Nach einer Weile hatte ích das Problem, das meine Mouse nichtmehr reagierte, woraufhin ich den pc neugestartet hatte. Das Problem ist erstmal beiseite.
Jetzt habe ich auch den 2. Fund gelöscht und im Netz geschaut, ob ich Infos zu diesem Trojaner finde: leider ohne Erfolg !
Was jemand von Euch etwas mit dem Trojaner anzufangen, und was ich noch tun muss, um das Biest von meinem System vollständig zu entfernen ?
Gruss,

Abra

Hallo Abra,

ich habe dazu folgende Information gefunden: Sophos-Virusinformation. Der "spy.delf.EG.3" gehört auf jeden Fall zur Familie der "Win32/Spy.Delf.-" und ist somit ein Trojaner, "der Tastenfolgen speichern kann und gefälschte Login-Seiten anzeigt, um Bankdaten des Benutzers zu stehlen. Der Trojaner lädt in regelmäßigen Abständen Updates aus dem Internet herunter." - siehe -> "Erläuterung".

Erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre)

SD

Hallo Shadowdance,

Ich habe die Systemwiederherstellung eben abgestellt, den computer im abgesicherten modus neugestartet und ein escan (updated) laufen lassen:
keine Funde nur 5 errors (keine Ahnung welche). Ansich zufriedenstellend :-)

Aber bevor ich den pc runterfuhr, viel mir auf das das Häckchen für "remotecontrol-Unterstützung" an war !!!
Ich meine das das vorher aus gewesen ist.
Jetzt gerade habe ich beim Tippen mal ein Hijackthis-scan erstellt, und da ist auch ein Eintrag, etwas mit "remote":
Logfile of HijackThis v1.98.2
Scan saved at 12:45:17, on 05.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\rmctrl.exe
E:\Internet & Security\Antivirus\AVPersonal\AVGNT.EXE
E:\Internet & Security\Antivirus\AVPersonal\AVGUARD.EXE
E:\Internet & Security\Antivirus\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Internet & Security\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\mediaplayers\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\mediaplayers\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Internet & Security\Antivirus\AVPersonal\AVGNT.EXE /min
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit FlashGet laden - E:\download_manager\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\download_manager\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit FlashGet laden - E:\download_manager\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\download_manager\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://E:\download_manager\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\DOWNLO~2\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\DOWNLO~2\FlashGet\flashget.exe (file missing)
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/123d72d09dbd967...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095172184609

Wie gesagt: remote habe ich aber aus.

Abra

Hallo Abra,

Platform: Windows XP SP1 (WinNT 5.01.2600), besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken):

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\DOWNLO~2\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\DOWNLO~2\FlashGet\flashget.exe (file missing)

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://h**p://a1540.g.akamai.net/7/1...eInstaller.exe

wenn Du diese Enträge nicht kennst/brauchst, bitte fixen:

O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://h**p://tw.msi.com.tw/autobios...t/iftwclix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p://207.188.7.150/123d72d0...dxIE601_de.cab

Boote in den normalen Modus.
Aktiviere die Systemwiederherstellung,

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Erstelle ein neues Hijack This Logfile und poste es. Ist das Problem nun behoben?

Denk bitte über einen Browserwechsel nach und schau Dich auf dieser Seite um, auch zu Tips, wie Du den IE schützen kannst: Vorbeugung - weitere Lektüre, die unbedingt zu beachten ist, findest Du hier:

- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD

Hallo Shadowdance,
Das ich SP2 bei mir nicht installiert habe, hat seine Gründe:
ich benutze Zonealarm und habe einen DSL-Router + NAT (benutzen keylogger/TR.spies port 80 ?)

Des weiteren möchte ich einige Einschränkungen von SP2 einfach nicht hinnehmen, die bekanntesten kennst du ja bestimmt auch...
Trotzdem halte ich meinen pc über Windows-update auf den neuesten Stand.

Ich überlege jetzt wirklich, mir einen neuen browser zuzulegen, nur welchen !?

Hier nun das highjack-protokoll:

Logfile of HijackThis v1.98.2
Scan saved at 16:19:34, on 05.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\rmctrl.exe
E:\Internet & Security\Antivirus\AVPersonal\AVGNT.EXE
E:\Internet & Security\Antivirus\AVPersonal\AVGUARD.EXE
E:\Internet & Security\Antivirus\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
E:\Internet & Security\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\mediaplayers\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\mediaplayers\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Internet & Security\Antivirus\AVPersonal\AVGNT.EXE /min
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit FlashGet laden - E:\download_manager\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\download_manager\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit FlashGet laden - E:\download_manager\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\download_manager\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://E:\download_manager\LeechGet 2004\\Parser.html
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095172184609

-

ich denke den Eintrag mit msi Taiwan (O16) kann ich drinlassen, hat wahrscheinlich etwas mit dem Liveupdater von MSI zutun.

Gruss,

Abra

Hallo Abra,

kopiere Dein Logfile mittels copy&paste in die automatische Auswertung. Der mit einem gelben Fragezeichen versehene Eintrag kann noch auf die bereits angegebene Weise gefixed werden.

Denk daran Dein Betriebssystem zu updaten und vorbeugende Maßnahmen zu ergreifen - Links dazu in meinem vorigen Posting.

SD